De toewijding van Keeper Security om gebruikersgegevens te beschermen is terug te zien in alles wat we doen. Keeper heeft de langst bestaande SOC 2- en
Single Sign On (SSO) helpt organisaties hun beveiliging te verbeteren en de inlogervaring van werknemers te stroomlijnen. Het is bijna altijd een goed idee om een SSO-platform in uw hele organisatie te implementeren. SSO laat echter belangrijke gaten in de beveiliging en functionaliteit waar organisaties zich bewust van moeten zijn en die ze moeten aanpakken.
SSO kan niet alles dekken. Veel websites, applicaties en systemen zijn niet inbegrepen in SSO-implementaties en elk van deze sites vormt een risico op het gebied van cybersecurity. SSO vertegenwoordigt daarbij een single point of failure. Wanneer een gebruiker is buitengesloten van SSO, heeft deze geen toegang tot de meeste websites of systemen die nodig zijn om hun werk te doen.
Door een veilige wachtwoordkluis met SSO te integreren, kunnen organisaties deze gaten elimineren en de beveiliging verbeteren. Daarom geeft Keeper Security prioriteit aan integraties met alle toonaangevende SSO-providers.
In 2016 kreeg Keeper twee Amerikaanse patenten van nutsbedrijven (11.363.009 en 10.356.079) voor de nieuwe benadering van zero-knowledge SSO-integratie. De patenten van Keeper omvatten zowel SAML als OIDC-identiteitsprotocollen. SAML biedt echter verschillende voordelen vanuit het oogpunt van beveiliging en bruikbaarheid. Daarom gebruikt Keeper SSO Connect SAML voor de zero-knowledge SSO-integratie.
Wat is het verschil tussen OIDC en SAML?
Hoewel SAML en OIDC beide identiteitsprotocollen zijn die gebruikers authenticeren, hebben ze aanzienlijke verschillen in hun beveiligingsniveaus.
- Op SAML gebaseerde SSO is de industriestandaard voor bedrijfsapplicaties, omdat het veel meer ontwikkeld is en een bewezen staat van dienst op het gebied van beveiliging heeft.
- OIDC is over het algemeen gereserveerd voor oplossingen met minder beveiligingseisen of waarbij een integratie snel moet worden uitgevoerd.
Zo biedt SAML een superieure beveiliging
Met de volledig beheerde oplossing van Keeper kunnen organisaties profiteren van de superieure beveiligings- en gebruiksfuncties van SAML.
Bedrijfsfuncties
SAML is een robuuste standaard die een breed scala aan bedrijfsfuncties ondersteunt die niet beschikbaar of niet zo goed ontwikkeld zijn op het gebied van OIDC. SAML ondersteunt bijvoorbeeld Single Logout (SLO)-functionaliteit die sessies in meerdere applicaties kan beëindigen. OIDC heeft geen sessiecontrole over de wachtwoordmanager en is meestal geschikter voor consumentengerichte applicaties waar sociale logins vereist zijn.
Geen geheim aan de cliëntzijde
Hoewel OIDC geen geheim aan de cliëntzijde vereist, introduceert de PKCE-stroom een nieuw concept van een ‘codeverifier’ en ‘code-uitdaging’. Deze lijken op geheimen, maar worden dynamisch gegenereerd voor elk authenticatieverzoek.
In SAML is er geen equivalent aan het cliëntgeheim, waardoor deze workflow wordt vermeden. In plaats daarvan wordt vertrouwen tussen partijen gecreëerd door certificaten uit te wisselen, waarbij privésleutels op elke server veilig worden bewaard, waardoor een veiligere transactie ontstaat.
Superieure controle over gebruikerssessies
SAML SSO werkt door gegevens te registreren via de browser van de gebruiker en stelt de applicatie in staat om zijn eigen sessie te beheren, waardoor er nauwkeurige controle over gebruikerssessies wordt geboden. OIDC kan daarentegen leiden tot situaties waarin de gebruiker de valse indruk heeft dat deze bij de wachtwoordmanager is uitgelogd, maar in werkelijkheid is er nog steeds een geldige sessie actief bij de identiteitsprovider. Hierdoor kan een kluis met één klik blootgesteld worden aan een lokale machineaanval.
SSO met Keeper vs concurrenten
Keeper SSO Connect is een SAML 2.0-service die met uw SSO-platform integreert om zero-knowledge wachtwoordbeheer en -versleuteling te bieden. Inbegrepen bij Keeper Enterprise hebt u toegang tot een volledig wachtwoordloze ervaring die werkt met alle identiteitsproviders. Met Keeper biedt SSO Connect Cloud de beste naadloze ervaring in vergelijking met de rest van de concurrenten.
1Password heeft een update voor hun SSO-integratie aangekondigd. De 1Password-integratie is gebouwd op OIDC en ontbreekt daarom op verschillende belangrijke gebieden.
Bitwarden ondersteunt SAML 2.0, maar voor alle cloudimplementaties moeten Bitwarden-gebruikers inloggen en elke keer dat ze inloggen een masterwachtwoord onthouden. Voor implementaties op locatie geldt dat het elimineren van de masterwachtwoordstap het gebruik van een lokale ‘Key Connector’-service vereist die alle encryptiesleutels van eindgebruikers onderhoudt en host. Deze Key Connector-service wordt een kritieke infrastructuur waarvoor opgeleid personeel nodig is en het moet door de klant kunnen worden onderhouden.
