Bitwarden 帮助中心中文版
⮐ Bitwarden Help Center个人主页联系我
  • 关于
  • 首页
  • 发行记录
  • 账户访问
    • 创建 Bitwarden 账户
    • 选择服务器
    • 登录 & 解锁
      • 主密码
      • 忘记主密码
      • 自动注销或锁定
      • 新设备登录保护
      • 使用单点登录
        • 使用 SSO 登录
        • 添加受信任设备
      • 更多登录选项
        • 登录到多个账户
        • 使用设备登录
        • 使用通行密钥登录
        • 使用紧急访问登录
      • 更多解锁选项
        • 使用生物识别解锁
        • 使用 PIN 码解锁
    • 两步登录
      • 为何要使用两步登录?
      • 设置两步登录
        • 两步登录方式
        • 两步登录 - 验证器
        • 两步登录 - 电子邮箱
        • 两步登录 - Duo
        • 两步登录 - YubiKey
        • 两步登录 - 通行密钥
      • 获取恢复代码
      • 无法访问两步登录
      • 两步登录 FAQ
  • Password Manager
    • Password Manager 概述
    • 入门
      • Password Manager 网页 App
      • Password Manager 浏览器扩展
      • Password Manager 移动 App
      • Password Manager 桌面 App
    • 密码库基础
      • 密码库项目
      • 用户名 & 密码生成器
      • 自定义字段
      • 集成的身份验证器
      • 文件附件
      • 共享
      • 集合
    • 密码库管理
      • 文件夹
      • 收藏
      • 同步密码库
      • 检索密码库
      • 密码库健康报告
    • 导入 & 导出
      • 导入数据到密码库
      • 导入指南
        • 从 LastPass 导入
        • 从 1Password 导入
        • 从 Keeper 导入
        • 从 Dashlane 导入
        • 从 Google Chrome 导入
        • 从 macOS & Safari 导入
        • 从 Firefox 导入
        • 从 Password Safe 导入
        • 从 Myki 导入
      • 导出密码库数据
      • 加密导出
      • 调整 Bitwarden .csv 或 .json
      • *Bitwarden 导入器工具
      • 导入 & 导出 FAQ
    • 自动填充
      • 从 ... 自动填充
        • 从浏览器扩展自动填充
        • 从浏览器扩展自动保存
        • 从 iOS App 自动填充
        • 从 Android App 自动填充
      • 更多自动填充选项
        • 自动填充通行密钥
        • 自动填充支付卡 & 身份
        • 自动填充自定义字段
        • 自动填充基本验证提示
        • 对指定网站屏蔽自动填充
        • 对指定网站屏蔽自动保存
        • 键盘快捷键
      • 自动填充故障排除
        • 用于自动填充的 URI
        • 禁用浏览器的内置密码管理器
        • Android 自动填充故障排除
      • 自动填充 FAQ
    • Bitwarden Send
      • 关于 Send
      • 创建 Send
      • 接收 Send
      • Send 生命周期
      • Send 隐私
      • CLI 上的 Send
      • Send 加密
      • Send FAQ
    • 开发者工具
      • Password Manager API
      • Password Manager CLI
      • CLI 身份验证挑战
      • 用于 CLI 验证的个人 API 密钥
      • SSH 代理
    • 更多
      • Password Manager FAQ
      • 更改 App 主题
      • 本地化
      • DuckDuckGo macOS 浏览器集成
      • Apple Watch 上的 Bitwarden
      • 在 Firefox 隐私窗口中使用 Bitwarden
      • 离线使用 Bitwarden
      • Safari 网页扩展
      • uMatrix 和 NoScript 访问规则
      • 与 Bitwarden 支持排除移动端故障
  • Bitwarden Authenticator
    • Bitwarden Authenticator
    • 导入 & 导出
    • FAQ
  • Secrets Manager
    • Secrets Manager 概述
    • 入门
      • Secrets Manager 快速入门
      • 开发人员快速入门
