关于受信任设备

上一页受信任设备下一页设置受信任设备 SSO

最后更新于3个月前

关于受信任设备

对应的官方文档地址

受信任设备 SSO 允许用户使用 SSO 进行身份验证，并使用设备存储的加密密钥解密其密码库，而无需输入主密码。受信任设备必须在登录尝试前注册，或通过几种不同的方法获得批准。

受信任设备 SSO 可为企业终端用户提供零知识和端到端加密的无密码体验。这可以防止用户因忘记主密码而被锁定，让他们享受简化的登录体验。

开始使用受信任设备

要开始使用受信任设备 SSO：

为您的组织设置受信任设备 SSO。
向管理员提供有关如何批准设备请求的信息。
向最终用户提供有关如何添加受信任设备的信息。

工作原理

以下选项卡描述了不同的受信任设备程序中的加密过程和密钥交换：

当新用户加入组织时，会使用组织公钥对其账户加密密钥进行加密，从而创建账户恢复密钥（了解更多）。账户恢复是启用受信任设备 SSO 的先决条件。

然后询问用户是否想要记住或信任此设备。当他们选择这样做时：

客户端生成新的设备密钥。该密钥永远不会离开客户端。
客户端生成新的 RSA 密钥对：设备私钥和设备公钥。
用户的账户加密密钥使用未加密的设备公钥进行加密，然后将结果值作为公钥-已加密的用户密钥发送到服务器。
设备公钥使用用户的账户加密密钥进行加密，然后将结果值作为用户密钥-已加密的公钥发送到服务器。
设备私钥使用第一个设备密钥进行加密，然后将结果值作为设备密钥-已加密的私钥发送到服务器。

最重要的是，当用户开始登录时，公钥-已加密的用户密钥和设备密钥-已加密的私钥将从服务器发送到客户端。

如果用户需要轮换其账户加密密钥，将使用用户密钥-已加密的公钥。

用于受信设备的密钥

本表格提供了有关上述过程中所使用的每一种密钥的更多信息：

密钥

详细信息

设备密钥

AES-256 CBC HMAC SHA-256，长度为 512 位（其中密钥 256 位，HMAC 256 位）

设备私钥和设备公钥

RSA-2048 OAEP SHA1，长度为 2048 位

公钥-已加密的用户密钥

RSA-2048 OAEP SHA1

用户密钥-已加密的公钥

AES-256 CBC HMAC SHA-256

设备密钥-已加密的私钥

AES-256 CBC HMAC SHA-256

对主密码的影响

虽然使用受信任设备 SSO 可以消除对主密码的需求，但并非在所有情况下都能消除主密码本身：

如果用户是在受信任设备 SSO 激活之前入职的，或者如果他们从组织邀请中选择了创建账户，则他们的账户将保留其主密码。
如果用户是在受信任设备 SSO 激活之后入职的，并从组织邀请中选择登录 → 企业 SSO 进行 JIT 配置，则他们的账户将无需拥有主密码。如果您更改为主密码成员解密选项，只要这些用户仍然是组织的成员，系统就会在他们登录时提示创建一个主密码（了解更多）。
如果使用账户恢复功能恢复了用户账户，就必须为其分配一个主密码。目前，有了主密码后，就无法将其从账户中移除，因此，为了避免出现这种结果，我们建议：(i) 指导用户将数据导出到备份中；(ii) 完全删除丢失的账户；(iii) 要求用户使用受信任设备重新入职到您组织；(iv) 用户完成这些后，指导他们导入备份。

