SSO 登录 FAQ
最后更新于
最后更新于
本文包含了关于 SSO 登录的常见问题 (FAQ)。有关 SSO 登录的更多高级信息,请参考。
答:如果您的组织正在使用 或使用 自托管解密密钥,则 SSO 登录工作流程确实可以取代输入主密码登录的需要。在标准 SSO 工作流程中,Bitwarden 会利用您现有的身份提供程序 (IdP) 对您进行身份验证,但您仍必须输入主密码和电子邮箱才能解密您的密码库数据。
答:除非您的企业使用受信设备 SSO,否则用户在使用 SSO 登录时必须输入主密码才能解密他们的密码库,从而保护企业的关键凭据和机密。
SSO 登录保留了我们的端到端零知识加密模型;Bitwarden 的任何人都没有您的密码库数据的访问权限,重要的是,您的身份提供程序也没有。这就是为什么 Bitwarden 的 SSO 登录要将身份验证和解密分开的原因。您的 IdP 可以确认 Alice 确实是 Alice,但不能也不应该拥有解密 Alice 密码库的工具。只有 Alice 才能拥有这种工具,在标准的 SSO 登录流程中,这就是她的主密码。。
答:不会,您的主密码将保持不变。必须使用您的主密码来解密密码库数据,除非您的组织使用 来自托管解密密钥。
答:在 IdP 中授权使用 Bitwarden 应用程序以及在 Bitwarden 登录页面上选择了登录 → 企业 SSO 的新用户将被置于其组织的接受状态,直到管理员确认。
当该用户被手动或通过 Directory Connector 分配到一个组群时,他们将获得相应共享项目的访问权限。 如果您希望成员不使用主密码,而只能使用受信任设备,建议使用 JIT 配置。
答:如果您直接在 Bitwarden 中管理 Bitwarden 群组和集合分配,则无需使用目录连接器。但是,如果您希望群组和用户能自动与您的组织目录同步,我们建议将 SSO 登录和目录连接器结合使用以获得最完整的解决方案。
对于 US 云托管实例:https://vault.bitwarden.com/#/sso?identifier={your-sso-identifier}
对于 EU 云托管实例:https://vault.bitwarden.eu/#/sso?identifier={your-sso-identifier}
对于自托管实例:https://your.domain.com/#/sso?identifier={your-sso-identifier}
答:通过更改 .bwdata/config.yml 中的 url: 值并运行 ./bitwarden.sh rebuild 命令以应用您的更改。可以在自托管环境中更改预先生成的 SSO 配置值,包括 SP 实体 ID、SAML 2.0 元数据 URL、ACS URL 和回调路径。
答:企业计划提供此功能。
答:Bitwarden 支持 OpenID Connect,但目前不支持 OAuth。
答:是的。SSO 登录适用于自托管实例,无论实例是在本地还是在您自己的云中,只要实例可以访问您的身份服务器即可。
答:可以。SSO 登录只要求能够从您的 Bitwarden 实例连接到您的身份提供程序。它可以用于云或本地身份提供程序,以及云或自托管的 Bitwarden 实例。
答:如果您的身份提供程序离线,用户必须使用他们的电子邮箱和主密码登录。随着我们为组织启用更多的验证控制机制,这一点可能会在未来发生变化。
答:默认情况下,是可以的,您可以使用您的电子邮件地址和主密码登录 Bitwarden。但是,如果您的组织同时启用了和策略,或者您的组织使用了 ,则所有非管理员用户都会被要求使用 SSO 登录。
答:不需要!如果您的组织使用,则无需输入此标识符。否则,管理员应分发以下 URL(其中 {your-sso-identifier} 是您的组织的 SSO 标识符),以自动将用户重定向到 SSO 登录界面:
答:使用 SSO 凭证登录 Bitwarden 仅执行用户身份验证,并不解密用户数据。在大多数情况下,通过使用 时的设备密钥完成解密,或通过使用主密码完成解密,而主密码则由用户全权负责。自托管 Bitwarden 组织也可以使用 作为解密密码库数据的替代手段。添加 SSO 功能不会在 Bitwarden 数据库中引入更多个人身份信息。
答:在管理控制台中,导航至订阅 → 计费页面然后选择升级计划。我们强烈建议您开始 ,以测试 SSO 登录。