      • 登录 Secrets Manager
      • 管理您的组织
    • 您的机密
      • 工程
      • 机密
      • 机器账户
      • 访问令牌
      • 机密解密
    • 导入 & 导出
      • 导入数据
      • 导出数据
    • 开发人员工具
      • Secrets Manager CLI
      • Secrets Manager SDK
    • 集成
      • Ansible
      • GitHub Actions
      • GitLab CI/CD
      • Secrets Manager Kubernetes Operator
    • 更多
      • Secrets Manager FAQ
  • 管理控制台
    • 组织快速入门
    • 组织基础
      • 组织
      • 集合
      • 群组
      • 企业策略
      • 集合管理
    • 用户管理
      • 用户管理
      • 成员角色和权限
      • 声明域名
      • 声明账户
      • 账户恢复
      • SCIM
        • 关于 SCIM
        • JumpCloud SCIM 集成
        • Microsoft Entra ID SCIM 集成
        • Okta SCIM 集成
        • OneLogin SCIM 集成
        • Ping Identity SCIM 集成
      • 目录连接器
        • 关于目录连接器
        • 目录连接器桌面 App
        • 目录连接器 CLI
        • 目录连接器文件存储
        • 同步选项和筛选器
        • 清除同步缓存
        • 调度同步
        • 使用 AD 或 LDAP 同步
        • 使用 Microsoft Entra ID 同步
        • 使用 Google Workspace 同步
        • 使用 Okta 同步
        • 使用 OneLogin 同步
      • 入职和继任概述
    • 导入 & 导出
      • 导入数据到组织
      • 导出密码库数据
      • 调整 Bitwarden .csv 或 .json
    • SSO 登录
      • 关于 SSO 登录
      • SAML 2.0 配置
      • OIDC 配置
      • 成员解密选项
      • 声明域名
      • 实施指南
        • ADFS SAML 实施
        • Auth0 SAML 实施
        • AWS SAML 实施
        • Duo SAML 实施
        • Google SAML 实施
        • JumpCloud SAML 实施
        • Keycloak SAML 实施
        • Microsoft Entra ID SAML 实施
        • Okta SAML 实施
        • OneLogin SAML 实施
        • Ping Identity SAML 实施
        • ADFS OIDC 实施
        • Microsoft Entra ID OIDC 实施
        • Okta OIDC 实施
        • Ping Identity OIDC 实施
        • Cloudflare Zero Trust SSO 实施
      • 受信任设备
        • 关于受信任设备
        • 设置受信任设备 SSO
        • 批准受信任设备
      • *在您的 IdP 上配置 Bitwarden(SAML 2.0)
      • SSO 登录 FAQ
    • 报告
      • 密码库健康报告
      • 事件日志
      • 监控事件日志
      • 配置 SIEM
        • Elastic SIEM
        • Microsoft Sentinel SIEM
        • Panther SIEM
        • Rapid7 SIEM
        • Splunk SIEM
    • 最终用户入职
      • 关于本章节
      • 欢迎电子邮件模板
      • 管理团队入职电子邮件
      • 最终用户入职电子邮件
      • 最终用户采用电子邮件
      • 客户激活套件
      • 入职流程
    • 部署客户端 App
      • 部署浏览器扩展
        • 使用 GPO、Linux 策略和 .plist 文件部署浏览器扩展
        • 使用 Intune 部署浏览器扩展
      • 部署桌面端 App
        • 使用 Intune 部署桌面端 App
      • 部署移动端 App
        • 使用 Intune 部署移动端 App
      • 连接托管设备
      • 使用设备管理停用浏览器密码管理器
    • Bitwarden 公共 API
    • 更多
      • 组织 FAQ
      • 链接到项目
      • 企业版 Bitwarden 功能数据表
      • 团队版和企业版迁移指南
      • LastPass 企业版迁移指南
