⮐ Bitwarden Help Center个人主页联系我

SSO 登录 FAQ

对应的官方文档地址

本文包含了关于 SSO 登录的常见问题 (FAQ)。有关 SSO 登录的更多高级信息,请参考关于 SSO 登录

使用 SSO 登录

问:SSO 身份验证可以代替我的主密码和电子邮箱吗?

答:如果您的组织正在使用受信任设备 SSO 或使用 Key Connector 自托管解密密钥,则 SSO 登录工作流程确实可以取代输入主密码登录的需要。在标准 SSO 工作流程中,Bitwarden 会利用您现有的身份提供程序 (IdP) 对您进行身份验证,但您仍必须输入主密码和电子邮箱才能解密您的密码库数据。

问:为什么 SSO 登录需要主密码?

答:除非您的企业使用受信设备 SSO,否则用户在使用 SSO 登录时必须输入主密码才能解密他们的密码库,从而保护企业的关键凭据和机密。

SSO 登录保留了我们的端到端零知识加密模型;Bitwarden 的任何人都没有您的密码库数据的访问权限,重要的是,您的身份提供程序也没有。这就是为什么 Bitwarden 的 SSO 登录要将身份验证和解密分开的原因。您的 IdP 可以确认 Alice 确实是 Alice,但不能也不应该拥有解密 Alice 密码库的工具。只有 Alice 才能拥有这种工具,在标准的 SSO 登录流程中,这就是她的主密码。了解使用受信任设备 SSO 时如何解密数据

Bitwarden 为企业提供了两种解决方案,允许经过批准的企业成员在不使用主密码的情况下访问他们的 Bitwarden 账户:

受信任设备 SSO 是一项功能,允许使用 SSO 登录的组织创建并存储成员设备的加密密钥,从而无需输入主密码。了解更多有关受信任设备 SSO 的信息

自托管 Bitwarden 组织可利用 Key Connector 向 Bitwarden 客户端提供解密密钥,而无需用户使用主密码对密码库数据进行解密。在这里这里了解更多信息。

问:更改我的 SSO 密码会影响我的 Bitwarden 主密码吗?

答:不会,您的主密码将保持不变。必须使用您的主密码来解密密码库数据,除非您的组织使用 Key Connector 来自托管解密密钥。

问:如果我的组织启用了 SSO,我仍可以使用主密码登录吗?

答:默认情况下,是可以的,您可以使用您的电子邮件地址和主密码登录 Bitwarden。但是,如果您的组织同时启用了单一组织单点登录验证策略,或者您的组织使用了 Key Connector,则所有非管理员用户都会被要求使用 SSO 登录。

问:新用户如何使用 SSO 登录(即时)?

答:在 IdP 中授权使用 Bitwarden 应用程序以及在 Bitwarden 登录页面上选择了登录企业 SSO 的新用户将被置于其组织的接受状态,直到管理员确认。

当该用户被手动或通过 Directory Connector 分配到一个组群时,他们将获得相应共享项目的访问权限。 如果您希望成员不使用主密码,而只能使用受信任设备,建议使用 JIT 配置。

问:我仍然需要使用 Bitwarden 目录连接器吗?

答:如果您直接在 Bitwarden 中管理 Bitwarden 群组和集合分配,则无需使用目录连接器。但是,如果您希望群组和用户能自动与您的组织目录同步,我们建议将 SSO 登录和目录连接器结合使用以获得最完整的解决方案。

问:每次登录时是否都需要输入 SSO 标识符吗?

答:不需要!如果您的组织使用域名验证,则无需输入此标识符。否则,管理员应分发以下 URL(其中 {your-sso-identifier} 是您的组织的 SSO 标识符),以自动将用户重定向到 SSO 登录界面:

  • 对于 US 云托管实例:https://vault.bitwarden.com/#/sso?identifier={your-sso-identifier}

  • 对于 EU 云托管实例:https://vault.bitwarden.eu/#/sso?identifier={your-sso-identifier}

  • 对于自托管实例:https://your.domain.com/#/sso?identifier={your-sso-identifier}

问:如何更改预先生成的 SSO 配置的值?

答:通过更改 .bwdata/config.yml 中的 url: 值并运行 ./bitwarden.sh rebuild 命令以应用您的更改。可以在自托管环境中更改预先生成的 SSO 配置值,包括 SP 实体 IDSAML 2.0 元数据 URLACS URL回调路径

安全

问:SSO 登录如何与零知识模型协同工作?

答:使用 SSO 凭证登录 Bitwarden 仅执行用户身份验证,并不解密用户数据。在大多数情况下,通过使用受信任设备 SSO 时的设备密钥完成解密,或通过使用主密码完成解密,而主密码则由用户全权负责。自托管 Bitwarden 组织也可以使用 Key Connector 作为解密密码库数据的替代手段。添加 SSO 功能不会在 Bitwarden 数据库中引入更多个人身份信息。

计费

问:哪些计划提供 SSO 登录功能?

答:企业计划提供此功能。

问:如何升级我的计划,以便使用 SSO 登录?

答:在管理控制台中,导航至订阅计费页面然后选择升级计划。我们强烈建议您开始 7 天企业免费试用,以测试 SSO 登录。

可支持性

问:Bitwarden 支持 OAuth 2.0吗?

答:Bitwarden 支持 OpenID Connect,但目前不支持 OAuth。

问:SSO 登录可以在 Bitwarden 自托管实例上使用吗?

答:是的。SSO 登录适用于自托管实例,无论实例是在本地还是在您自己的云中,只要实例可以访问您的身份服务器即可。

问:SSO 登录是否可以在混合云环境下工作?

答:可以。SSO 登录只要求能够从您的 Bitwarden 实例连接到您的身份提供程序。它可以用于云或本地身份提供程序,以及云或自托管的 Bitwarden 实例。

问:如果我的身份提供程序离线,用户可以使用 SSO 登录验证进入 Bitwarden 吗?

答:如果您的身份提供程序离线,用户必须使用他们的电子邮箱和主密码登录。随着我们为组织启用更多的验证控制机制,这一点可能会在未来发生变化。

上一页*在您的 IdP 上配置 Bitwarden(SAML 2.0)下一页报告

最后更新于