Managed Service Provider (MSP) werden von Organisationen beauftragt, 1Password einzurichten, administrative Funktionen zu übernehmen, Benutzer zu verwalten, Gesundheitschecks mit Watchtower durchzuführen, Aktivitäten zu melden und zu prüfen und allgemein 1Password-Konten zu verwalten. Um dies sicher zu erreichen, hat 1Password verwaltete Konten erstellt.
Technisches Design
Externe Account-Manager (EAM) sind ein benutzerdefinierter Benutzertyp, der einzigartig für verwaltete Konten ist. 1Password schützt kryptografisch die Fähigkeit, als EAM in einem verwalteten Konto zu agieren.
Wenn sich ein MSP-Techniker als EAM in ein verwaltetes Konto einloggt, wird über einen anderen Endpunkt auf dem 1Password-Server eine spezielle föderierte Sitzung eingerichtet. Es gibt Regeln, die sicherstellen, dass EAMs nur mit föderierten Sitzungen verwendet werden können und dort eingesetzt werden, wo sie eingesetzt werden sollten.
Wenn du dein bestehendes 1Password-Konto mit einem MSP verknüpfst, erzeugt und verschlüsselt 1Password einen Verknüpfungs-Authentifizierungsschlüssel. Du oder ein anderer Inhaber des potenziellen verwalteten Kontos teilt diese Authentifizierung über einen Bestätigungslink mit eurem MSP.
Wenn der MSP die Verknüpfungsanfrage akzeptiert, erstellt 1Password einen Satz von Schlüsseln. Es verwendet auch den Linking Authentication Key, um ein Authentifizierungs-Tag für den öffentlichen Schlüssel des Schlüsselsatzes zu erstellen. Das Authentifizierungs-Tag und der öffentliche Schlüssel werden an den 1Password-Server gesendet und dort gespeichert.
Wenn ein Inhaber des verwalteten Kontos den Verknüpfungsprozess abschließt, ruft 1Password den öffentlichen Schlüssel und dessen Authentifizierungs-Tag vom Server ab. Wenn das Authentifizierungs-Tag korrekt ist, wird der öffentliche Schlüssel verwendet, um den Inhalt des verwalteten Kontos zu verschlüsseln und dem MSP Zugriff zu gewähren.
Risikoüberlegungen
Um ein bestehendes 1Password-Konto mit einem MSP zu verknüpfen, musst du die Anmeldeadresse des MSP eingeben, mit dem du es verknüpfen möchtest. Dadurch wird deine Verifizierungs-URL an diesen bestimmten MSP gebunden. Durch die Verbindung wird das Risiko negativer Auswirkungen verringert, da deine URL von keinem anderen MSP verwendet werden kann.
Ein MSP-Techniker kann die Verknüpfung eines 1Password-Kontos aufheben, um die aktive Kontoverwaltung zu beenden. Sollte der MSP nicht in der Lage oder nicht bereit sein, Maßnahmen für ein verwaltetes Konto zu ergreifen, behält das verwaltete Unternehmen den Zugang zu seinen 1Password-Informationen. Du kannst es exportieren und in ein neues 1Password-Konto importieren.
Die Sicherheitsmaßnahmen, die traditionelle 1Password-Konten schützen, schützen auch MSP-Konten. Es gibt zusätzliche Maßnahmen zur Minderung, um die Auswirkungen und potenziellen Folgen einer Kompromittierung eines MSP-Kontos zu verringern, einschließlich der Möglichkeit, alle innerhalb eines verwalteten Kontos durchgeführten Aktionen einem bestimmten MSP-Techniker zuzuordnen.
Mehr erfahren
- Best Practices zur Sicherung deines 1Password Business-Kontos
- Über die Sicherheit von SSO
- Wie 1Password Informationen auf deinen Geräten schützt (und wann es nicht kann)
War dieser Artikel hilfreich?
Freut mich, das zu hören! Wenn du etwas hinzufügen möchtest, zögere nicht, uns zu kontaktieren.
Tut mir leid, das zu hören. Bitte kontaktiere uns, wenn du uns mehr darüber erzählen möchtest.