      • 组织所有者离职时的访问权限管理
      • 组织赞助的家庭计划
      • PoC 项目清单
      • 为生产准备试用组织
      • *团队版 Bitwarden 对比指南
  • 提供商门户
    • 提供商门户概览
    • 提供商门户快速入门
    • 提供商用户
    • 添加客户组织
    • *添加现有组织
    • 持续管理
    • 取消链接客户组织
    • 提供商事件日志
    • 提供商计费
    • 提供商 FAQ
    • 业务单元门户
      • 业务单元门户
      • 业务单元门户快速入门
  • 自托管
    • 部署计划
      • 自托管 Bitwarden
      • 自托管检查清单
      • 自托管组织
      • 迁移到新服务器
    • 部署 & 配置
      • 使用 Docker 部署
        • Linux 标准部署
        • Linux 手动部署
        • Linux 离线部署
        • Windows 标准部署
        • Windows 离线部署
        • Unified 部署 (Beta)
      • 使用 Helm 部署
        • 使用 Helm 自托管
        • AWS EKS 部署
        • Azure AKS 部署
        • OpenShift 部署
        • 添加 rawManifest 文件
      • 配置选项
        • 环境变量
        • 证书选项
        • 数据库选项
        • 连接到外部 MSSQL 数据库
        • 配置推送中继
        • Kerberos 集成
      • 可选功能
        • 自托管 Send
        • 自托管 SCIM
        • 自托管家庭赞助
    • 连接客户端
      • 连接托管设备
      • 连接个人客户端
    • Key Connector
      • 关于 Key Connector
      • 部署 Key Connector
    • 系统管理员门户
    • 组织或高级用户许可证
    • 更新服务器
    • 备份服务器数据
    • *作为 MSP 部署 Bitwarden
    • 托管 FAQ
  • 安全
    • Bitwarden 安全白皮书
    • 数据
      • 加密的数据
      • 管理数据
      • 数据存储
      • 网站图标的数据隐私
    • 加密
      • 加密协议
      • 加密密钥派生
      • 加密密钥轮换
      • 账户指纹短语
    • 软件开发
      • 服务器 & 客户端版本
      • 软件发布支持
    • 可信任的通讯
      • Bitwarden 域名、端点和 URL
      • 识别来自 Bitwarden 的合法电子邮件
      • 来自 Bitwarden 服务器的电子邮件
    • 合规、审计和认证
    • Bitwarden 分包商
    • 服务器地理位置
    • 安全 FAQ
  • 计划和定价
    • Password Manager
      • Password Manager 计划
      • 从个人升级到组织
      • 兑换家庭赞助
      • 高级会员续费
    • Secrets Manager
      • Secrets Manager 计划
      • 注册 Secrets Manager
    • Bitwarden 经销商
    • 开始企业版试用
    • 组织续费
    • 更新计费信息
    • 税费计算
    • 删除账户或组织
    • 取消订阅
    • 计费 FAQ
    • *更新 Bitwarden 计划 (2019-2020)
    • *更新 Password Manager 计划 & 订阅
    • *哪种计划适合我?
  • 学习中心
    • 关于学习中心
    • 使用 Bitwarden 的第一步
    • 了解 Password Manager
    • Password Manager
      • Bitwarden 入门:个人用户
      • Bitwarden 入门:管理员
      • Bitwarden 入门:成员
      • Bitwarden 入门:经销商或 MSP
    • Bitwarden 高级用户
    • 面向企业管理员的 Bitwarden
    • 了解 Secrets Manager
    • 面向 MSP 的 Bitwarden
    • 了解 Passwordless.dev
  • *杂项
    • 异常流量错误
    • 11 月弃用通知
    • Bitwarden 术语表
    • 迁移脚本
    • Bitwarden 101 视频系列-入门
    • Secrets Manager Beta 版注册
    • 未分配的密码库项目已移至管理控制台
    • 原生移动 App
    • 通行密钥 FAQ
  • 附录
    • 翻译约定
    • 资源
由 GitBook 提供支持
在本页
  • 开始使用受信任设备
  • 工作原理
  • 用于受信设备的密钥
  • 对主密码的影响
  • 对其它功能的影响
  1. 管理控制台
  2. SSO 登录
  3. 受信任设备