对于那些因使用受信任设备 SSO 而没有主密码的账户，将其从您的组织中移除或撤销其访问权限将切断其对 Bitwarden 账户的所有访问权限，除非：

您事先使用账户恢复功能为其分配了主密码。
用户在账户恢复后至少登录一次，以便完全完成账户恢复流程。

此外，除非在将用户从组织中删除之前执行上述步骤，否则用户将无法重新加入您的组织。在这种情况下，用户将需要删除其账户，并接收新的邀请以创建账户并加入您的组织。

撤销对组织的访问权限，但不将其从组织中移除，仍可让他们登录 Bitwarden 并只能访问其个人密码库。

对其它功能的影响

根据您的客户端内存中是否有主密码哈希（由客户端应用程序最初被访问的方式决定），它可能会表现出以下行为变化：

功能

影响

验证

如果用户不使用主密码访问客户端，所有这些功能都将使用基于电子邮件的 TOTP 验证来取代主密码确认。

密码库锁定/解锁

如果客户端应用程序既没有启用 PIN 也没有启用生物识别，则密码库将始终注销而不是锁定。解锁和登录始终需要互联网连接。

主密码重新提示

更改电子邮箱地址

CLI

上一页受信任设备下一页设置受信任设备 SSO

最后更新于3个月前

对应的官方文档地址

受信任设备 SSO 可为企业终端用户提供零知识和端到端加密的无密码体验。这可以防止用户因忘记主密码而被锁定，让他们享受简化的登录体验。

开始使用受信任设备

要开始使用受信任设备 SSO：

为您的组织设置受信任设备 SSO。
向管理员提供有关如何批准设备请求的信息。
向最终用户提供有关如何添加受信任设备的信息。

工作原理

以下选项卡描述了不同的受信任设备程序中的加密过程和密钥交换：

然后询问用户是否想要记住或信任此设备。当他们选择这样做时：

客户端生成新的设备密钥。该密钥永远不会离开客户端。
客户端生成新的 RSA 密钥对：设备私钥和设备公钥。
用户的账户加密密钥使用未加密的设备公钥进行加密，然后将结果值作为公钥-已加密的用户密钥发送到服务器。
设备公钥使用用户的账户加密密钥进行加密，然后将结果值作为用户密钥-已加密的公钥发送到服务器。
设备私钥使用第一个设备密钥进行加密，然后将结果值作为设备密钥-已加密的私钥发送到服务器。

最重要的是，当用户开始登录时，公钥-已加密的用户密钥和设备密钥-已加密的私钥将从服务器发送到客户端。

如果用户需要轮换其账户加密密钥，将使用用户密钥-已加密的公钥。

用于受信设备的密钥

本表格提供了有关上述过程中所使用的每一种密钥的更多信息：

密钥

详细信息

设备密钥

AES-256 CBC HMAC SHA-256，长度为 512 位（其中密钥 256 位，HMAC 256 位）

设备私钥和设备公钥

RSA-2048 OAEP SHA1，长度为 2048 位

公钥-已加密的用户密钥

RSA-2048 OAEP SHA1

用户密钥-已加密的公钥

AES-256 CBC HMAC SHA-256

设备密钥-已加密的私钥

AES-256 CBC HMAC SHA-256

对主密码的影响

虽然使用受信任设备 SSO 可以消除对主密码的需求，但并非在所有情况下都能消除主密码本身：

如果用户是在受信任设备 SSO 激活之前入职的，或者如果他们从组织邀请中选择了创建账户，则他们的账户将保留其主密码。
如果用户是在受信任设备 SSO 激活之后入职的，并从组织邀请中选择登录 → 企业 SSO 进行 JIT 配置，则他们的账户将无需拥有主密码。如果您更改为主密码成员解密选项，只要这些用户仍然是组织的成员，系统就会在他们登录时提示创建一个主密码（了解更多）。
如果使用账户恢复功能恢复了用户账户，就必须为其分配一个主密码。目前，有了主密码后，就无法将其从账户中移除，因此，为了避免出现这种结果，我们建议：(i) 指导用户将数据导出到备份中；(ii) 完全删除丢失的账户；(iii) 要求用户使用受信任设备重新入职到您组织；(iv) 用户完成这些后，指导他们导入备份。

对于那些因使用受信任设备 SSO 而没有主密码的账户，将其从您的组织中移除或撤销其访问权限将切断其对 Bitwarden 账户的所有访问权限，除非：

您事先使用账户恢复功能为其分配了主密码。
用户在账户恢复后至少登录一次，以便完全完成账户恢复流程。

撤销对组织的访问权限，但不将其从组织中移除，仍可让他们登录 Bitwarden 并只能访问其个人密码库。

对其它功能的影响

根据您的客户端内存中是否有主密码哈希（由客户端应用程序最初被访问的方式决定），它可能会表现出以下行为变化：

功能

影响

验证

Bitwarden 客户端应用程序中有许多功能通常需要输入主密码才能使用，包括、更改、检索等。

如果用户不使用主密码访问客户端，所有这些功能都将使用基于电子邮件的 TOTP 验证来取代主密码确认。

密码库锁定/解锁

一般情况下，被锁定的密码库可以使用主密码解锁。如果用户不使用主密码访问客户端，则被锁定的客户端应用程序只能使用或解锁。

如果客户端应用程序既没有启用 PIN 也没有启用生物识别，则密码库将始终注销而不是锁定。解锁和登录始终需要互联网连接。

主密码重新提示

如果用户不使用主密码解锁其密码库，则将被禁用。

更改电子邮箱地址

的用户将无法更改他们电子邮箱地址。

CLI

的用户将无法访问密码管理器 CLI。