入职和继任
让新员工快速上手并投入使用可以提高生产力。同样,适当的告别也能保证您企业系统和账户的安全。无论您的企业倾向于整合和集中化,还是更喜欢灵活和动态的环境,Bitwarden 都能满足您的需求。
本指南涵盖了 Bitwarden 为你的组织中的用户提供的入职和继任计划的方法,从我们对用户和组织之间的关系的方法开始,然后涵盖了入职和离职的最简单的用例,最后转向你可以支配的杠杆和选项,使 Bitwarden 符合你的需求。
Bitwarden 的愿景是想象一个没有人被黑客入侵的世界。我们将这一使命贯彻到我们的使命中,即帮助个人和公司轻松、安全地管理他们的敏感信息。 Bitwarden 认为:
每一个用户负责他们的主密码。Bitwarden 是一种零知识加密解决方案,这意味着 Bitwarden 的团队以及 Bitwarden 系统本身不知道、无法检索或重置任何主密码。
Bitwarden 已在 2021 年中期推出一项新的功能,使企业能够重置其组织用户的密码。这不会影响没有连接到启用了此功能的企业组织的个人账户。
Bitwarden 客户端/服务器
创建 Bitwarden 帐户的任何人都将拥有自己的个人密码库,可以从任何客户端应用程序访问。个人密码库对每个用户都是唯一的,并且只有该用户拥有访问它的钥匙,使用他们的电子邮件地址和主密码的组合。帐户所有者对个人帐户以及存储在其中的个人密码库项目负责。组织所有者、管理员和经理在设计上无法看到任何其他用户的个人密码库,从而确保某人的个人数据仍然属于他们自己。
个人了密码库
为什么默认提供个人密码库?
个人密码库是 Bitwarden 方法的一个重要组成部分。员工每天都会使用一系列的证书,无论是个人的还是职业的,在一个领域形成的习惯通常会成为另一个领域的习惯。我们认为,在个人生活中使用适当的安全措施的员工会将这种良好的行为带到他们的职业生活中,从而在此过程中保护你的业务。
Bitwarden 组织为你的团队或企业的密码管理添加了一层协作和共享,使您可以安全地共享公共信息,例如办公室的 wifi 密码、在线证书,或共享的公司信用卡等。通过组织进行安全共享既安全又容易。
组织密码库
任何人都可以直接从网页密码库创建一个组织:
创建新的组织
组织密码库
集合的使用
集合-群组的使用
Alice 是您的组织的经理,该组织托管在 Bitwarden Cloud 上并使用公司电子邮件地址(例如
[email protected])。以下是 Alice 目前使用 Bitwarden 的方式:客户端应用程序 | 在个人和职业上使用 Bitwarden 手机和浏览器扩展,在组织上偶尔使用网页密码库进行相关工作。 |
电子邮件 & 主密码 | 使用 [email protected] 和 [email protected] 登录 Bitwarden。 |
个人项目 | 在她的个人密码库中存储各种个人项目,包括登录信息和信用卡。 |
组织中的权限 | |
两步登录 | |
已创建的集合 | 已为她的团队创建了一个集合:「Alice’s Team Collection」。 |
已共享的项目 | 创建并共享了多个归组织所有并驻留在她团队集合中的密码库项目。 |
当 Alice 从您的组织中被移除后:
客户端应用程序 | 可以继续使用任一个 Bitwarden 应用程序访问她的个人密码库,但将立即失去对组织密码库、所有集合和所有已共享项目的所有访问权限。 |
电子邮件 & 主密码 | 可以继续使用 [email protected] 和 [email protected] 登录,但是由于她无法访问她的 @company.com 收件箱,因此应该建议她更改�为与她的 Bitwarden 帐户关联的电子邮件。 |
个人项目 | 仍然可以使用她的个人密码库并访问存储在其中的项目。 |
组织中的权限 | 将立即失去与组织相关的所有事物的所有权限和访问权限。 |
两步登录 | 将无法使用组织层面的 Duo 2FA 访问她的密码库,但可以设置为我们的免费两步登录选项之一或升级到高级版以获取更多功能。 |
已创建的集合 | 集合和已共享项目的所有权属于组织,因此 Alice 将无法访问「Alice’s Team Collection」,尽管已经创建了它。 |
已共享的项目 | 集合和已共享项目的所有权属于组织,因此 Alice 将无法访问所有这些项目,尽管已创建它们。 |