关于受信任设备

上一页受信任设备下一页设置受信任设备 SSO

最后更新于3个月前

对应的官方文档地址

受信任设备 SSO 允许用户使用 SSO 进行身份验证,并使用设备存储的加密密钥解密其密码库,而无需输入主密码。受信任设备必须在登录尝试前注册,或通过几种不同的方法获得批准。

受信任设备 SSO 可为企业终端用户提供零知识和端到端加密的无密码体验。这可以防止用户因忘记主密码而被锁定,让他们享受简化的登录体验。

开始使用受信任设备

要开始使用受信任设备 SSO:

  1. 为您的组织设置受信任设备 SSO。

  2. 向管理员提供有关如何批准设备请求的信息。

  3. 向最终用户提供有关如何添加受信任设备的信息。

工作原理

以下选项卡描述了不同的受信任设备程序中的加密过程和密钥交换:

当新用户加入组织时,会使用组织公钥对其账户加密密钥进行加密,从而创建账户恢复密钥(了解更多)。账户恢复是启用受信任设备 SSO 的先决条件。

然后询问用户是否想要记住或信任此设备。当他们选择这样做时:

  1. 客户端生成新的设备密钥。该密钥永远不会离开客户端。

  2. 客户端生成新的 RSA 密钥对:设备私钥和设备公钥。

  3. 用户的账户加密密钥使用未加密的设备公钥进行加密,然后将结果值作为公钥-已加密的用户密钥发送到服务器。

  4. 设备公钥使用用户的账户加密密钥进行加密,然后将结果值作为用户密钥-已加密的公钥发送到服务器。

  5. 设备私钥使用第一个设备密钥进行加密,然后将结果值作为设备密钥-已加密的私钥发送到服务器。

最重要的是,当用户开始登录时,公钥-已加密的用户密钥和设备密钥-已加密的私钥将从服务器发送到客户端。

如果用户需要轮换其账户加密密钥,将使用用户密钥-已加密的公钥。

当用户在已受信任的设备上使用 SSO 进行身份验证时:

  1. 用户的公钥-已加密的用户密钥(用于解密密码库数据的账户加密密钥的加密版本)从服务器发送到客户端。

  2. 用户的设备密钥-已加密的私钥(解密公钥-已加密的用户密钥所需的未加密版本)从服务器发送到客户端。

  3. 客户端使用设备密钥对设备密钥-已加密的私钥进行解密,设备密钥从未离开过客户端。

  4. 现在未加密的设备私钥用于解密公钥-已加密的用户密钥,从而产生用户的账户加密密钥。

  5. 用户的账户加密密钥解密密码库数据。

当用户使用 SSO 进行身份验证,并选择使用未受信任的设备(即设备对称密钥不存在于该设备上)解密其密码库时,他们需要选择一种方法来批准该设备,并选择信任该设备,以便将来无需进一步批准即可使用。接下来会发生什么取决于所选的选项:

  • 从其他设备批准:

    1. 触发此处记录的流程后,客户端就获得并解密了账户加密密钥。

    2. 用户现在可以使用解密后的账户加密密钥解密其密码库数据。如果用户选择信任该设备,则会按照入职选项卡中的说明与客户端建立信任。

  • 请求管理员批准:

    1. 发起请求的客户端向 Bitwarden 数据库中的验证请求表 POST 一个请求,其中包括账户电子邮件地址、唯一的身份验证请求公钥ª 和访问代码。

    2. 管理员可在设备批准页面上批准或拒绝此请求。

    3. 请求获得管理员批准后,被批准客户端会使用请求中包含的身份验证请求公钥对用户的账户加密密钥进行加密。

    4. 然后,被批准客户端将加密后的账户加密密钥 PUT 到验证请求记录,并标记为请求已完成。

    5. 发起请求的客户端 GET 到加密后的账户加密密钥,然后使用身份验证请求私钥ª 对它进行本地解密。

    6. 使用解密后的账户加密密钥,与客户端建立信任关系,详见入职选项卡。

ª - 身份验证请求公钥和私钥是为每一个无密码登录请求生成的唯一密钥,其存在时间与请求的存在时间相同。未被批准的请求,请求将在 1 周后过期。

  • 使用主密码批准:

    1. 按照安全白皮书中「身份验证和解密」部分的说明,获取并解密用户的账户加密密钥。

    2. 使用解密后的账户加密密钥,按照入职选项卡中的说明与客户建立信任。

只有拥有主密码的用户才能轮换其账户加密密钥。了解更多。

当用户轮换其账户加密密钥时,正常轮换过程如下:

