SSO 登录常见问题
本文包含了关于 SSO 登录的常见问题(FAQ)。
答:SSO 登录允许您的员工使用您现有的身份提供程序 (IdP) 来验证他们的身份(即证明他们就是他们所说的那个人)。与其他工具相 比,SSO 登录的独特之处在于它保留了我们的端到端零知识加密模型。Bitwarden 的任何人都不应该拥有您的密码库数据的访问权限,以及重要的是,您的身份提供程序也不应该。
这就是为什么 Bitwarden 的 SSO 登录将验证和解密分开的原因。您的 IdP 可以确认 Alice 实际上是 Alice,但不能也不应该拥有工具来解密 Alice 的密码库。只有 Alice 可以拥有这个工具,而且很方便,这就是她的主密码!
实际上,这意味着任何时候员工使用 SSO 登录 Bitwarden,他们都需要使用他们的主密码来解密他们的密码库,从而保护您的企业的关键凭据和机密。
答:不能。SSO 登录利用您现有的身份提供程序(IdP)来验证您进入Bitwarden 的身份,但是您的主密码和电子邮件仍然必须输入,以用于解密您的密码库数据,除非您的组织使用 Key Connector 来自托管解密密钥。
答:默认情况下,是可以的,您可以使用您的电子邮件地址和主密码登录 Bitwarden。但是,如果您的组织同时启用了单一组织和单点登录验证策略,或者您的组织使用了 Key Connector,则所有非管理员用户都会被要求使用 SSO 登录。
答:使用 SSO 登录到其组织的新用户将被置于其组织的接受状态,直到得到管理员的确认。如果随后将该用户手动分配或通过 Bitwarden 目录连接器分配给群组,届时他们将获得相应的共享项目的访问权限。
答:如果您直接在 Bitwarden 中管理 Bitwarden 群组和集合分配,则无需使用目录连接器。但是,如果您希望群组和用户能自动与您的组织目录同步,我们建议将 SSO 登录和目录连接器结合使用以获得最完整的解决方案。
答:不需要!将您的组织标识符作为您的企业单点登录页面的查询字符串,并将企业单点登录页面加入书签,将省去您每次输入的麻烦。示例:
- 对于云托管实例:
https://vault.bitwarden.com/#/sso?identifier=your-org-id
- 对于自托管实例:
https://your.domain.com/#/sso?identifier=your-org-id
答:通过更改
.bwdata/config.yml
中的 url:
值并运行 ./bitwarden.sh rebuild
命令以应用您的更改。可以在自托管环境中更改预先生成的 SSO 配置值,包括 SP 实体 ID、SAML 2.0 元数据 URL、ACS URL 和回调路径。答:Bitwarden SSO 登录仅执行用户身份认证,而不用于解密用户数据。添加 SSO 功能并不会将任何进一步的个人身份信息引入到 Bitwarden 数据库中。
答:Bitwarden 支持 OpenID Connect,但目前不支持 OAuth。
答:是的。SSO 登录适用于自托管实例,无论实例是在本地还是在您自己的云中,只要实例可以访问您的身份服务器即可。
答:可以。SSO 登录只要求能够从您的 Bitwarden 实例连接到您的身份提供程序。它可以用于云或本地身份提供程序,以及云或自托管的 Bitwarden 实例。
答:如果您的身份提供程序离线,用户必须使用他们的电子邮件和主密码登录。随着我们为组织启用更多的认证控制机制,这一点可能会在未来发生变化。
最近更新 8mo ago