入职和继任概述

适合您业务的密码管理

让新员工快速上手并投入使用可以提高生产力。同样,适当的告别也能保证您企业系统和账户的安全。无论您的企业倾向于整合和集中化,还是更喜欢灵活和动态的环境,Bitwarden 都能满足您的需求。

本指南涵盖了 Bitwarden 为您的组织中的用户提供的入职和继任计划的方法,从我们对用户和组织之间的关系的方法开始,然后涵盖了入职和离职的最简单的用例,最后转向您可以支配的杠杆和选项,使 Bitwarden 符合您的需求。

Bitwarden 理念

Bitwarden 的愿景是想象一个没有人被黑客入侵的世界。我们将这一使命贯彻到我们的使命中,即帮助个人和公司轻松、安全地管理他们的敏感信息。Bitwarden 认为:

Bitwarden 的一个关键方面是,与许多软件应用程序不同,每个密码库中的所有内容都是端到端加密的。为了保持这种安全模式,每个使用 Bitwarden 的人都必须有一个唯一的账户和一个唯一的主密码。主密码应该是强大易记的。

每一个用户负责他们的主密码。Bitwarden 是一种零知识加密解决方案,这意味着 Bitwarden 的团队以及 Bitwarden 系统本身不知道、无法获取或重置任何主密码。

随处使用 Bitwarden

无所不在的守护,方成就无处不在的安全,因此最好的密码管理器提供跨越您所有设备的访问。Bitwarden 支持一系列客户端应用程序,任何一个都可以连接到我们的云托管服务器或您自己的自托管服务器:

Bitwarden 客户端/服务器

用户个人密码库

创建 Bitwarden 账户的任何人都将拥有自己的个人密码库,可以从任何客户端应用程序访问。个人密码库对每个用户都是唯一的,并且只有该用户拥有访问它的钥匙,使用他们的电子邮箱地址和主密码的组合。账户所有者对个人账户以及存储在其中的个人密码库项目负责。组织所有者、管理员和经理在设计上无法看到任何其他用户的个人密码库,从而确保某人的个人数据仍然属于他们自己。

个人了密码库

家庭、团队和企业组织自动为成员单独提供高级功能,如紧急访问加密附件存储,他们可以选择性使用。个人密码库仅仅是个人的,但个人密码库不支持共享,组织密码库则可以

Bitwarden 组织

Bitwarden 组织为您的团队或企业的密码管理添加了一层协作和共享,使您可以安全地共享公共信息,例如办公室的 wifi 密码、在线凭据,或共享的公司信用卡等。通过组织进行安全共享既安全又容易。

组织密码库

任何人都可以直接从网页 App 创建一个组织:

新增组织

创建后,您将进入管理控制台,这里是所有内容共享和组织管理的中心枢纽。启动该组织的人将成为所有者,他们能够完全控制密码库,以管理用户项目、成员、集合群组,以及运行报告和配置策略等设置:

管理控制台

集合

Bitwarden 组织以可扩展且安全的方式管理用户和数据。单独管理用户和数据对于大型企业来说效率低下,并且可能会出现错误。为了解决这个问题,组织提供了集合和群组功能。

集合将登录、笔记、支付卡和身份收集在一起,以便在组织内安全共享

集合的使用

入职成员

您的组织被建立并且用于存储数据的集合设置好后,此时,所有者和管理员应邀请新的成员。为了确保您组织的安全,Bitwarden 应用了一个 3 步流程来加入新的成员:邀请接受确认

用户可以直接从网页密码库登录,也可以使用目录连接器应用程序同步个人用户和群组

添加成员

在最简单的情况下,用户可以直接从网页 App 被添加到您的组织。在添加用户时,你可以指定授予他们可以访问哪些集合、赋予他们哪个角色,以及更多。

了解如何一步一步将用户到您的组织。

用户完全加入你的组织后,可以通过将他们分配给集合来分配对组织密码库数据的访问权限。团队和企业组织可以将用户分配到群组,以实现可扩展的权限分配,并构建群组-集合关联,而不是在个人层面上分配访问权限。

群组

群组将各个用户联系在一起,并提供一种可扩展的方式来分配权限,包括对集合的访问和其他访问控制。入职新用户时,将他们添加到群组中,他们将自动继承该群组的配置权限:

集合-群组的使用

全面的基于角色的访问控制

Bitwarden 使用了一种企业友好的方法来实现大规模的共享。用户可以被添加到具有多个不同角色的组织中,隶属于不同的群组,并将这些群组分配给不同的集合,以实现精细化访问权限。可用的角色中有一个自定义角色,它用于管理权限的精细化配置。

离职用户

在 Bitwarden,我们认为共享凭据是高效且安全地完成工作的一个重要方面。我们也认识到,从技术上来说,一旦一个凭据被共享,接收者就有可能保留它。出于这个原因,使用适当的基于角色的访问控制实施策略的安全入职,在促进安全离职方面起着重要作用。