离线设备会缓存密码库数据的只读副本,包括组织密码库数据。如果您预料这些数据会被恶意利用,则应在离职后更新员工有权访问权限的凭据。
在 Bitwarden,我们经常说密码管理就是人员管理,我们可以提供适合您的组织的工作流程。通过提供广泛的选择,通过我们的开源方法共享,客户可以放心,他们可以得到满足自己的个性化需求。
对于使用目录服务(LDAP、AD、Okta 等)运营的拥有大量用户群的公司,目录连接器可以将目录中的用户和群组同步到 Bitwarden 组织。目录连接器是一个独立的应用程序,用以访问您的目录和 Bitwarden,可以在任何地方运行。
目录连接器
许多 Bitwarden 团队和企业组织将他们的入职工作的重点放在目录连接器上,并使用组织密码库管理区域来管理组群组-集合关系。
目录连接器可以:
- 将基于 LDAP 的目录群组与 Bitwarden 群组同步
- 同步每个群组内的用户
- 邀请新用户加入组织
- 从组织中移除已删除的用户
Bitwarden 企业组织可以使用 SAML 2.0 或 OIDC 与您现有的身份提供程序(IdP)集成,以允许您组织的成员使用 SSO 登录 Bitwarden。SSO 登录将用户身份验证与密码库解密分开:
身份验证通过您选择的 IdP 完成,并保留连接到该 IdP 的任何双重身份验证过程。密码库数据的解密需要用户的个人密钥,该密钥部分源自主密码。有两个解密选项,这两个选项都会让用户使用他们的常规 SSO 凭据进行身份验证。
- 主密码:通过身份验证后,组织成员将使用他们的主密码解密密码库数据。
这种方法确保您可以:
- 利用您现有的身份提供程序
- 保护数据的端到端加密
- 自动布建用户
- 配置使��用或不使用 SSO 访问
- 根据贵公司的安全需求解密密码库数据
企业组织可以实施各种旨在为任何企业奠定安全基础的策略。这些策略包括:
- 两步登录:要求用户在个人账户上设置两步登录。
- 主密码:设置主密码强度的最低要求。
- 密码生成器:设置密码生成器配置的最低要求。
- 单一组织:限制用户加入任何其他组织。
- 个人所有权:要求用户通过删除个人所有权选项将密码库项目保存到组织。
例如,个人所有权策略符合前面关于个人密码库和组织密码库之间相互作用的讨论。一些公司可能希望确保所有凭据都保留在组织金密码中。一个可能的实施方案是允许每个个人用户拥有自己的集合,这与个人密码库不同,集合可以由组织所有者和管理员来监督。
- 用户 - 项目交互
- 对密码库项目所做的更改
- 入职事件
- 组织配置更改
- 以及更多
为了与 Bitwarden 随时随地提供密码管理的方法保持一致,Bitwarden 提供了一个自托管选项,以为企业解决更广泛的使用情况。公司选择自托管的原因有很多。特别是在入职、离职和增强功能方面,以下是公司选择这样做的一些原因:
- 立即删除用户帐户:由于您控制服务器,因此可以完全删除用户(包括他们的个人密码库)。
- 网络访问控制:组织所有者可以确定员工必须使用哪些网络访问权限来访问他们的 Bitwarden 服务器。
- 高级代理设置:管理员可以选择启用或禁用某些类型的设备访问 Bitwarden 服务器。
- 使用现有的数据库集群:连接到现有的 Microsoft SQL Server 数据库。将来会支持其他数据库。
- 增加文件附件和 Bitwarden Send 的存储空间�:Bitwarden 项目或 Bitwarden Send 的文件附件保留在用户提供的存储空间中。
目录连接器、SSO 登录、企业策略和您的密码库独立或协调工作,以优化您的入职、离职和组织管理体验。下表详细说明了将这些部分串在一起形成一个平滑过程的方式:
步骤 | 描述 |
|---|---|
同步 | 使用目录连接器将群组和用户从您现有的目录服务同步到 Bitwarden。 |
邀请 | 目录连接器会自动向同步的用户发出邀请。 |
验证 | 将您的 SSO 登录实施与 SSO 策略配对,以要求用户在接受邀请时注册 SSO。 |
管理 | 使用网页密码库界面将一些用户提升到不同的角色,并确保群组 - 集合关系被配置为授予正确的用户以正确的访问权限。 |
重新同步 | 定期重新运行目录连接器以从 Bitwarden 中移除不再在您的目录服务中处于活动状态的用户并开始新员工入职。 |
答:是的!可以。一些客户建议在将附加用户到组织之前,这些用户将 Bitwarden 密码库附加到他们的公司电子邮件中。这种选择是特定于公司的,任何一种方法都可以。
最近更新 8mo ago