# 自托管组织
{% hint style="success" %}
对应的[官方文档地址](https://bitwarden.com/help/self-host-an-organization/)
{% endhint %}
## 第 1 步:安装和部署您的服务器
在您可以自托管组织之前,您需要将 Bitwarden 安装和部署到您的服务器上。Bitwarden 可以在 Linux 和 Windows 机器上使用 Docker 运行。虽然有多种安装 Bitwarden 的方式,包括离线或网闸环境的方式,但我们建议从以下指南之一开始:
* [安装和部署 - Linux](/docs/self-hosting/deploy-and-configure/docker/linux-standard-deployment.md)
* [安装和部署 - Windows](/docs/self-hosting/deploy-and-configure/docker/windows-standard-deployment.md)
> **\[译者注]**:[网闸](https://zh.wikipedia.org/wiki/%E7%BD%91%E9%97%B8) (air-gapped) 网络,也叫物理隔离的网络。是指与外部网络(如互联网或其他外部系统)完全隔离的计算机网络。这种隔离通过物理或逻辑手段实现,确保网络无法与外部环境进行数据交换,从而增强安全性。
## 第 2 步:配置组织环境变量
Bitwarden 组织使用的某些功能未通过上述文章中记录的标准安装过程进行配置。要为您的自托管服务器配备 Bitwarden 组织可用的所有功能,请在您的 `./bwdata/env/global.override.env` 文件中设置以下变量:
| 变量 | 描述 | 用途 |
| ----------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------ |
| globalSettings\_\_mail\_\_smtp\_\_host= | 您的 SMTP 服务器主机名(推荐)或 IP 地址。 | 用于[邀请用户](/docs/admin-console/manage-members/user-management.md#invite)加入您的组织。 |
| globalSettings\_\_mail\_\_smtp\_\_port= | 您的 SMTP 服务器使用的 SMTP 端口。 | 用于[邀请用户](/docs/admin-console/manage-members/user-management.md#invite)加入您的组织。 |
| globalSettings\_\_mail\_\_smtp\_\_ssl= | (布尔值)您的 SMTP 服务器使用何种加密协议:
true = SSL
false = TLS
| 用于[邀请用户](/docs/admin-console/manage-members/user-management.md#invite)加入您的组织。 |
| globalSettings\_\_mail\_\_smtp\_\_username= | `smtp__host` 的有效用户名。 | 用于[邀请用户](/docs/admin-console/manage-members/user-management.md#invite)加入您的组织。 |
| globalSettings\_\_mail\_\_smtp\_\_passsword= | `smtp__username` 的有效密码。 | 用于[邀请用户](/docs/admin-console/manage-members/user-management.md#invite)加入您的组织。 |
| globalSettings\_\_enableCloudCommunication= | 设置为 `true` 以允许您的服务器与我们的云系统之间进行通信。 | 用于[计费和许可证同步](#step-4-setup-billing-and-license-sync)。 |
| globalSettings\_\_duo\_\_aKey= | 随机生成的 Duo 密钥。详细信息,请参阅 [Duo 文档](https://duo.com/docs/duoweb-v2#1.-generate-an-akey)。 | 用于[组织层面的 DUO 两步登录](/docs/account/two-step-login/setup-two-step-login/two-step-login-via-duo.md)。 |
| globalSettings\_\_hibpApiKey= | 您的 HaveIBeenPwned (HIBP) API 密钥,可在[此处](https://haveibeenpwned.com/API/Key)获得。 | 允许用户在创建账户时运行[数据泄露报告](/docs/password-manager/your-vault/security-tools/vault-health-reports.md#data-breach-report-individual-vaults-only)并检查其主密码是否存在泄露。 |
| globalSettings\_\_disableUserRegistration= | 指定为 `true` 以禁止新用户通过注册页面在此实例上注册账户。 | 用于将服务器上的用户限制为受邀加入组织的用户。 |
| globalSettings\_\_sso\_\_enforceSsoPolicyForAllUsers= | 指定为 `true` 以对所有者和管理员角色强制执行[要求 SSO 身份验证](/docs/admin-console/oversight-visibility/enterprise-policies.md#require-single-sign-on-authentication)策略。 | 用于为所有者和管理员角色强制执行[要求 SSO 身份验证](/docs/admin-console/oversight-visibility/enterprise-policies.md#require-single-sign-on-authentication)策略。 |
修改环境变量后,执行 `./bitwarden.sh rebuild` 以将更改应用到服务器。
## 第 3 步:启动您的组织
### 启动云端组织
至此,您已准备好启动您的组织并将其移植到您的自托管服务器。出于计费目的,必须首先在 Bitwarden 云端密码库 () 中创建组织。按照[这些说明](/docs/admin-console/organizations-overview.md#create-an-organization)创建组织。
### 启动自托管组织
创建云端组织后,请按照[这些说明](/docs/self-hosting/licensing-on-premise.md#organization-license)从云端获取您的许可证并将其上传到您的自托管服务器以创建该组织的自托管副本。
