Zaangażowanie Keeper Security w ochronę danych użytkowników przenika wszystko, co robimy. Keeper® posiada certyfikaty SOC 2 i ISO 27001 najdłużej z wszystkich firm z branży. Keeper
Logowanie jednokrotne (SSO) pomaga organizacjom poprawić stan bezpieczeństwa, jednocześnie usprawniając logowanie pracowników. Wdrożenie platformy SSO w całej organizacji jest prawie zawsze dobrym pomysłem. SSO pozostawia jednak istotne luki w zakresie bezpieczeństwa i funkcjonalności, których organizacje muszą być świadome, aby odpowiednio się nimi zająć.
SSO nie załatwia wszystkiego. Wiele stron internetowych, aplikacji i systemów nie jest uwzględnianych we wdrożeniach SSO, a stanowią one zagrożenie dla cyberbezpieczeństwa. Ponadto SSO tworzy pojedynczy punkt awarii. Gdy logowanie użytkownika przy użyciu SSO jest zablokowane, nie jest on w stanie uzyskać dostępu do większości stron internetowych lub systemów niezbędnych do wykonywania pracy.
Integrując bezpieczny magazyn haseł z rozwiązaniem SSO, organizacje mogą wyeliminować te luki i poprawić bezpieczeństwo. Dlatego Keeper Security priorytetowo traktuje integracje ze wszystkimi przodującymi dostawcami rozwiązania SSO.
W 2016 r. Keeper otrzymał dwa amerykańskie patenty użytkowe (11 363 009 i 10 356 079) za nowatorskie podejście do integracji SSO typu zero-knowledge. Patenty Keeper obejmują zarówno protokoły tożsamości SAML, jak i OIDC. SAML oferuje jednak kilka korzyści z punktu widzenia bezpieczeństwa i użyteczności. Dlatego Keeper SSO Connect wykorzystuje protokół SAML do integracji SSO typu zero-knowledge.
Jaka jest różnica między OIDC i SAML?
SAML i OIDC to protokoły tożsamości, które uwierzytelniają użytkowników, ale znacznie różnią się między sobą pod względem poziomu bezpieczeństwa.
- Rozwiązanie SSO oparte na SAML jest standardem branżowym dla aplikacji korporacyjnych, ponieważ jest znacznie bardziej rozwinięte i sprawdzone pod względem bezpieczeństwa.
- OIDC jest zazwyczaj zarezerwowany dla rozwiązań, które mają mniej wymagań bezpieczeństwa lub w przypadku konieczności przyspieszenia integracji.
Jak SAML zapewnia najwyższe bezpieczeństwo?
W pełni zarządzane rozwiązanie Keeper umożliwia organizacjom wykorzystanie najwyższych funkcji bezpieczeństwa i użyteczności SAML.
Funkcje korporacyjne
SAML to solidny standard obsługujący wiele różnych funkcji przedsiębiorstwa, które nie są dostępne lub nie są dobrze rozwinięte w OIDC. Przykładowo SAML obsługuje funkcję pojedynczego wylogowania (SLO), która może kończyć sesje w wielu aplikacjach. OIDC nie kontroluje sesji menedżera haseł i zazwyczaj lepiej nadaje się do aplikacji konsumenckich, w których wymagane są loginy społecznościowe.
Brak wpisów tajnych po stronie klienta
Chociaż OIDC nie wymaga wpisów tajnych po stronie klienta, proces PKCE wprowadza nową koncepcję „weryfikatora kodu” i „wyzwania kodu”. Są one podobne do wpisów tajnych, ale są generowane dynamicznie dla każdego żądania uwierzytelniania.
W rozwiązaniu SAML nie ma odpowiednika wpisu tajnego klienta, co pozwala uniknąć tego procesu. Zaufanie między stronami jest budowane poprzez wymianę certyfikatów z kluczami prywatnymi przechowywanymi na każdym serwerze, co zapewnia bezpieczniejszą transakcję.
Lepsza kontrola nad sesjami użytkowników
SAML SSO działa poprzez przesyłanie informacji za pośrednictwem przeglądarki użytkownika i umożliwia aplikacji zarządzanie własną sesją, zapewniając precyzyjną kontrolę nad sesjami użytkowników. Z drugiej strony OIDC może prowadzić do sytuacji, w których użytkownik ma fałszywe wrażenie, że wylogował się z menedżera haseł, ale w rzeczywistości dostawca tożsamości w dalszym ciągu utrzymuje aktywną sesję. Może to narazić magazyn na atak z lokalnej maszyny za pomocą jednego kliknięcia.
SSO z Keeper a konkurenci
Keeper SSO Connect to usługa SAML 2.0, która integruje się z platformą SSO, aby zapewnić zarządzanie hasłami i szyfrowanie typu zero-knowledge. Keeper Enterprise zapewnia dostęp do środowiska całkowicie pozbawionego haseł, które działa ze wszystkimi dostawcami tożsamości. SSO Connect Cloud w połączeniu z Keeper oferuje najlepsze płynne doświadczenie wśród całej konkurencji.
1Password ogłosiło aktualizację integracji SSO. Integracja 1Password jest zbudowana na podstawie OIDC i w związku z tym ma braki w kilku kluczowych obszarach.