Bitwarden 提供了多种工具,可用于定制工作流程和加强对继任的控制。下文将介绍一个基本的继任工作流程(不使用这些工具)和一些组织常用的高级继任策略:

基本离职

从Bitwarden 中离职用户涉及到将用户从您的组织中移除,就像入职一样,可以直接从网页密码库中完成,也可以使用 SCIMDirectory Connector 自动完成。

Alice 是您企业中的一个用户,该组织托管在 Bitwarden Cloud 并使用公司电子邮箱地址(例如 [email protected])。 目前,Alice 是这样使用 Bitwarden 的:

产品领域
描述

客户端应用程序

在个人和职业上使用 Bitwarden 移动端和浏览器扩展,在组织上偶尔使用网页密码库进行相关工作。

电子邮箱 & 主密码

使用 [email protected]p@ssw0rD 登录 Bitwarden。

个人项目

在她的个人密码库中存储各种个人项目,包括登录和信用卡。

两步登录

使用组织层面的 Duo 2FA

集合

Alice 对「Marketing Credentials」集合具有「可以管理」权限,授予她可以管理该集合的许多方面。

已共享的项目

创建并共享了多个归组织所有并驻留在她团队集合中的密码库项目。

当 Alice 从您的组织中被移除后:

产品领域
描述

客户端应用程序

可以继续使用任一个 Bitwarden 应用程序访问她的个人密码库,但将立即失去对组织密码库、所有集合和所有已共享项目的访问权限

有关本地缓存的信息,请参阅本节末尾的提示。

电子邮箱 & 主密码

可以继续使用 [email protected]p@ssw0rD 登录,但是由于她无法访问她的 @company.com 收件箱,因此应该建议她更改为与她的 Bitwarden 账户关联的电子邮箱。

个人项目

仍然可以使用她的个人密码库并访问存储在其中的项目。

组织中的权限

立即失去与组织相关的所有事物的所有权限和访问权限

两步登录

将无法使用组织层面的 Duo 2FA 访问她的密码库,但可以设置为我们的免费两步登录选项之一或升级到高级版以获取更多功能。

已创建的集合

Alice 的「Marketing Credentials」集合,将由组织所有者和管理员保留,他们可以为某个新用户分配「可以管理」权限。

已共享的项目

集合和已共享项目的所有权属于组织,因此 Alice 将无法访问所有这些项目,尽管已创建它们。

高级离职

管理接管

使用主密码重置策略,您企业的所有者和管理员可以在继任期间重置用户的主密码。

重置用户的主密码后,用户将退出所有活动的 Bitwarden 会话,并将其登录凭据重置为管理员指定的凭据,这意味着该管理员(也只有该管理员)将拥有该用户密码库数据的密钥,包括个人密码库中的项目。 这种密码库接管策略通常被企业用来确保员工不会保留对可能与工作相关的个人密码库项目的访问权限,并可用于促进对员工可能使用的每个凭据的审计。

管理员密码重置不会绕过两步登录。在许多情况下,我们建议使用 SSO,因为有些 IdP 允许您为用户配置 2FA 和 2FA 旁路策略。

移除个人密码库

如果组织需要实时控制所有密码库项目,您可以使用禁用个人密码库策略,要求用户将所有密码库项目保存到组织。这将避免在继任过程中接管和审计用户账户,因为一旦从组织中移除,账户中的数据将完全清空。

删除不再登录的账户

如前所述,从组织中移除用户并不会自动删除其 Bitwarden 账户。在基本的继任工作流程中,当用户被移除后,他们就不能再访问组织或任何共享项目和集合,但他们仍然可以使用现有的主密码登录 Bitwarden 并访问任何个人密码库项目。

组织如果希望完全删除账户,包括所有个人密码库项目,可以在继任过程中使用以下方法之一来实现:

  1. 如果您是自行托管 Bitwarden,授权管理员可以从系统管理员门户删除账户。

  2. 如果该账户有一个由贵公司控制的 @yourcompany.com 电子邮箱地址,您可以使用无需登录而删除工作流程,并在 @yourcompany.com 收件箱中确认删除。

为您的业务设计您的组织

在 Bitwarden,我们经常说密码管理就是人员管理,我们可以提供适合您的组织的工作流程。通过提供广泛的选择,通过我们的开源方法共享,客户可以放心,他们可以得到满足自己的个性化需求。

立即开始免费试用企业版或团队版。

SCIM

对于拥有使用受支持的身份(目前包括 Azure AD、Okta、OneLogin 和 JumpCloud)运营的庞大用户群的企业组织,SCIM 集成可用于自动配置 Bitwarden 组织中的成员和群组。了解更多

Directory Connector

对于使用目录服务(LDAP、AD、Okta 等)运营的拥有庞大用户群的公司,Directory Connector 可以将目录中的用户和群组同步到 Bitwarden 组织。Directory Connector 是一个独立的应用程序,用以访问您的目录和 Bitwarden,可以在任何地方运行。