自托管的 Bitwarden 组织将能够使用其所选方案提供的所有付费功能。只有家庭版和企业版组织可以导入到自托管服务器。在[这里](/docs/plans-and-pricing/password-manager/about-bitwarden-plans.md)了解更多。
## 第 4 步:设置计费和许可证同步
接下来,设置您的自托管组织以从您的云端组织同步计费和许可证。这个是可选的,但有一些好处:
* 当您更改组织的席位数量时,可以更轻松地更新许可证。
* 当您的订阅到了续订日期时,可以更轻松地更新许可证。
* 为企业版组织的成员解锁[家庭版组织赞助](/docs/admin-console/manage-members/sponsored-families/sponsored-families-for-members.md)。
按照[这些说明](/docs/self-hosting/licensing-on-premise.md#update-organization-license)为您的组织设置计费和许可证同步。
{% hint style="info" %}
计费和许可证同步需要将 `globalSettings__enableCloudCommunication=` 环境变量设置为 `true`([了解更多](/docs/self-hosting/deploy-and-configure/configuration-options/environment-variables.md))。
{% endhint %}
## 第 5 步:开始组织管理
您现在已准备好开始管理您的自托管组织了!以下是您可以采用的方法:
{% tabs %}
{% tab title="Password Manager" %}
### 邀请您的管理团队
每个全明星组织都需要一个全明星的管理团队。开始邀请拥有高权限成员,他们可以帮助您使用 Bitwarden 构建安全凭证共享的基础架构。如果您正在构建企业版组织,您可以为成员授予[满足您的要求的高度灵活的自定义权限](/docs/admin-console/manage-members/member-roles.md#custom-role)。
为了实现冗余保护,我们建议在您新成立的管理团队中至少包含一名额外的**组织所有者**。
### 设置策略(仅限企业)
您的企业具有独特的安全需求。使用策略为所有团队成员构建一致的部署和用户体验,例如要求 SSO 身份验证或在账户恢复管理中注册成员。为了让您的组织为更多团队成员做好准备,[尽早制定策略](/docs/admin-console/oversight-visibility/enterprise-policies.md)非常重要。
### 导入您的数据
您的企业需要从其他密码管理器迁移到 Bitwarden 的吗?好消息!您可以将这些数据直接导入您的组织,以[避免繁琐的复制和粘贴操作](/docs/admin-console/manage-shared-items/import-organization-items/import-to-organization.md)。
### 建立群组和集合
您的密码库中有了项目后,就可以设置集合和群组以确保合适的用户具有对合适的凭据的访问权限。每个组织的情况都不尽相同,但这里有一些提示可以帮助您开始使用[集合入门](/docs/admin-console/manage-shared-items/collections/about-collections.md#using-collections)和[群组入门](/docs/admin-console/manage-members/groups.md#using-groups)。
### 邀请您的团队
终于可以开始邀请用户了!如果您使用 Azure Active Directory 等身份提供程序或目录服务,请使用 [SCIM](/docs/admin-console/manage-members/scim/about-scim.md) 或 [Directory Connector](/docs/admin-console/manage-members/directory-connector/about-directory-connector.md) 自动同步用户。否则,请按照您建立管理团队所采取的相同步骤邀请更多用户加入组织。
{% endtab %}
{% tab title="Secrets Manager" %}
### 邀请您的管理团队
每个全明星组织都需要一个全明星的管理团队。开始邀请拥有高权限成员,他们可以帮助您使用 Bitwarden 构建安全凭证共享的基础架构。
为了实现冗余保护,我们建议在您新成立的管理团队中至少包含一名额外的**组织所有者**。
### 设置策略(仅限企业)
您的企业具有独特的安全需求。使用策略为所有团队成员构建一致的部署和用户体验,例如要求 SSO 身份验证或在账户恢复管理中注册成员。为了让您的组织为更多团队成员做好准备,[尽早制定策略](/docs/admin-console/oversight-visibility/enterprise-policies.md)非常重要。
### 导入您的数据
您的企业需要从其他密码管理器迁移到 Bitwarden 的吗?好消息!您可以将这些数据直接导入您的组织,以[避免繁琐的复制和粘贴操作](/docs/admin-console/manage-shared-items/import-organization-items/import-to-organization.md)。
### 邀请您的团队
终于可以开始邀请用户了!如果您使用 Azure Active Directory 等身份提供程序或目录服务,请使用 [SCIM](/docs/admin-console/manage-members/scim/about-scim.md) 或 [Directory Connector](/docs/admin-console/manage-members/directory-connector/about-directory-connector.md) 自动同步用户。否则,请按照您建立管理团队所采取的相同步骤邀请更多用户加入组织。所有用户都入职后,[开始授予用户对 Secrets Manager 的访问权限](/docs/secrets-manager/get-started/secrets-manager-quick-start.md#give-members-access)。
{% endtab %}
{% endtabs %}
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://help.ppgg.in/docs/self-hosting/plan-for-deployment/self-host-an-organization.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.