关于 Key Connector
对应的官方文档地址
什么是 Key Connector?
Key Connector(密钥连接器)是一个用于促进客户管理的加密的自托管应用程序,其允许企业组织向 Bitwarden 客户端提供加密密钥。Key Connector 在与现有服务相同的网络上作为 docker 容器运行,并且可以与 SSO 登录一起使用为组织提供加密密钥,作为使用主密码进行密码库解密的一种替代(了解更多)。
Key Connector 需要连接到存储了已加密用户密钥的数据库和用于加密和解密已存储的用户密钥的 RSA 密钥对。Key Connector 可以使用各类数据库提供程序(例如 MSSQL、PostgreSQL、MySQL)和密钥对存储提供程序(例如 Hashicorp Vault、云 KMS 提供程序、本地 HSM 设备)来进行配置,以满足您公司的基础架构要求。
为什么要使用 Key Connector?
在利用主密码解密的实施方案中,您的身份提供程序用于处理身份验证,同时密码库解密还需要成员的主密码。这种关注点分离是一个重要的步骤,用以确保只有组织成员可以访问用于解密组织敏感密码库数据所需的密钥。
在利用 Key Connector 进行解密的实施中,您的身份提供程序仍然用于处理身份验证,但密码库解密由 Key Connector 处理。通过访问加密的密钥数据库(见上图),Key Connector 在用户登录时为其提供解密密钥,而不再需要主密码。
我们经常把 Key Connector 的实施称为利用客户管理的加密,因为您的企业对 Key Connector 应用程序及其提供的密码库解密密钥的管理负有全部责任。对于准备部署和维护客户管理的加密环境的企业来说,Key Connector 有助于简化密码库的登录体验。
对主密码的影响
由于 Key Connector 使用客户管理的解密密钥代替基于主密码的解密,因此组织成员将被要求从他们的帐户中移除主密码。移除后,所有密码库解密操作都将使用已存储的用户密钥进行。除了登录之外,这还会对离职和以及您应该注意的其他功能产生一些影响。
目前,无法为已移除了主密码的帐户重新创建主密码。
因此,组织所有者和管理员无法移除他们的主密码,并且即使使用 SSO 也必须继续使用他们的主密码。可以将已移除主密码的用户提升为所有者或管理员,但我们强烈建议您的组织始终至少有一个拥有主密码的所有者。
对组织成员的影响
Key Connector 要求用户移除他们的主密码,改用使用公司拥有的加密密钥数据库来解密用户的密码库。由于无法为已移除主密码的帐户重新创建主密码,这意味着,一旦帐户使用 Key Connector 解密,就所有的意图和目的而言,都属于组织所有。
这些帐户不能离开组织,因为这样做他们将失去任何解密密码库数据的方法。同样,如果组织管理员从组织中移除帐户,该帐户将失去任何解密密码库数据的方法。
对其他功能的影响
| 功能 | 影响 |
|---|---|
验证 | |
密码库锁定/解锁 | |
主密码重新提示 | 使用 Key Connector 后,对于因实施密钥连接器而移除了其主密码的任何用户,主密码重新提示将被禁用。 |
管理员密码重置 | 使用 Key Connector 后,对于因实施密钥连接器而移除了其主密码的任何用户,管理员密码重置将被禁用。 |
紧急访问 | 使用 Key Connector 后,对于因实施密钥连接器而移除了其主密码的任何用户,紧急访问的账户接管选项将被禁用。 根据既定的紧急访问工作流程,受信任的紧急联系人仍可以查看授予人的个人密码库数据。 |
如何开始使用 Key Connector?
要开始使用客户管理加密的 Key Connector,请查看以下要求:
加密密钥的管理非常敏感,仅建议拥有可以安全支持部署和管理密钥服务器的团队和基础架构的企业使用。
要使用 Key Connector,您必须:
如果您的组织满足或能够满足这些要求,包括拥有可以支持密钥服务器管理的团队和基础设施,请联系我们,我们将为您激活 Key Connector。
最后更新于