Bitwarden obsługuje SAML 2.0, ale w przypadku wszystkich wdrożeń w chmurze użytkownicy rozwiązania Bitwarden muszą pamiętać hasło główne i korzystać z niego przy każdym logowaniu. W przypadku wdrożeń lokalnych eliminacja etapu hasła głównego wymaga użycia lokalnej usługi Key Connector, która utrzymuje i hostuje wszystkie klucze szyfrowania użytkowników końcowych. Usługa Key Connector staje się krytyczną infrastrukturą, która wymaga przeszkolonego personelu i musi być utrzymywana przez klienta.
Bezpieczeństwo
Domyślnie użytkownicy są wylogowywani z usługi Keeper po zamknięciu przeglądarki, ponownym uruchomieniu komputera lub wybraniu opcji wylogowania z listy rozwijanej rozszerzenia, co wymaga powtórnego zalogowania przy użyciu dostawcy SSO, uwierzytelniania wieloskładnikowego (MFA) lub hasła głównego w celu ponownego uzyskania dostępu do magazynu.
W przypadku menedżerów haseł opartych na OIDC, gdy magazyn zostanie zablokowany, potencjalnie nadal jest się zalogowanym u dostawcy tożsamości. W związku z tym do ponownego uzyskania dostępu do magazynu wymagane jest tylko jedno kliknięcie, bez dodatkowej weryfikacji, co oznacza, że naprawdę nie jest się wylogowanym.
Odzyskiwanie
Zdobycie nowego urządzenia może być ekscytujące. Rozwiązanie Keeper oferuje płynne, zautomatyzowane metody, wykorzystujące powiadomienia push, które sprawiają, że konfiguracja przebiega bez problemów, umożliwiając natychmiastowy dostęp do magazynu na nowym urządzeniu.
Inne menedżery haseł wymagają zachowania starego urządzenia lub zainicjowania odzyskiwania przez administratora, aby umożliwić logowanie i dostęp do danych, unikając długiego procesu prób logowania i wysyłania wiadomości e-mail do administratora.
Uwierzytelnianie wieloskładnikowe (MFA)
Po włączeniu Keeper wymaga zatwierdzenia urządzenia i MFA przed wprowadzeniem hasła głównego w celu uzyskania dostępu do magazynu, zwiększając bezpieczeństwo i upewniając się, że dane uwierzytelniające są dostępne tylko dla Ciebie. Podczas wdrażania z SSO Keeper dodatkowo obsługuje monitowanie dla funkcji MFA przed odszyfrowaniem lokalnego magazynu. Keeper obsługuje klucze bezpieczeństwa FIDO2, metody DUO, TOTP i SMS. Keeper to jedyne rozwiązanie, które oprócz lokalnych MFA, obsługuje również weryfikację SSO z zasadami dostępu warunkowego.
Konkurenci, którzy umożliwiają wprowadzenie danych uwierzytelniających przed MFA, narażają je na atak siłowy. Niektórzy konkurenci wdrożyli funkcję CAPTCHA, ale można ja łatwo obejść za pośrednictwem Captcha Farms.
Tłuczenie szkła i alternatywne metody uwierzytelniania
Jeśli dostawca tożsamości SSO ma awarię, Keeper nadal zapewnia ochronę. Gdy na urządzeniu używane są dane biometryczne (takie jak Touch ID, Face ID lub Windows Hello), użytkownik może bezpiecznie i szybko uwierzytelniać się w swoim magazynie bez konieczności przechodzenia przez dostawcę tożsamości przy każdym żądaniu. Oprócz standardowego uwierzytelniania SAML SSO i danych biometrycznych Keeper obsługuje nawet dodatkową metodę haseł głównych, która może zostać aktywowana dla użytkowników, jeśli zezwala na to administrator. Wszystkie te procesy i metody uwierzytelniania są obsługiwane za pośrednictwem zasad egzekwowania opartych na rolach Keeper.
Obsługa SCIM
Keeper to w pełni zarządzana platforma oparta na chmurze, która zapewnia szybki i łatwy sposób przydzielania użytkowników. SCIM to standardowy protokół do wymiany tożsamości użytkowników między systemami IT. Dzięki pełnej obsłudze rozwiązania SCIM 2.0 każde źródło tożsamości można łatwo zintegrować z procesem Keeper. Nie jest wymagana skomplikowana infrastruktura lokalna, ponieważ cała komunikacja odbywa się między dostawcą tożsamości a chmurą Keeper.
Z drugiej strony 1Password wymaga od klientów wdrożenia serwera w infrastrukturze firmy, aby zapewnić użytkownikom SSO.
Własność intelektualna
Keeper opracował podręcznik szyfrowania zero-knowledge z dostawcami chmury SSO, a w 2016 r. uzyskał dwa patenty na ten system. Integracja SSO oparta na zasadzie „zero-knowledge” firmy Keeper działa już od 8 lat, znacznie dłużej niż u konkurencji.
1Password nie ma patentów na integrację SSO. Integracja 1Password została uruchomiona 16 marca 2023 r., a jej użytkownicy zgłaszają, że jest znacznie trudniejsza do skonfigurowania.
Wybór jest jasny
Głównym celem narzędzi tworzonych przez Keeper jest zapewnienie użytkownikom najwyższego bezpieczeństwa przy jednoczesnym zachowaniu prostoty obsługi i doskonałej jakości.
SAML stanowi podstawę integracji platformy Keeper z SSO i jest najbezpieczniejszym dostępnym połączeniem. Wdrożona przez Keeper integracja SSO z magazynem jest najbardziej płynnym i bezpiecznym rozwiązaniem dostępnym na rynku. Keeper będzie nadal wprowadzać innowacje i z pewnością pozostanie najlepszą platformą do ochrony najcenniejszych danych.