Välj rätt strategi för SSO-inloggning

Med cybersäkerhet som högsta prioritet väljer många företag och storföretagatt införa enkel inloggning (SSO) för att minska antalet inloggnings-ID:n och lösenord för medarbetare. Förutom att öka säkerheten bidrar åtkomst med ett klick via SSO till en bättre användarupplevelse och ökad produktivitet. 

Bitwarden förstår varför storföretag väljer att införa SSO och erbjuder flera autentiseringsalternativ för att ge rätt konfiguration för varje företags behov. 

Dessa implementeringsalternativ ligger i linje med Bitwardens grundläggande designmål och vår utvecklingsstrategi, som utgår från konceptet nollkunskapskryptering. 

Bitwarden bygger på principen om nollkunskapskryptering, vilket innebär att allt du lagrar i ett Bitwarden-valv är krypterat och inte kan visas av någon annan än dig själv eller behöriga användare inom ditt företag. De flesta lösenordshanterare använder någon form av nollkunskapskryptering, om än i varierande grad. Bitwarden kombinerar end-to-end-kryptering och fullständig nollkunskapskryptering så att ingen, inte ens Bitwarden, har åtkomst. 

Snabbreferens

Vid end-to-end-kryptering, kryptering och dekryptering sker på enhetsnivå. Valvdata krypteras innan de lämnar telefonen eller datorn och dekrypteras vid destinationen. Bitwarden använder AES-CBC 256-bitars kryptering, saltad hashning och PBKDF2 SHA-256 för att skydda all valvdata. 

Med nollkunskapskryptering kan Bitwardens teammedlemmar inte komma åt någon av din information. I stället förblir dina data totalsträckskrypterade med din e-postadress och ditt huvudlösenord. Naturligtvis är inte alla kommersiella applikationer och tjänster byggda – eller behöver byggas – med detta ramverk. I okrypterade applikationer ger användarnamn och lösenord åtkomst. Utan ett krypteringsprotokoll på plats kan programvaruleverantörer komma åt alla användardata som lagras i applikationen. 

När en användare loggar in på Bitwarden, en krypterad applikation, händer två saker: autentisering och dekryptering. Användaren måste först autentisera sig för att få åtkomst till krypterad valvdata, som sedan dekrypteras lokalt med användarens nyckel, härledd från användarens huvudlösenord. För de flesta Bitwarden-användare möjliggör huvudlösenordet båda dessa steg. Det fungerar både som autentiseringsmetod och som dekrypteringsnyckel. 

Företag som vill använda SSO med Bitwarden bör överväga de flexibla alternativ som Bitwarden erbjuder. 

Med SSO och okrypterade applikationer autentiserar användare sig med en uppsättning inloggningsuppgifter för att få åtkomst till flera applikationer. I många fall är det allt företagens slutanvändare behöver. I dessa fall hanterar SSO endast autentisering, eftersom det inte finns någon krypterad information.

För att upprätthålla nollkunskapskryptering separerar Bitwarden autentisering och dekryptering i två separata steg för SSO: autentisering via SSO-leverantören, och därefter dekryptering och åtkomst till valvet via ett huvudlösenord. Därmed passerar dekrypteringsnycklar aldrig Bitwardens servrar och användare behåller inloggningsuppgifter för SSO samt sin egen dekrypteringsnyckel för Bitwarden. 

För att på bästa sätt stödja en rad olika företag med skilda IT-resurser och ekosystem erbjuder Bitwarden två distributionsalternativ för att integrera sin lösning med SSO. 

Det här alternativet ger anställda en lösenordslös företagsupplevelse genom en modell med betrodda enheter, vilket gör hela inloggningsprocessen enklare, snabbare och mer skalbar. När användaren har godkänt en inloggning på en ny enhet (Bitwarden-klient/app) och den har bekräftats behöver användaren bara autentiseras med SSO för att få åtkomst till krypterad valvdata. En krypteringsnyckel som används som en del av dekrypteringsprocessen lagras säkert som en del av appfilerna på enheten, så när SSO-tjänsten autentiserar användaren kan enheten dekryptera datan utan ytterligare inmatning från användaren.

Läs mer om SSO med betrodda enheter här

Inloggning med SSO använder SSO-leverantören för autentisering och sedan användarens huvudlösenord för Bitwarden för att dekryptera användarens data. Det här är det enklaste distributionsalternativet för IT-team som vill behålla SSO-autentiseringsprocessen och samtidigt ha ett unikt lösenord för dekryptering med en modell för nollkunskapskryptering. 

Läs mer om inloggning med SSO här

Det här alternativet integrerar stegen för att dekryptera användardata, där IT-administratörer distribuerar och hanterar en Key Connector-applikation (eller en nyckelhanteringsserver) för att lagra användarnas krypteringsnycklar för Bitwarden-valv. 

Via en egenhostad nyckelserver lagrar, hanterar och levererar företag automatiskt nycklarna för att dekryptera användarnas data när de loggar in på Bitwarden via SSO. Processen upprätthåller nollkunskapskryptering på Bitwardens sida och är sömlös för användarna – de loggar in via SSO och får direkt åtkomst till sitt dekrypterade Bitwarden-valv, allt i ett enda steg.  

Eftersom nyckelservern innehåller känsliga användardata är det avgörande att företag förstår hur servern ska distribueras, säkerhetskopieras och underhållas, samt hur strikta säkerhetspolicyer ska implementeras. Hantering av kryptografiska nycklar är oerhört känsligt och rekommenderas endast för företag med ett team och infrastruktur som redan på ett säkert sätt har distribuerat och hanterat en nyckelserver.

Bitwarden har åtagit sig att skydda företag och göra lösenordssäkerhet enkelt för slutanvändare. Bitwardens SSO-alternativ främjar och driver användaracceptans och förenklar användarupplevelsen, samtidigt som de är trogna metoden med nollkunskapskryptering.

När du väljer Bitwarden får du flexibiliteten att använda vilken identitetsleverantör som helst som stöder SAML- eller OpenID-standarderna. Den unika kombinationen av att välja din egen identitetsleverantör, tillsammans med de SSO-alternativ som Bitwarden erbjuder, innebär att företag kan distribuera rätt modell för autentisering och dekryptering med en betrodd metod baserad på öppen källkod.