目录连接器

许多 Bitwarden 团队和企业组织将他们的入职工作的重点放在 Directory Connector 上,并使用组织密码库管理区域来管理组​群组-集合关系。

Directory Connector 可以:

  • 将基于 LDAP 的目录群组与 Bitwarden 群组同步

  • 同步每个群组内的用户

  • 邀请新用户加入组织

  • 从组织中移除已删除的用户

SSO 登录

Bitwarden 企业组织可以使用 SAML 2.0 或 OIDC 与您现有的身份提供程序 (IdP) 集成,以允许您组织的成员使用 SSO 登录 Bitwarden。SSO 登录将用户身份验证与密码库解密分开:

身份验证通过您选择的 IdP 完成,并保留连接到该 IdP 的任何双重身份验证过程。密码库数据的解密需要用户的个人密钥,该密钥部分源自主密码。有两个解密选项,这两个选项都会让用户使用他们的常规 SSO 凭据进行身份验证。

  • 主密码:通过身份验证后,组织成员将使用他们的主密码解密密码库数据。

  • 客户管理的加密:连接 SSO 登录到您的自托管解密密钥服务器。使用此选项,组织成员无需使用其主密码来解密密码库数据。相反,Key Connector 将获取安全地存储在您拥有和管理的数据库中的解密密钥。这种方法确保您可以:

    • 利用您现有的身份提供程序

    • 保护数据的端到端加密

    • 自动布建用户

    • 配置使用或不使用 SSO 访问

    • 根据贵公司的安全需求解密密码库数据

企业策略

企业组织可以实施各种旨在为任何企业奠定安全基础的策略。这些策略包括:

  • 要求两步登录:要求用户在个人账户上设置两步登录。

  • 主密码要求:设置主密码强度的最低要求。

  • 密码生成器:设置密码生成器配置的最低要求。

  • 单一组织:限制用户加入任何其他组织。

  • 禁用个人密码库:要求用户通过删除个人所有权选项将密码库项目保存到组织。

事件日志

Bitwarden 组织包括了对事件日志的访问,这些日志可以直接从网页密码库查看或导出以在 Splunk 等安全信息和事件管理(SIEM)系统中进行分析。事件日志包括以下信息:

  • 用户 - 项目交互

  • 对密码库项目所做的更改

  • 入职事件

  • 组织配置更改

  • 以及更多

自托管

为了与 Bitwarden 随时随地提供密码管理的方法保持一致,Bitwarden 提供了一个自托管选项,以为企业解决更广泛的使用情况。公司选择自托管的原因有很多。特别是在入职、离职和增强功能方面,以下是公司选择这样做的一些原因:

  • 立即删除用户账户:由于您控制服务器,因此可以完全删除用户(包括他们的个人密码库)。

  • 网络访问控制:组织所有者可以确定员工必须使用哪些网络访问权限来访问他们的 Bitwarden 服务器。

  • 高级代理设置:管理员可以选择启用或禁用某些类型的设备访问 Bitwarden 服务器。

  • 使用现有的数据库集群:连接到现有的 Microsoft SQL Server 数据库。将来会支持其他数据库。

  • 增加文件附件和 Bitwarden Send 的存储空间:Bitwarden 项目或 Bitwarden Send 的文件附件保留在用户提供的存储空间中。

把碎片放在一起

Directory Connector、SSO 登录、企业策略和您的密码库独立或协调工作,以优化您的入职、离职和组织管理体验。下表详细说明了将这些部分串在一起形成一个平滑过程的方式:

步骤
描述

同步

使用 Directory Connector 将群组和用户从您现有的目录服务同步到 Bitwarden。

邀请

Directory Connector 会自动向同步的用户发出邀请。

身份验证

将您的 SSO 登录实施与 SSO 策略配对,以要求用户在接受邀请时注册 SSO。

管理

使用网页密码库界面将一些用户提升到不同的角色,并确保群组 - 集合关系被配置为授予正确的用户以正确的访问权限。

重新同步

定期重新运行 Directory Connector 以从 Bitwarden 中移除不再在您的目录服务中处于活动状态的用户并开始新员工入职。

FAQ

问:如果员工已经有 Bitwarden 账户,是否可以将其附加到组织中,这样他们就不需要另一个 Bitwarden 账户了?

答:是的!可以。一些客户建议在将附加用户到组织之前,这些用户将 Bitwarden 密码库附加到他们的公司电子邮箱中。这种选择是特定于公司的,任何一种方法都可以。

问:当员工离职时,我们是否可以将他们的帐户从组织中分离出来,这样他们就无法再访问公司凭据,也不会丢失个人凭据?

答:可以!这正是离职所需要做的事情。

问:组织前成员创建或共享的项目会发生什么?这些项目是否也会被删除吗?

答:不会。将项目从个人密码库共享到组织密码库也会将项目所有权扩展到组织。

问:我们能否防止员工将公司组织的凭据复制到他们的个人密码库中?

答:可以!使用我们全面的基于角色的访问控制套件,您可以将凭据设为只读以防止复制副本。

最后更新于