Välj rätt SSO-inloggningsstrategi

With cybersecurity as a top priority, many businesses deploy single sign-on (SSO) to reduce the number of employee login IDs and passwords. In addition to increasing security, single-click access through SSO helps improve the user experience and enhance productivity. 

Bitwarden understands why enterprises choose to adopt SSO, and offers multiple authentication options to deliver the right configuration for each company’s needs. 

These implementation offerings align with Bitwarden foundational design goals and our engineering approach, which starts with the concept of zero knowledge encryption. 

Bitwarden builds on the principle of zero knowledge encryption, which means that everything you store in a Bitwarden vault is encrypted and cannot be viewed by anyone but yourself or authorized users within your company. Most password managers implement a zero knowledge encryption approach albeit to varying degrees. Bitwarden combines end-to-end encryption and complete zero knowledge encryption so nobody, not even Bitwarden, has access. 

Quick Reference

In end-to-end encryption, encryption and decryption occurs at the device level. Vault data is encrypted before leaving the phone or computer and decrypted at the destination. Bitwarden uses AES-CBC 256 bit encryption, salted hashing, and PBKDF2 SHA-256 to protect all vault data. 

With zero-knowledge encryption, Bitwarden team members cannot access any of your information. Instead, your data remains end-to-end encrypted with your email and master password. Of course, not all commercial applications and services are built - or need to be built - with this framework. In non-encrypted applications, usernames and passwords provide access. With no encryption protocol in place, software providers can access any user data stored within the application. 

When a user logs into Bitwarden, an encrypted application, two things happen: authentication and decryption. The user must first authenticate themselves to access encrypted vault data, which is then decrypted locally with the user’s key, derived from their master password. For the majority of Bitwarden users, their master password enables both of those steps. It serves as the authentication agent as well as the decryption key. 

Businesses looking to leverage SSO with Bitwarden should consider the flexible options Bitwarden provides. 

With SSO and non-encrypted applications, users authenticate with one set of credentials to access multiple applications. In many cases, that’s all corporate end-users need. SSO only takes care of authentication in these cases as there is no encrypted information.

To maintain zero knowledge encryption, Bitwarden separates authentication and decryption into two discrete steps for SSO: authentication through the SSO provider, then decryption and vault access through a master password. As a result, decryption keys never pass through Bitwarden servers and users maintain credentials for SSO, and their own decryption key for Bitwarden. 

För att på bästa sätt tjäna en rad företag med olika IT-resurser och ekosystem erbjuder Bitwarden två distributionsalternativ för att integrera sin lösning med SSO. 

Det här alternativet ger anställda en lösenordslös företagsupplevelse genom en pålitlig enhetsmodell, vilket gör den övergripande inloggningsprocessen lätt, snabb och skalbar. När deras enheter har registrerats och bekräftats behöver en användare helt enkelt autentiseras med SSO för att få åtkomst till krypterad valvdata. En krypteringsnyckel som används som en del av dekrypteringsprocessen lagras säkert på enheten, så när SSO-tjänsten autentiserar användaren kan enheten dekryptera data utan ytterligare användarinmatning.

Läs mer om SSO med betrodda enheter här

Inloggning med SSO använder SSO-leverantören för autentisering och sedan ett Bitwarden-huvudlösenord från användaren för att dekryptera deras data. Detta är det enklaste distributionsalternativet för IT-team att behålla SSO-autentiseringsprocessen och behålla ett unikt lösenord för dekryptering med en krypteringsmodell med noll kunskap. 

Läs mer om inloggning med SSO här

Det här alternativet integrerar stegen för att dekryptera användardata, där IT-administratörer distribuerar och hanterar en nyckelanslutningsapplikation (eller en nyckelhanteringsserver) för att behålla användarens krypteringsnycklar för Bitwarden-valv. 

Genom en egenvärdig nyckelserver lagrar, hanterar och levererar företag nycklarna för att dekryptera användarnas data när de loggar in på Bitwarden via SSO. Processen upprätthåller noll kunskapskryptering på Bitwarden-sidan och är sömlös för användarna – de loggar in via SSO och kommer omedelbart åt sitt dekrypterade Bitwarden-valv, allt i ett steg.  

Eftersom nyckelservern innehåller känslig användardata är det viktigt att företag förstår hur man distribuerar, säkerhetskopierar och underhåller servern och implementerar strikta säkerhetspolicyer. Hantering av kryptografiska nycklar är otroligt känslig och rekommenderas endast för företag med ett team och som använder infrastruktur som redan har säkert distribuerat och hanterat en nyckelserver.

Bitwarden har åtagit sig att skydda företag och göra lösenordssäkerhet enkelt för slutanvändare. Bitwarden SSO-alternativ främjar och driver användaradoption och förenklar användarupplevelsen samtidigt som de förblir trogen nollkunskapskrypteringsmetoden.

När du väljer Bitwarden får du flexibiliteten att använda vilken identitetsleverantör som helst som stöder SAML- eller OpenID-standarder. Den unika kombinationen av att välja din egen identitetsleverantör, tillsammans med SSO-alternativen Bitwarden erbjuder, innebär att företag kan implementera rätt autentiserings- och dekrypteringsmodell med en pålitlig, öppen källkodsmetod.