关于 SCIM
对应的官方文档地址
跨域身份管理系统 (SCIM) 用于在您的 Bitwarden 组织中自动配置成员和群组。
Bitwarden 服务器提供了一个 SCIM 端点,该端点具有有效的 SCIM API 密钥,将接受来自您的身份提供程序 (IdP) 的用户和群组的配置和取消配置请求。
SCIM 集成适用于企业组织。团队组织或未使用与 SCIM 兼容的身份提供程序的客户可以考虑使用目录连接器作为替代的预配方式。
Bitwarden 支持使用标准属性映射的 SCIM v2,并提供以下官方 SCIM 集成:
除了上面列出的提供程序之外,Bitwarden 还提供与 Google Workspace 的测试版集成。联系我们以了解更多信息。
设置 SCIM
要设置 SCIM,您的 IdP 需要一个 SCIM URL 和 API 密钥来向 Bitwarden 服务器发出授权请求。这些值可从您组织的管理 → SCIM 配置页面获取:
属性要求
Bitwarden 使用此处列出的标准 SCIM v2 属性名称,但每个 IdP 也可以使用在配置期间映射到 Bitwarden 的备用名称。
用户属性
对于每个用户,Bitwarden 将使用以下属性:
表明用户处于
active状态的指示(必填)emailª 或userName(必填)externalId
ª -由于 SCIM 允许用户将多个电子邮件地址表示为对象数组,因此 Bitwarden 将使用包含 "primary": true 的对象的 value。
群组属性
对于每个用户,Bitwarden 将使用以下属性:
displayName(必填)membersªexternalId
ª -members 是一个对象数组,每个对象代表该群组中的一个用户。
撤销和恢复访问权限
使用 SCIM 在 Bitwarden 中配置用户后,您可以暂时撤销他们对您的组织及其密码库项目的访问权限。当用户在您的 IdP 中被暂停/停用时,他们对您组织的访问权限将被自动撤销。
只有所有者可以撤销和恢复其他所有者的访问权限。
已撤销访问权限的用户列在管理 → 人员界面的已撤销选项卡中,并将:
无权访问任何组织密码库项目、集合等。
无法使用 SSO 登录,或使用 Organizational Duo 进行两步登录。
不受您的组织策略的约束。
不占用许可席位。
SCIM 事件日志
组织将捕获 SCIM 集成所采取操作的事件日志,包括邀请用户和移除用户,以及创建或删除群组。SCIM 派生的事件将从 Unknown 注册:
迁移到 SCIM
在手动或使用目录连接器激活 SCIM 之前,具有用户和群组的组织应注意以下事项:
...已存在于 IdP 中的 | ...不存在于 IdP 中的 | |
已有的用户 | •不会重复 •不会被迫重新加入组织 •将根据 IdP 添加到相关群组 •不会从他们已经是其成员的组织中移除 | •不会从组织中移除 •不会添加或移除群组成员身份 |
已有的群组 | •不会重复 •将根据 IdP 添加成员 •不会移除现有成员 | •不会从组织中移除 •不会添加或移除成员 |
如果您使用的是目录连接器,请确保在激活 SCIM 之前关闭同步。
最后更新于