Configuration de comptes administratifs avec des privilèges réduits

Bitwarden rôles de membre comprennent quatre ensembles d’autorisations prédéfinis, dont un rôle de membre personnalisé configurable (Enterprise uniquement). Les propriétaires et les admins disposent par défaut d’un accès administratif complet afin d’éviter tout verrouillage et de permettre l’administration des comptes utilisateur.

Pour limiter l’accès quotidien d’un utilisateur à l’ensemble de l’organisation, des comptes propriétaire peuvent être configurés avec des adresses e-mail de compte de service ; ces comptes ne sont pas utilisés régulièrement, mais uniquement pour effectuer des tâches nécessitant l’accès simultané à toutes les données du coffre. Les comptes admin peuvent être rétrogradés au rôle de membre personnalisé avec un ensemble d’autorisations spécifique.

Ce guide suppose que vous avez déjà défini un mécanisme de stockage et d’approbation pour les comptes propriétaire. Il est recommandé de rester connecté à un compte propriétaire pendant que vous modifiez les comptes admin en rôles personnalisés.

Le rôle de membre personnalisé ci-dessous remplacera le rôle de membre admin de vos utilisateurs :

Cochez une ou plusieurs des cases suivantes :

• Accéder aux journaux d’événements

• Accéder aux rapports

• Créer de nouvelles collections

• Gérer les groupes

• Gérer le SSO

• Gérer les politiques de sécurité

Notez qu’aucune des options ci-dessus ne donne accès à des éléments supplémentaires du coffre.

Maintenant que les utilisateurs admin ont été rétrogradés, plusieurs tâches ne peuvent être effectuées que via les comptes propriétaire, en raison des autorisations cryptographiques ou d’API qu’elles requièrent. Ces tâches sont les suivantes :

• Importation/exportation du coffre de l’organisation

• Modification/suppression des collections non attribuées

• Récupération de compte

• Intégration/retrait manuel des utilisateurs

• Accès à la clé API de l’organisation

Une fois vos utilisateurs admin passés à ce rôle de membre personnalisé, vous devrez désigner des personnes pour gérer l’accès à chaque collection. Il existe deux façons de configurer cela, selon le niveau d’accès que vous souhaitez accorder au « chef de service ».

Autorisation « Peut gérer » pour les collections

Accordez aux chefs de service l’autorisation « Peut gérer » pour toute collection que vous souhaitez leur confier.

Autoriser les chefs de service à créer de nouvelles collections

Si votre « chef de service » doit pouvoir créer de nouvelles collections en plus de gérer les collections qui lui sont actuellement attribuées, vous avez deux options.

Autoriser tous les utilisateurs à créer des collections

Dans la console d’administration, accédez à Paramètres > Informations sur l’organisation. À partir de là, vous pourrez décider si vous souhaitez limiter la création et la suppression de collections aux propriétaires et aux admins. Si vous souhaitez que tous les utilisateurs puissent créer des collections, décochez cette case et enregistrez.

Limiter la création de collections aux membres désignés

Pour permettre aux chefs de service de créer de nouvelles collections lorsque l’option de gestion des collections est cochée, vous devrez également accorder à ces membres le rôle personnalisé suivant :

Ces membres devront toujours recevoir l’autorisation « Peut gérer » pour les collections existantes, mais l’autorisation « Peut gérer » leur sera immédiatement accordée pour toute nouvelle collection qu’ils créent.

Modules du centre d’apprentissage

• Série de vidéos : Premiers pas en tant qu’administrateur

• Gestion à grande échelle des membres, groupes et collections

Articles d’aide

• Rôles et autorisations des membres