Beveiliging
Gebruikers zijn standaard uitgelogd bij Keeper wanneer ze hun browser sluiten, hun computer opnieuw opstarten of ervoor kiezen om uit te loggen bij hun extensie, waardoor ze opnieuw moeten inloggen bij hun SSO-provider, multifactorauthenticatie (MFA) of masterwachtwoord om opnieuw toegang te krijgen tot de kluis.
Met wachtwoordmanagers die op OIDC zijn gebouwd, bent u mogelijk nog steeds ingelogd bij de identiteitsprovider. Er is daarom slechts één klik vereist om opnieuw toegang te krijgen tot de kluis, zonder extra verificatie, wat betekent dat u niet echt bent uitgelogd.
Herstel
De aanschaf van een nieuw apparaat moet spannend zijn. Met Keeper profiteert u van naadloze, geautomatiseerde methoden die pushmeldingen gebruiken zodat uw installatie naadloos verloopt en waardoor u direct toegang hebt tot de kluis op uw nieuwe apparaat.
Bij andere wachtwoordmanagers moet je je oude apparaat onderhouden of een beheerder het herstel laten starten zodat je je kunt aanmelden en toegang kunt krijgen tot je gegevens, waardoor het langdurige proces van login-pogingen en e-mails heen en weer sturen naar de beheerder vermeden wordt.
Multifactorauthenticatie
Als dit is ingeschakeld, vereist Keeper apparaatgoedkeuring en MFA voordat u uw hoofdwachtwoord invoert om toegang te krijgen tot uw kluis, waardoor de beveiliging wordt verhoogd en uw inloggegevens alleen door u toegankelijk zijn. Bij implementatie met SSO ondersteunt Keeper bovendien het vragen om MFA voorafgaand aan het ontsleutelen van de lokale kluis. Keeper ondersteunt FIDO2-beveiligingssleutels, DUO-, TOTP- en sms-methoden. Keeper is de enige oplossing die naast lokale MFA ook SSO-verificatie met voorwaardelijk toegangsbeleid ondersteunt.
Concurrenten waarmee u uw inloggegevens vóór MFA kunt invoeren, lopen uw inloggegevens het risico op een brute force-aanval. Sommige concurrenten hebben CAPTCHA geïmplementeerd, maar dit kan eenvoudig worden omzeild met Captcha Farms.
Break glass en alternatieve authenticatiemethoden
Als uw SSO-identiteitsprovider een storing heeft, bent u nog steeds beveiligd met Keeper. Wanneer biometrische gegevens op een apparaat worden gebruikt (zoals Touch ID, Face ID of Windows Hello), kan de gebruiker zich veilig en snel authenticeren in zijn kluis zonder dat hij op elk verzoek via de identiteitsprovider moet routeren. Naast standaard SAML SSO-authenticatie en biometrische gegevens ondersteunt Keeper zelfs een secundaire masterwachtwoordmethode die voor gebruikers kan worden geactiveerd wanneer de beheerder dit toestaat. Al deze workflows en authenticatiemethoden worden ondersteund door het op rollen gebaseerde handhavingsbeleid van Keeper.
SCIM-ondersteuning
Keeper is een volledig beheerd cloudgebaseerd platform, waardoor u een snelle en eenvoudige manier hebt om gebruikers te provisioneren. SCIM is een standaardprotocol voor het uitwisselen van gebruikersidentiteiten tussen IT-systemen. Met de volledige ondersteuning van Keeper voor SCIM 2.0 kan elke identiteitsbron eenvoudig worden geïntegreerd in de workflow van Keeper. Er is geen ingewikkelde lokale infrastructuur nodig, omdat alle communicatie plaatsvindt tussen de identiteitsprovider en de Keeper-cloud.
Aan de andere kant vereist 1Password dat klanten een server binnen de infrastructuur van het bedrijf implementeren om gebruikers SSO te kunnen bieden.
Intellectueel eigendom
Keeper ontwikkelde het draaiboek voor zero-knowledge encryptie met SSO-cloudproviders en kreeg er in 2016 twee patenten voor. De zero-knowledge SSO-integratie van Keeper is al 8 jaar in productie, veel langer dan bij alle andere concurrenten.
1Password heeft geen patenten voor hun SSO-integratie. De 1Password-integratie werd gelanceerd op 16 maart 2023. Gebruikers hebben gemeld dat deze veel moeilijker is om te installeren.
De keuze is duidelijk
Keeper bouwt alles met één hoofddoel: hoe kan dit zo veilig mogelijk zijn voor gebruikers en tegelijkertijd een eenvoudige en positieve gebruikerservaring garanderen?
SAML vormt de basis voor de platformintegratie van Keeper met SSO en is de veiligste verbinding die beschikbaar is. De implementatie van Keeper van SSO-integratie met de kluis is de meest naadloze en veilige oplossing die momenteel verkrijgbaar is. Keeper blijft innoveren om te garanderen dat dit het beste platform blijft voor de bescherming van uw meest waardevolle gegevens.