Bitwarden et le Système de gestion des identités interdomaines (SCIM)

Le System for Cross-domain Identity Management (SCIM) est un protocole ouvert standard du secteur qui permet d’automatiser la gestion et l’échange d’informations d’identité utilisateur entre systèmes ou domaines informatiques. SCIM utilise une API RESTful, un autre standard, pour exécuter des opérations et des commandes sur la base de données.

Cela permet aux administrateurs informatiques de provisionner et de gérer facilement les utilisateurs pour leurs systèmes informatiques, y compris les produits SaaS, les outils internes, etc. Plutôt que de devoir créer manuellement un compte pour un nouvel employé dans tous les différents services utilisés par l’entreprise, l’admin informatique ajoute le nouvel utilisateur à son système de gestion des Identités, qui utilise SCIM pour créer automatiquement les comptes à sa place.

Point important, cela fonctionne aussi dans l’autre sens : lorsqu’un utilisateur quitte l’entreprise, ses comptes sont fermés, ce qui réduit les risques de sécurité liés à son départ.

Enfin, SCIM peut également être utilisé pour affecter des utilisateurs à des groupes spécifiques afin qu’ils puissent être provisionnés pour des outils particuliers. Par exemple, une personne rejoignant l’équipe des ressources humaines pourrait disposer automatiquement de comptes créés dans son portail SaaS de ressources humaines (par exemple, tout outil de ressources humaines), avec les autorisations nécessaires pour gérer les informations des employés.

Les serveurs Bitwarden fournissent un point de terminaison SCIM qui, avec une clé d’API SCIM valide, acceptera les requêtes de votre fournisseur d’Identité (IdP) pour le provisionnement des utilisateurs et des groupes ainsi que la synchronisation de l’annuaire. Vous saisirez la clé d’API et l’URL SCIM fournies par votre client Bitwarden dans votre installation IdP afin d’activer la communication fournisseur d’Identité → Bitwarden. La documentation de chaque service pris en charge est disponible dans le centre d’aide : Azure Active Directory; Okta; OneLogin; JumpCloud

L’utilisation conjointe de SCIM et du SSO dans votre entreprise simplifie considérablement la gestion des identifiants et l’automatisation, tout en réduisant la charge de gestion. Ils se complètent très bien. L’utilisation du SSO automatisera l’accès aux outils internes, y compris Bitwarden, tandis que Bitwarden offre un accès simple aux outils hors du périmètre du SSO. Avec le provisionnement SCIM, un administrateur peut, en une seule action, accorder ou révoquer l’accès à tous les outils, y compris ceux qui ne sont pris en charge ni par le SSO ni par SCIM, Bitwarden agissant comme une extension de ces fonctions et contrôlant l’accès à ces sites web et outils.

SCIM et Bitwarden Directory Connector proposent tous deux des méthodes pour automatiser le provisionnement des utilisateurs d’une organisation Bitwarden. Chaque solution créera correctement les comptes utilisateur et les autorisations en fonction de l’annuaire.

Bitwarden Directory Connector est une application autonome utilisée pour synchroniser activement, en une seule opération, les utilisateurs et les groupes depuis un service d’annuaire existant vers une organisation Bitwarden. Elle interrogera l’annuaire source, puis provisionnera automatiquement les utilisateurs, les groupes et les associations de groupes, et fermera les comptes des utilisateurs supprimés. Toute mise à jour ultérieure nécessitera de relancer l’opération de synchronisation. Elle fonctionne également avec les solutions de fournisseur d’Identité sur site.

SCIM permet à Bitwarden de recevoir à tout moment des mises à jour de l’annuaire ou du fournisseur d’Identité, comme de nouveaux utilisateurs et des modifications de groupes. Les utilisateurs seront automatiquement provisionnés ou modifiés lorsque l’annuaire ou le fournisseur d’Identité transmettra un changement.

Q : SCIM est-il identique au SSO ?

R : Non. Le SSO utilise les informations des fournisseurs d’identité pour authentifier la connexion, tandis que SCIM permet spécifiquement le provisionnement et la gestion des utilisateurs.

Q : Puis-je passer de Bitwarden Directory Connector à SCIM ?

R : Oui, en tenant compte des éléments suivants :

• Vous devez utiliser l’intégration SCIM avec le même annuaire que celui utilisé par Directory Connector

• Tous les utilisateurs ou groupes présents dans votre annuaire mais non provisionnés dans Bitwarden seront provisionnés

• Tout utilisateur ou groupe déjà existant dans Bitwarden et absent de votre annuaire sera conservé.

• Pour le moment, SCIM peut uniquement révoquer l’accès des utilisateurs. La possibilité de supprimer complètement des utilisateurs d’une Organisation sera ajoutée dans une prochaine version.

• Veillez à désactiver tous les scripts que vous auriez créés pour automatiser l’exécution de Directory Connector.

D’autres outils destinés à faciliter la migration sont en cours de développement. Une documentation supplémentaire est disponible dans cet article du Centre d’aide. 

Q : Cela fonctionne-t-il pour les installations Cloud et auto-hébergées ?

R : Oui, SCIM est disponible pour les deux types d’installations Entreprise.

Q : Comment démarrer avec SCIM ?

R : Une documentation étape par étape est disponible dans cet article du Centre d’aide.

Q : Quels fournisseurs d’identité Bitwarden prend-il en charge avec SCIM ?

R : Azure AD, Okta, OneLogin, JumpCloud et Ping Identity sont entièrement pris en charge.