Keeper Security 对保护用户数据的奉献
单点登录 (SSO) 帮助组织改善安全态势,同时简化员工的登录体验。 在组织中实施 SSO 平台几乎无往而不利。 然而,SSO 在安全性和功能方面存在重大缺陷,组织需要注意并加以解决。
SSO 并不涵盖所有方面。 许多网站、应用程序和系统都不包括在 SSO 部署中,这些都构成了网络安全风险。 此外,SSO 还提供单点故障。 如果用户被锁定在 SSO 之外,他们就无法访问完成工作所需的大多数网站或系统。
通过将安全的密码保险库与 SSO 集成,组织可以消除这些缺陷并提高安全性。 这就是为什么 Keeper Security 优先与所有领先 SSO 提供商进行集成。
2016 年,Keeper 因其与零知识 SSO 集成的新颖方式而获得了两项美国实用新型专利(11,363,009 和 11,363,009)。 Keeper 的专利涵盖 SAML 和 OIDC 身份协议。 但是,SAML 提供多种功能安全和实用优势。 正因为如此,Keeper SSO 连接利用 SAML 进行零知识 SSO 集成。
OIDC 与 SAML 之间有哪些区别?
虽然 SAML 和 OIDC 都是对用户进行身份验证的身份协议,但两者在安全级别上存在巨大差异。
- 基于 SAML 的 SSO 是业内企业应用标准,它成熟度要高得多,安全性能有目共睹。
- OIDC 通常适用于安全要求较低的解决方案,或者需要快速进行集成的情况。
SAML 如何提供卓越的安全性
Keeper 完全托管的解决方案支持组织利用 SAML 卓越的安全性和实用功能。
企业功能
SAML 是一个强大的标准,可支持各类企业功能,而这些功能在 OIDC 中不可用或未得到充分开发。 例如,SAML 支持单点注销 (SLO) 功能,可以终止多个应用程序中的会话。 OIDC 缺乏密码管理器会话控制功能,通常更适合需要社交媒体登录的面向消费者的应用。
无需客户端密钥
虽然 OIDC 不需要客户端密钥,PKCE 流引入了一个新的“代码验证器”和“代码挑战”概念。 这些类似于密钥,但每个身份验证请求都是动态生成的。
在 SAML 中,没有与客户端密钥对应的内容,从而避免了这一流程。 相反,各方之间的信任是通过交换证书来建立的,每个服务器上的私钥都是安全的,从而提高交易的安全性。
对用户会话实现出色控制
SAML SSO 通过用户的浏览器传输密码信息,允许应用程序管理自己的会话,从而精准控制用户会话。 另一方面,OIDC 可能导致这样的情形:用户误以为自己已登出密码管理器,但事实上,身份提供商依然拥有有效的会话。 这可能会导致保险库受到本地机器的攻击,只需点击一下即可实现。
SSO:Keeper vs. 竞争对手
Keeper SSO 连接是与您的 SSO 平台集成的 SAML 2.0 服务,可提供零知识密码管理和加密功能。 借助 Keeper Enterprise,您可以获得与所有身份提供商兼容的完全无密码体验。 通过 Keeper,SSO 连接云可以在所有竞争对手间提供最佳的无摩擦体验。
1Password 宣布对 SSO 集成进行了更新。 1Password 集成基于 OIDC 构建,因此在几个关键领域存在不足。
Bitwarden 支持 SAML 2.0,对于所有云部署,Bitwarden 用户每次登陆时都必须登录并记住主密码。 对于本地部署,消除主密码步骤需要使用本地密钥连接器 (Key Connector),该连接器维护并托管所有最终用户加密密钥。 密钥连接器服务成为关键基础架构,需要训练有素的员工,而且必须由客户进行维护。
安全
用户在关闭浏览器、重启电脑或从扩展程序下拉菜单中选择登出时,默认登出 Keeper,需要使用 SSO 提供商、多因素身份验证 (MFA) 或主密码重新登录,才能再次访问保险库。
借助基于 OIDC 构建的密码管理器,保险库锁定后,您仍有可能登录至身份提供商。 因此,只需点击一下,即可再次访问保险库,无需任何额外验证,这意味着您并未真正登出。
恢复
购买新设备是件令人激动的事。 借助 Keeper,即可使用推送通知享受无缝、自动化方式,让您的设置体验无摩擦,立即就可以在新设备上访问保险库。
其他密码管理器需要您维护旧设备,或让管理员启动恢复程序,让您登录并访问记录,避免尝试登录以及来回向管理员发送电子邮件的漫长过程。
多因素身份验证
启用后,在您输入主密码以访问保险库前,Keeper 需要获得设备批准和 MFA,从而提高安全性,并确保只有您才可以访问您的凭证。 借助 SSO 进行部署时,Keeper 还支持在解密本地保险库之前提示进行 MFA。 Keeper 支持 FIDO2 安全密钥、DUO、TOTP 和 SMS 方式。 除本地 MFA 外,Keeper 是唯一既支持 SSO 验证、又支持条件访问策略的解决方案。
允许您在 MFA 之前输入凭证的竞争对手会让您的凭证面临被暴力攻击的风险。 一些竞争对手设置了 CAPTCHA,但可以通过 Captcha Farms 轻松规避。
破釜沉舟,替换身份验证方法
如果您的 SSO 身份提供商发生故障,Keeper 仍会为您提供保护。 如果将生物识别技术用于设别(如 Touch ID、Face ID 或 Windows Hello),用户就可以安全且快速地进行身份验证,进入保险库,而无需每次请求都通过身份提供商。 除了标准 SAML SSO 身份验证和生物识别技术,Keeper 甚至还支持第二主密码方式,在管理员允许的情况下,可为用户激活该方式。 所有这些工作流程和身份验证方式都通过 Keeper 基于角色的实施策略获得支持。
SCIM 支持
Keeper 是完全托管式云端平台,为您提供快速且简单的用户配置方式。 SCIM 是在 IT 系统之间交换用户身份的标准协议。 借助 Keeper 对 SCIM 2.0 的全面支持,任何身份源都可以轻松集成到 Keeper 的工作流程中。 无需复杂的本地基础架构,因为所有通信都在身份提供商和 Keeper 云端之间进行。
另一方面,1Password 要求客户在公司的基础架构中部署服务器,借助 SSO 对用户进行配置。
知识产权
Keeper 创建了与 SSO 云提供商集成的零知识加密解决方案,并于 2016 年获得了两项专利。 Keeper 的零知识 SSO 集成开发时间长达 8 年,远超任何竞争对手。
1Password 的 SSO 集成没有获得专利。 1Password 集成于 2023 年 3 月 16 日推出,用户反馈设置难度要大得多。
选择显而易见
Keeper 构建一切的主要焦点是:如何尽可能确保用户的安全,同时提供简单而积极的用户体验?
SAML 为 Keeper 与 SSO 的平台集成奠定了基础,也是最安全的连接方式。 Keeper 实现了 SSO 与保险库的集成,这是市场上最无缝、最安全的解决方案。 Keeper 将持续创新,捍卫自己作为保护用户最宝贵数据的最佳平台地位。