  1. 用户密钥-已加密的公钥从服务器发送到客户端,然后使用旧的账户加密密钥(又称用户密钥)对其解密,得到设备公钥。

  2. 使用未加密的设备公钥对用户的新的账户加密密钥进行加密,然后将结果值作为新的公钥-已加密的用户密钥发送到服务器。

  3. 使用用户的新的账户加密密钥对设备公钥进行加密,然后将结果值作为新的用户密钥-已加密的公钥发送到服务器。

  4. 为此用户持久保存在服务器上的所有其他设备的受信任设备加密密钥都会被清除。这样,服务器上就只保留该单个设备所需的三个密钥(公钥-已加密的用户密钥、用户密钥-已加密的公钥和在此过程中未被更改的设备密钥-已加密的私钥)。

任何现在未受信任的客户端都必须通过批准选项卡中说明的方法之一重新建立信任。

用于受信设备的密钥

本表格提供了有关上述过程中所使用的每一种密钥的更多信息:

密钥
详细信息

设备密钥

AES-256 CBC HMAC SHA-256,长度为 512 位(其中密钥 256 位,HMAC 256 位)

设备私钥和设备公钥

RSA-2048 OAEP SHA1,长度为 2048 位

公钥-已加密的用户密钥

RSA-2048 OAEP SHA1

用户密钥-已加密的公钥

AES-256 CBC HMAC SHA-256

设备密钥-已加密的私钥

AES-256 CBC HMAC SHA-256

对主密码的影响

虽然使用受信任设备 SSO 可以消除对主密码的需求,但并非在所有情况下都能消除主密码本身:

  • 如果用户是在受信任设备 SSO 激活之前入职的,或者如果他们从组织邀请中选择了创建账户,则他们的账户将保留其主密码。

  • 如果用户是在受信任设备 SSO 激活之后入职的,并从组织邀请中选择登录 → 企业 SSO 进行 JIT 配置,则他们的账户将无需拥有主密码。如果您更改为主密码成员解密选项,只要这些用户仍然是组织的成员,系统就会在他们登录时提示创建一个主密码(了解更多)。

  • 如果使用账户恢复功能恢复了用户账户,就必须为其分配一个主密码。目前,有了主密码后,就无法将其从账户中移除,因此,为了避免出现这种结果,我们建议:(i) 指导用户将数据导出到备份中;(ii) 完全删除丢失的账户;(iii) 要求用户使用受信任设备重新入职到您组织;(iv) 用户完成这些后,指导他们导入备份。

对于那些因使用受信任设备 SSO 而没有主密码的账户,将其从您的组织中移除或撤销其访问权限将切断其对 Bitwarden 账户的所有访问权限,除非:

  1. 您事先使用账户恢复功能为其分配了主密码。

  2. 用户在账户恢复后至少登录一次,以便完全完成账户恢复流程。

此外,除非在将用户从组织中删除之前执行上述步骤,否则用户将无法重新加入您的组织。在这种情况下,用户将需要删除其账户,并接收新的邀请以创建账户并加入您的组织。

撤销对组织的访问权限,但不将其从组织中移除,仍可让他们登录 Bitwarden 并只能访问其个人密码库。

对其它功能的影响

根据您的客户端内存中是否有主密码哈希(由客户端应用程序最初被访问的方式决定),它可能会表现出以下行为变化:

功能
影响

验证

如果用户不使用主密码访问客户端,所有这些功能都将使用基于电子邮件的 TOTP 验证来取代主密码确认。

密码库锁定/解锁

如果客户端应用程序既没有启用 PIN 也没有启用生物识别,则密码库将始终注销而不是锁定。解锁和登录始终需要互联网连接。

主密码重新提示

更改电子邮箱地址

CLI

Bitwarden 客户端应用程序中有许多功能通常需要输入主密码才能使用,包括、更改、检索 等。

一般情况下,被锁定的密码库可以使用主密码解锁。如果用户不使用主密码访问客户端,则被锁定的客户端应用程序只能使用 或解锁。

如果用户不使用主密码解锁其密码库,则将被禁用。

的用户将无法更改他们电子邮箱地址。

的用户将无法访问密码管理器 CLI。

导出密码库数据
两步登录设置
API 密钥
PIN
生物识别
主密码重新提示
没有主密码
没有主密码
创建受信任设备
使用受信任设备