Funktion: Break-Glass-Konto

Gewährleisten Sie den Zugriff auf Keeper, wenn Ihre primäre Authentifizierung nicht verfügbar ist

Ein Break-Glass-Konto bietet eine sichere Alternative ohne SSO, die sicherstellt, dass Ihre Benutzer jederzeit auf Keeper zugreifen können, selbst wenn Ihr Identitätsanbieter, Ihr SSO-Ablauf oder andere Authentifizierungssysteme nicht verfügbar sind.

Jetzt gratis testen

Keeper-Tresor Anmeldebildschirm mit E-Mail-Feld, Master-Passwort-Eingabefeld und Anmeldebutton.

Garantierter Zugriff, wenn SSO oder IdP ausfällt

Was ist ein Break-Glass-Konto?

Ein Break-Glass-Konto ist ein dediziertes Keeper-Administratorkonto, das absichtlich nicht mit SSO, IdP-Integration, Verzeichnissynchronisierung oder anderen externen Abhängigkeiten verknüpft ist. Dieses Konto ist durch ein starkes Master-Passwort und MFA geschützt, sodass sich benannte Administratoren in Notfallsituationen wie den folgenden direkt bei Keeper anmelden können:

Ausfälle von Identitätsanbietern
SSO-Fehlkonfigurationen
Netzwerk- oder VPN-Ausfälle
Infrastruktur- oder Verzeichnissynchronisierungsstörungen

So funktioniert ein Break-Glass-Konto

Erstellen Sie ein dediziertes Admin-Konto

Ein Administrator erstellt manuell ein separates Keeper-Konto, das nicht für SSO registriert ist und ein starkes Master-Passwort mit aktivierter MFA verwendet.

Verwenden Sie es nur bei Notfällen

Falls SSO oder Infrastrukturprobleme die normale Anmeldung als Administrator verhindern, authentifizieren sich autorisierte Mitarbeiter direkt mit dem Master-Passwort und MFA.

Greifen Sie auf Tresor-Daten und kritische Systeme zu

Der Break-Glass-Administrator kann auf festgelegte Tresor-Datensätze zugreifen, SSO-Konfigurationen wiederherstellen oder ändern, Sitzungen über den Keeper Connection Manager starten (sofern erlaubt) und administrative Wiederherstellungs- oder Notfalloperationen durchführen.

Vollständige Prüfung und Transparenz

Alle durchgeführten Aktionen werden protokolliert, einschließlich Tresoraktionen, Rollen- oder Richtlinienänderungen sowie Zugriffe auf Geheimnisse und Sitzungsstarts.

Warum sollte man ein Keeper-Break-Glass-Konto verwenden?

Garantierter Zugriff, wenn SSO oder IdP ausfällt

Administratoren können sich direkt mit einem Master-Passwort und MFA authentifizieren, ohne auf Identitätsanbieter oder Verzeichnissynchronisierung angewiesen zu sein.

Passwortdetailseite mit maskiertem Passwort, Rotationszeitplan und PAM Gateway-Status online.

Keine Offenlegung von Zugangsdaten

Mit Keeper Secrets Manager und Keeper Connection Manager können Anmeldedaten beim Start injiziert werden, sodass Passwörter niemals offengelegt werden.

Vollständige Überprüfbarkeit

Die gesamte Nutzung des Break-Glass-Kontos wird protokolliert und kann Sitzungsaufzeichnungen sowie RBAC-gesteuerte Berechtigungen umfassen.

Das Dashboard für Ereignisse listet Aktivitätstypen mit Kontrollkästchen und Zählungen auf, darunter Anmeldungen, hinzugefügte Datensätze und Zugriffsereignisse.

In jeder Umgebung einsetzbar

Keeper Connection Manager unterstützt lokale Bereitstellungen, um die Zugriffskontinuität aufrechtzuerhalten.

Häufig gestellte fragen

Wer sollte Zugriff auf das Break-Glass-Konto haben?

Nur eine kleine Anzahl vertrauenswürdiger Administratoren sollte Zugriff haben. Setzen Sie MFA und starke Master-Passwörter durch rollenbasierte Durchsetzungsrichtlinien durch.

Was passiert, wenn unser Identitätsanbieter oder SSO ausfällt?

Administratoren können sich mit dem Master-Passwort und MFA des Break-Glass-Kontos anmelden und so SSO umgehen.

Können wir einschränken, worauf der Break-Glass-Administrator zugreifen kann?

Ja, rollenbasierte Zugriffskontrollen ( Role-Based Access Controls, RBAC) definiert genau, auf welche Systeme oder Datensätze dieses Konto zugreifen kann.

Ist für ein Notfallkonto eine spezielle Lizenz erforderlich?

Nein, ein Break-Glass-Konto ist einfach ein von Ihnen erstellter Administratorbenutzer. Für erweiterte Funktionen (Starten von Sitzungen, Injektion von Zugangsdaten, Sitzungsaufzeichnung) sind Keeper Connection Manager und Keeper Secrets Manager erforderlich.