Wenn du 1Password Business zum ersten Mal einrichtest, verwenden deine Teammitglieder einen Geheimschlüssel und ein Kontopasswort, um sich bei ihren Konten anzumelden. Mit 1Password „Entsperren mit SSO“ kannst du zulassen, dass sie sich stattdessen mit den Zugangsdaten ihres Identitätsanbieters anmelden.
1Password Business unterstützt zwei Arten von Integrationen mit Identitätsanbietern, und jede hat ihre eigenen Vorteile:
1Password Business unterstützt zwei Arten von Integrationen mit Identitätsanbietern, und jede hat ihre eigenen Vorteile:
| Automatisierte Bereitstellung | Freischalten mit SSO | |
|---|---|---|
| Funktionen | Automated user and group provisioning, role-based access control, and administrative workflows automation. | Teammitglieder können 1Password mit den Zugangsdaten Ihres Identitätsanbieters über das OpenID Connect (OIDC)-Protokoll entsperren. |
| Methodology | Uses an API endpoint or SCIM bridge, which communicates with the 1Password servers using an encryption protocol called Secure Remote Password (SRP). | Verwendet eine direkte API-Integration mit den 1Password-Servern. |
Um diese Integrationen einzurichten, musst du für jede einzelne getrennte Anwendungen in deinem Identitätsanbieter erstellen. Getrennte Anwendungen sind erforderlich, da jede der Integrationen unterschiedliche Funktionen hat
In this article, you can learn some best practices for planning your rollout of Unlock with SSO. If you want to manage users and groups from your identity provider, learn how to set up automated provisioning.
Plan your rollout
When you introduce Unlock with SSO to your team, prepare some communication strategies to let them know about the upcoming changes. Plan to do the rollout in stages to make sure users are informed and your IT team is ready to handle potential support requests. Before you start, learn about some of the other things to keep in mind below.
Owner accounts won’t unlock with SSO
In a 1Password Business account, people in the Owners group will always unlock 1Password with their account password. Owner accounts cannot be scoped for Unlock with SSO because if they lose access, vaults and items in the account may also be lost if there’s no one to recover them.
Tipp
In the event of an identity provider outage, this limitation allows your team to maintain access to 1Password. Someone in the Owners group can sign in to 1Password and un-scope specific groups or the entire team from Unlock with SSO, which can temporarily switch them back to unlocking with an account password.
Eigentümerkonten können in einem 1Password-Konto als Super-Admins betrachtet werden und dienen im Kontext von Entsperren mit SSO und automatisierter Bereitstellung als Notfallzugriff. Sie müssen ordnungsgemäß eingerichtet und geschützt werden.
Interactions between automated provisioning and SSO
When you turn on Unlock with SSO, you’ll be able to choose who can sign in and unlock with SSO. The policy that you choose will determine how new users sign in, such as:
- Everyone or Everyone except: guests: All users in the Team Members group (the default group for new users) will unlock with SSO.
- Nur von dir ausgewählte Gruppen: Automatisierte Bereitstellung ist erforderlich, um neue Nutzer für SSO zu erfassen, bevor sie sich registrieren. Jeder Identitätsanbieter bearbeitet das Gruppenmanagement unterschiedlich, danke also daran, wenn du deine Bereitstellung planst. Änderungen an der Gruppenmitgliedschaft können nicht gleichzeitig mit der Aktivierung des Nutzerkontos erfolgen.
If users aren’t part of a group that unlocks with SSO, they’ll use a Secret Key and account password to sign in.
When you use Unlock with SSO alongside automated user provisioning, make sure attribute mappings are consistent between your provisioning application and your SSO application in your identity provider. For example, if you’ve configured your identity provider to send a certain attribute for user email addresses in 1Password, make sure your OIDC application is successfully sending that attribute as an OIDC claim.
Learn more about attribute mapping in the setup documentation for your identity provider.
Ausführung deiner Einführung
As you plan the deployment of Unlock with SSO to your team, separate it into several stages:
- Test: When you first set up the integration, test it yourself and make sure your IT support team understands the changes you’ll be making to the account so they can help when needed.
- Perform a limited rollout: Consider one or two groups who can test the new unlock method before you roll it out to your entire organization. This can be your IT department, developers, and other users who are more technical. You can even create a custom group for this project.
- Gather feedback: Ask the groups who’ve been using SSO for feedback about their experiences during a one- to two-week period. If the feedback is positive, grant other groups access, and continue until all the groups have successfully migrated. As you go, you may need to adjust special settings, such as Conditional Access policies in Microsoft Entra ID, which may only allow users to sign in from various environments or locations.
- Widen the rollout: Continue to expand the rollout to new groups. If you have hundreds or thousands of users, roll out Unlock with SSO slowly to make sure that your IT support team can keep up with questions or issues that come up along the way.
Tipp
When you’re ready to begin, learn how to set up Unlock with SSO.
Mehr erfahren
- Mit SSO entsperren: unter der Haube
- Über 1Password Unlock mit SSO-Sicherheit
- Best Practices zur Sicherung deines 1Password Business-Kontos
War dieser Artikel hilfreich?
Freut mich, das zu hören! Wenn du etwas hinzufügen möchtest, zögere nicht, uns zu kontaktieren.
Tut mir leid, das zu hören. Bitte kontaktiere uns, wenn du uns mehr darüber erzählen möchtest.