# 关于 Key Connector

{% hint style="success" %}
对应的[官方文档地址](https://bitwarden.com/help/article/about-key-connector/)
{% endhint %}

{% hint style="info" %}
Bitwarden 建议将[信任设备解密](https://help.ppgg.in/docs/admin-console/login-with-sso/trusted-devices/about-trusted-devices)作为 Key Connector 的替代选项，这样可以方便成员在无需主密码的情况下登录，并且不需要部署或管理密钥服务器。
{% endhint %}

Key Connector 是一个用于促进客户管理的加密 (CMS) 的自托管应用程序，其允许企业组织向 Bitwarden 客户端提供加密密钥。

> **\[译者注]**：CMS：Customer-Managed Encryption，客户管理的加密。客户完全控制加密密钥，而不是由服务提供商管理。

Key Connector 在与现有服务相同的网络上作为 docker 容器运行，并且可以与 [SSO 登录](https://help.ppgg.in/docs/admin-console/login-with-sso/about-sso)一起使用为组织提供加密密钥，以作为使用主密码进行密码库解密的一种替代方式（[了解更多](#why-use-key-connector)）。Bitwarden 支持部署 Key Connector，以供组织在自托管实例中使用。

Key Connector 需要连接到**存储了已加密用户密钥的数据库**和**用于加密和解密已存储的用户密钥的 RSA 密钥对**。Key Connector 可以使用各类数据库提供程序（例如 MSSQL、PostgreSQL、MySQL）和密钥对存储提供程序（例如 Hashicorp Vault、Cloud KMS 提供程序、本地 HSM 设备）来进行[配置](https://help.ppgg.in/docs/self-hosting/key-connector/deploy-key-connector)，以满足您公司的基础架构要求。

{% embed url="<https://bitwarden.com/assets/59mLNik59Pb25ZhJ7vNRa9/6ce753e0215ef199ec0cdef6fc880fe8/keyconnector-diagram-2.png?w=856&fm=avif>" %}
Key Connector 架构
{% endembed %}

## 为什么要使用 Key Connector？ <a href="#why-use-key-connector" id="why-use-key-connector"></a>

**在利用主密码解密的实施方案中**，您的身份提供程序用于处理身份验证，同时密码库解密还需要成员的主密码。这种关注点分离是一个重要的步骤，用以确保只有组织成员可以访问用于解密组织敏感密码库数据所需的密钥。

**在利用 Key Connector 进行解密的实施中**，您的身份提供程序仍然用于处理身份验证，但密码库解密由 Key Connector 处理。通过访问加密的密钥数据库（*见上图*），Key Connector 在用户登录时为其提供解密密钥，而不再需要主密码。

我们经常把 Key Connector 的实施称为利用**客户管理的加密**，因为您的企业对 Key Connector 应用程序及其提供的密码库解密密钥的管理负有全部责任。对于准备部署和维护客户管理的加密环境的企业来说，Key Connector 有助于简化密码库的登录体验。

### 对主密码的影响 <a href="#impact-on-master-passwords" id="impact-on-master-passwords"></a>

由于 Key Connector 使用客户管理的解密密钥代替基于主密码的解密，因此组织成员将被**要求从他们的账户中移除主密码**。移除后，所有密码库解密操作都将使用已存储的用户密钥进行。除了登录之外，这还会对离职和以及您应该注意的其他功能产生一些影响。

{% hint style="danger" %}
目前，无法为已移除了主密码的账户重新创建主密码。

因此，组织所有者和管理员无法移除他们的主密码，并且即使使用 SSO 也必须继续使用他们的主密码。可以将已移除主密码的用户提升为所有者或管理员，但我们**强烈建议**您的组织始终至少有一个拥有主密码的所有者。
{% endhint %}

### 对组织成员的影响 <a href="#impact-on-organization-membership" id="impact-on-organization-membership"></a>

Key Connector 要求用户[移除他们的主密码](#impact-on-master-passwords)，改用使用公司拥有的加密密钥数据库来解密用户的密码库。由于无法为已移除主密码的账户重新创建主密码，这意味着，一旦账户使用 Key Connector 解密，就所有的意图和目的而言，都**属于组织所有**。

这些账户**不得退出组织**，因为这样做他们将失去任何解密密码库数据的方法。同样，如果组织管理员从组织中移除账户，该账户将失去任何解密密码库数据的方法。

### 使用 Key Connector 登录 <a href="#log-in-using-key-connector" id="log-in-using-key-connector"></a>

首次登录启用了 Key Connector 的组织的用户将收到一个对话框，提示用户确认此组织：

{% embed url="<https://bitwarden.com/assets/fTrb2sTLVMdjtlpf2yNGD/59e7c37be145ef6525128f73864e3aee/2025-12-17_13-45-48.png?w=424&fm=avif>" %}

