SSO ermöglicht Benutzern die Anmeldung mit ihren bestehenden Unternehmensanmeldedaten anstelle eines separaten Tresorit-Passworts.
Authentifizierung und Verschlüsselung in Tresorit
Tresorit speichert die Verschlüsselungsschlüssel, die für den Zugriff auf die Inhalte eines Benutzers erforderlich sind, in einem verschlüsselten Container, dem sogenannten Benutzerprofil.
Wenn sich ein Benutzer auf einem neuen Gerät anmeldet:
- Der Client authentifiziert sich bei Tresorit.
- Das verschlüsselte Benutzerprofil wird heruntergeladen.
- Das Benutzerprofil wird lokal auf dem Gerät entschlüsselt.
- Die Verschlüsselungsschlüssel stehen für den Zugriff auf die Inhalte des Benutzers zur Verfügung.
Dadurch können Benutzer von mehreren Geräten aus auf ihre Daten zugreifen, ohne dass die Zero-Knowledge-Architektur von Tresorit beeinträchtigt wird.
Standardmäßige passwortbasierte Authentifizierung
Bei der passwortbasierten Authentifizierung werden sowohl die Authentifizierung als auch die Entschlüsselung des Benutzerprofils aus dem Tresorit-Passwort des Benutzers abgeleitet. Der Client erzeugt separate kryptografische Werte:
- einen für die Authentifizierung
- einen für die Entschlüsselung des Benutzerprofils
Da diese Werte mithilfe kryptografischer Einwegfunktionen abgeleitet werden, kann das ursprüngliche Passwort nicht daraus rekonstruiert werden. Das Passwort verlässt das Gerät niemals, und Tresorit erhält niemals die Schlüssel, die zur Entschlüsselung der Benutzerinhalte erforderlich sind.
SSO-Authentifizierung
Bei SSO wird die Authentifizierung von einem Identitätsanbieter anstelle eines Tresorit-Passworts übernommen.
Wenn sich ein Benutzer anmeldet:
- Der Benutzer authentifiziert sich auf der Anmeldeseite des Identitätsanbieters.
- Der Identitätsanbieter überprüft die Anmeldedaten und übermittelt eine signierte SAML-Assertion.
- Tresorit validiert die Assertion und gewährt Zugriff auf das verschlüsselte Konto.
- Der Client erhält über das Vertrauensverhältnis zum Identitätsanbieter die Informationen, die für die Entschlüsselung des Benutzerprofils erforderlich sind.
Die Entschlüsselung erfolgt weiterhin lokal auf dem Gerät. Tresorit erhält weder Passwörter noch unverschlüsselte Verschlüsselungsschlüssel oder entschlüsselte Inhalte. Dadurch verlagert sich das Vertrauensmodell auf den Identitätsanbieter, der für die Authentifizierung und die bei der Anmeldung verwendeten kontobezogenen Informationen verantwortlich ist.
Identitätsanbieterspezifische Aspekte
| Azure AD | Speichert die für den SSO-basierten Zugriff erforderlichen Informationen als Erweiterungsattribut im Benutzerprofil. |
| Google Workspace | Verwendet die SAML-basierte Authentifizierung und speichert keine anwendungsspezifischen Attribute für den SSO-Zugriff pro Benutzer. |
| Okta | Speichert die für den SSO-basierten Zugriff erforderlichen Informationen als Benutzerprofilattribut. |
Infrastrukturbezogene Aspekte
Die Service-Infrastruktur von Tresorit, einschließlich der Speicherung verschlüsselter Benutzerinhalte, basiert auf Microsoft Azure. Dies kann bei der Bewertung von Azure AD als SSO-Anbieter relevant sein.
Risikominderung
Organisationen, die besonders schützenswerte Informationen verarbeiten, können das Risiko durch die folgenden Maßnahmen weiter reduzieren:
- Erweiterte Kontrolle – Mit Erweiterter Kontrolle ist für bestimmte Administratoraktionen auch bei aktiviertem SSO weiterhin das Tresorit-Passwort des Administrators erforderlich.
- Selektive SSO-Bereitstellung – SSO kann über Richtlinienvorlagen nur für bestimmte Gruppen aktiviert werden. Dadurch kann SSO auf ausgewählte Benutzer beschränkt werden, während andere weiterhin die passwortbasierte Authentifizierung verwenden.