Was ist SCIM?
Das System for Cross-domain Identity Management (SCIM) ist ein offenes Standardprotokoll der Branche, das die Automatisierung der Verwaltung und des Austauschs von Benutzeridentitätsinformationen über IT-Systeme oder Domänen hinweg ermöglicht. SCIM verwendet eine RESTful API, einen weiteren Standard, um Vorgänge und Befehle in der Datenbank auszuführen.
Dies erleichtert IT-Administratoren die Bereitstellung und Verwaltung von Benutzern für ihre IT-Systeme, einschließlich SaaS-Produkten, internen Tools und mehr. Anstatt für einen neuen Mitarbeiter manuell ein Konto für all die verschiedenen Dienste erstellen zu müssen, die das Unternehmen nutzt, fügt der IT-Administrator den neuen Benutzer zum Identitätsverwaltungssystem hinzu, das dann über SCIM automatisch die Konten für ihn erstellt.
Wichtig ist, dass dies auch umgekehrt funktioniert: Wenn ein Benutzer das Unternehmen verlässt, werden die Konten dieser Person geschlossen, wodurch Sicherheitsrisiken durch den Weggang reduziert werden.
Schließlich kann SCIM auch verwendet werden, um Benutzer bestimmten Gruppen zuzuweisen, damit sie für bestimmte Tools bereitgestellt werden können. Beispielsweise könnte für eine Person, die in die Personalabteilung eintritt, automatisch ein Konto im SaaS-Personalportal (z. B. in einem beliebigen HR-Tool) mit den Berechtigungen erstellt werden, die zum Verwalten von Mitarbeiterdaten erforderlich sind.
Wie Bitwarden SCIM implementiert
Bitwarden-Server stellen einen SCIM-Endpunkt bereit, der mit einem gültigen SCIM-API-Schlüssel Anfragen von Ihrem Identitätsanbieter (IdP) zur Benutzer- und Gruppenbereitstellung sowie zur Verzeichnissynchronisation annimmt. Geben Sie den von Ihrem Bitwarden-Client bereitgestellten API-Schlüssel und die SCIM-URL in Ihre IdP-Installation ein, um die Kommunikation Identitätsanbieter → Bitwarden zu ermöglichen. Dokumentation zu jedem unterstützten Dienst finden Sie im Help Center: Azure Active Directory; Okta; OneLogin; JumpCloud
SCIM und Single Sign-On
Die gemeinsame Verwendung von SCIM und SSO in Ihrem Unternehmen vereinfacht die Verwaltung von Zugangsdaten und die Automatisierung erheblich und reduziert zugleich den Aufwand. Beide ergänzen sich sehr gut. SSO automatisiert den Zugriff auf interne Tools, einschließlich Bitwarden, während Bitwarden einfachen Zugriff auf Tools außerhalb des SSO-Bereichs bietet. Mit SCIM-Bereitstellung kann ein Administrator mit einer einzigen Aktion Zugriff auf alle Tools gewähren oder entziehen, einschließlich solcher, die weder von SSO noch von SCIM unterstützt werden. Bitwarden fungiert dabei als Erweiterung dieser Funktionen und steuert den Zugriff auf diese Websites und Tools.
SCIM und der Bitwarden Directory Connector
Sowohl SCIM als auch der Bitwarden Directory Connector bieten Methoden zur Automatisierung der Bereitstellung von Benutzern für eine Bitwarden-Organisation. Beide Lösungen erstellen erfolgreich Benutzerkonten und Berechtigungen basierend auf dem Verzeichnis.
Der Bitwarden Directory Connector ist eine eigenständige Anwendung, die verwendet wird, um Benutzer und Gruppen aus einem bestehenden Verzeichnisdienst in einem einzigen Vorgang aktiv mit einer Bitwarden-Organisation zu synchronisieren. Er fragt das Quellverzeichnis ab und stellt dann automatisch Benutzer, Gruppen und Gruppenzuordnungen daraus bereit und schließt Konten für entfernte Benutzer. Für weitere Aktualisierungen muss der Synchronisationsvorgang erneut ausgeführt werden. Er funktioniert auch mit lokalen Identitätsanbieter-Lösungen.
SCIM ermöglicht es Bitwarden, jederzeit Aktualisierungen vom Verzeichnis oder Identitätsanbieter zu empfangen, etwa neue Benutzer und Änderungen an Gruppen. Benutzer werden automatisch bereitgestellt oder geändert, wenn das Verzeichnis oder der Identitätsanbieter eine Änderung übermittelt.
Lösung | Ausführung | Synchronisationstyp | Synchronisationszeitplan | Partner und Kompatibilität |
|---|---|---|---|---|
SCIM | In Bitwarden integriert | Überträgt Änderungen per Push an Bitwarden | Immer aktiv | Azure AD, Okta, OneLogin, JumpCloud, Ping Identity |
Bitwarden Directory Connector | Eigenständig auf einem lokalen Rechner | Fragt das Verzeichnis ab und ruft Änderungen ab | Synchronisationsintervalle sind anpassbar | Active Directory, Azure AS, Okta, OneLogin, Google Workspace sowie LDAP-basierte Verzeichnisse, selbst gehostete IdPs |
SCIM-Unterstützung ist in Enterprise-Tarifen verfügbar. Der Bitwarden Directory Connector ist sowohl für Teams- als auch für Enterprise-Tarife verfügbar.
FAQ:
F: Ist SCIM dasselbe wie SSO?
A: Nein. SSO nutzt die Informationen der Identitätsanbieter zur Authentifizierung der Anmeldung, während SCIM speziell die Benutzerbereitstellung und -verwaltung ermöglicht.
F: Kann ich von der Verwendung des Bitwarden Directory Connectors zu SCIM wechseln?
A: Ja, wenn Sie die folgenden Punkte beachten:
Sie sollten die SCIM-Integration mit demselben Verzeichnis verwenden, das der Directory Connector verwendet hat
Alle Benutzer oder Gruppen, die sich in Ihrem Verzeichnis befinden, aber nicht in Bitwarden bereitgestellt sind, werden bereitgestellt
Alle Benutzer oder Gruppen, die bereits in Bitwarden vorhanden waren und sich nicht in Ihrem Verzeichnis befinden, bleiben bestehen.
Derzeit kann SCIM nur den Benutzerzugriff entziehen. Die Möglichkeit, Benutzer vollständig aus einer Organisation zu entfernen, wird in einer zukünftigen Version hinzugefügt.
Stellen Sie sicher, dass Sie alle von Ihnen erstellten Skripte deaktivieren, die die Ausführung des Directory Connectors automatisieren würden.
Weitere Tools zur Unterstützung der Migration befinden sich in der Entwicklung. Weitere Dokumentation finden Sie in diesem Help-Center-Artikel.
F: Funktioniert dies für Cloud- und selbst gehostete Installationen?
A: Ja, SCIM ist für beide Arten von Enterprise-Installationen verfügbar.
F: Wie beginne ich mit SCIM?
A: Eine Schritt-für-Schritt-Dokumentation finden Sie in diesem Help-Center-Artikel.
F: Welche Identitätsanbieter unterstützt Bitwarden mit SCIM?
A: Azure AD, Okta, OneLogin, JumpCloud und Ping Identity werden vollständig unterstützt.