* 选择**继续登录**将继续登录过程。
* 选择**不继续**：
  * 如果选择**立即退出**，现有 Bitwarden 用户将收到一个对话框，提示他们退出组织。
  * 新的 Bitwarden 用户将被注销。

### 对其他功能的影响 <a href="#impact-on-other-features" id="impact-on-other-features"></a>

| 功能       | 影响                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      |
| -------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| 验证       | <p>Bitwarden 客户端应用程序中有许多功能通常需要输入主密码才能使用，包括<a href="../../password-manager/import-and-export/export-vault-data">导出密码库数据</a>、更改<a href="../../account/two-step-login/setup-two-step-login/two-step-login-methods">两步登录</a>设置、检索 <a href="../../password-manager/developer-tools/cli/personal-api-key">API 密钥</a>等。<br></p><p><strong>所有这些功能</strong>都将使用基于 TOTP 验证的电子邮件取代主密码验证。</p>                                                                                                                                                                       |
| 密码库锁定/解锁 | <p>在一般情况下，可以使用主密码<a href="../../../account/log-in-and-unlock/vault-timeout-options#vault-timeout-action">解锁锁定的密码库</a>。当您的组织使用 Key Connector 时，锁定的客户端应用程序只能使用 <a href="../../account/log-in-and-unlock/more-unlock-options/unlock-with-pin">PIN 码</a>或<a href="../../account/log-in-and-unlock/more-unlock-options/unlocking-with-biometrics">生物识别</a>解锁。<br></p><p>如果客户端应用程序既未启用 PIN 码也未启用生物识别，则密码库将始终注销而不是锁定。与解锁不同，登录<strong>总是</strong>需要互联网连接（<a href="../../../account/log-in-and-unlock/vault-timeout-options#vault-timeout-action">了解更多</a>）。</p> |
| 主密码重新提示  | 使用 Key Connector 后，对于因实施密钥连接器而移除了其主密码的任何用户，[主密码重新提示](https://help.ppgg.in/password-manager/your-vault/vault-items/vault-items#protect-individual-items)将被禁用。                                                                                                                                                                                                                                                                                                                                                                                            |
| 管理员密码重置  | 使用 Key Connector 后，对于因实施密钥连接器而移除了其主密码的任何用户，[管理员密码重置](https://help.ppgg.in/docs/admin-console/manage-members/account-recovery/about-account-recovery)将被禁用。                                                                                                                                                                                                                                                                                                                                                                                               |
| 紧急访问     | <p>使用 Key Connector 后，对于因实施密钥连接器而移除了其主密码的任何用户，紧急访问的<a href="../../../account/log-in-and-unlock/more-log-in-options/emergency-access#user-access">账户接管选项</a>将被禁用。<br><br>根据既定的紧急访问工作流程，受信任的紧急联系人仍可以<strong>查看</strong>授予人的个人密码库数据。</p>                                                                                                                                                                                                                                                                                                                   |
| 更改电子邮箱   | 使用 Key Connector 时，不能更改用户的密码库电子邮箱地址。                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    |

## 如何开始使用 Key Connector？ <a href="#how-do-i-start-using-key-connector" id="how-do-i-start-using-key-connector"></a>

要开始使用客户管理加密的 Key Connector，请查看以下要求：

{% hint style="danger" %}
加密密钥的管理非常敏感，**仅建议拥有可以安全支持部署和管理密钥服务器的团队和基础架构的企业使用**。
{% endhint %}

要使用 Key Connector，您必须：

* [拥有一个企业组织](https://help.ppgg.in/plans-and-pricing/password-manager/about-bitwarden-plans#enterprise-organizations)
* [拥有一个自托管的 Bitwarden 服务器](https://help.ppgg.in/docs/self-hosting)
* [拥有一个活跃的 SSO 实施](https://help.ppgg.in/docs/admin-console/login-with-sso/about-sso)
* [激活单一组织和单点登录策略](https://help.ppgg.in/docs/admin-console/oversight-visibility/enterprise-policies)

如果您的组织满足或能够满足这些要求，包括拥有可以支持密钥服务器管理的团队和基础设施，请[联系我们](https://bitwarden.com/contact)，我们将为您激活 Key Connector。