Che cos'è SCIM?
System for Cross-domain Identity Management (SCIM) è un protocollo standard aperto di settore che consente di automatizzare la gestione e lo scambio delle informazioni sull'identità degli utenti tra sistemi o domini IT. SCIM utilizza un'API RESTful, un altro standard, per eseguire operazioni e comandi sul database.
In questo modo, per gli amministratori IT è facile effettuare il provisioning e gestire gli utenti dei propri sistemi IT, inclusi prodotti SaaS, strumenti interni e altro ancora. Invece di dover creare manualmente un account per un nuovo dipendente in tutti i diversi servizi utilizzati dall'azienda, l'amministratore IT aggiunge il nuovo utente al proprio sistema di Identity Management, che utilizzerà SCIM per creare automaticamente gli account al suo posto.
È importante sottolineare che funziona anche al contrario: quando un utente lascia l'azienda, chiude gli account di quel dipendente, riducendo i rischi per la sicurezza legati alla sua uscita.
Infine, SCIM può anche essere utilizzato per assegnare gli utenti a gruppi specifici, in modo che possano ricevere il provisioning per strumenti specifici. Ad esempio, chi entra a far parte del team Risorse umane potrebbe ottenere automaticamente account nel portale SaaS delle Risorse umane (ad esempio qualsiasi strumento per le risorse umane), con le autorizzazioni necessarie per gestire i dettagli dei dipendenti.
Come Bitwarden implementa SCIM
I server Bitwarden forniscono un endpoint SCIM che, con una chiave API SCIM valida, accetta le richieste del tuo Identity Provider (IdP) per il provisioning di utenti e gruppi e la sincronizzazione delle directory. Inserirai la chiave API e l'URL SCIM forniti dal tuo client Bitwarden nell'installazione del tuo IdP per abilitare la comunicazione Identity Provider → Bitwarden. La documentazione per ciascun servizio supportato è disponibile nel Centro assistenza: Azure Active Directory; Okta; OneLogin; JumpCloud
SCIM e Single Sign-On
L'uso congiunto di SCIM e SSO nella tua azienda semplifica notevolmente la gestione delle credenziali e l'automazione, riducendo al contempo il sovraccarico operativo. Si completano molto bene a vicenda. L'uso dell'SSO automatizza l'accesso agli strumenti interni, incluso Bitwarden, mentre Bitwarden offre un accesso semplice agli strumenti al di fuori dell'ambito dell'SSO. Con il provisioning SCIM, un amministratore può, con una sola azione, concedere o revocare l'accesso a tutti gli strumenti, compresi quelli non supportati né da SSO né da SCIM, con Bitwarden che funge da estensione di tali funzioni e controlla l'accesso a quei siti web e strumenti.
SCIM e Bitwarden Directory Connector
Sia SCIM sia Bitwarden Directory Connector offrono metodi per automatizzare il provisioning degli utenti per un'organizzazione Bitwarden. Entrambe le soluzioni creano correttamente account utente e autorizzazioni in base alla directory.
Bitwarden Directory Connector è un'applicazione autonoma utilizzata per sincronizzare attivamente utenti e gruppi con un'organizzazione Bitwarden da un servizio di directory esistente in un'unica operazione. Interroga la directory di origine e quindi effettua automaticamente il provisioning di utenti, gruppi e associazioni di gruppi, oltre a chiudere gli account degli utenti rimossi. Per ulteriori aggiornamenti sarà necessario eseguire di nuovo l'operazione di sincronizzazione. Funziona anche con soluzioni Identity Provider on-premise.
SCIM consente a Bitwarden di ricevere aggiornamenti dalla Directory o dall'Identity Provider in qualsiasi momento, ad esempio nuovi utenti e modifiche ai gruppi. Effettuerà automaticamente il provisioning o modificherà gli utenti quando la Directory o l'Identity Provider invia una modifica.
Soluzione | Modalità di esecuzione | Tipo di sincronizzazione | Pianificazione della sincronizzazione | Partner e compatibilità |
|---|---|---|---|---|
SCIM | Integrato in Bitwarden | Invia le modifiche a Bitwarden | Sempre attivo | Azure AD, Okta, OneLogin, JumpCloud, Ping Identity |
Bitwarden Directory Connector | Standalone su un computer locale | Interroga la directory e recupera le modifiche | Gli intervalli di sincronizzazione sono personalizzabili | Active Directory, Azure AS, Okta, OneLogin, Google Workspace e directory basate su LDAP, IdP self-hosted |
Il supporto SCIM è disponibile nei piani Enterprise. Bitwarden Directory Connector è disponibile sia nei piani Teams sia nei piani Enterprise.
FAQ:
D: SCIM è la stessa cosa dell'SSO?
R: No. L'SSO utilizza le informazioni dei provider di identità per autenticare l'accesso, mentre SCIM consente specificamente il provisioning e la gestione degli utenti.
D: Posso passare dall'uso di Bitwarden Directory Connector a SCIM?
R: Sì, tenendo presenti i seguenti punti:
Dovresti usare l'integrazione SCIM con la stessa directory utilizzata da Directory Connector
Tutti gli utenti o gruppi presenti nella tua directory ma non sottoposti a provisioning in Bitwarden verranno sottoposti a provisioning
Qualsiasi utente o gruppo già esistente in Bitwarden e non presente nella tua directory rimarrà.
Al momento SCIM può solo revocare l'accesso degli utenti. La possibilità di rimuovere completamente gli utenti da un'organizzazione verrà aggiunta in una versione futura.
Assicurati di disattivare eventuali script che potresti aver creato per automatizzare l'esecuzione di Directory Connector.
Sono in fase di sviluppo altri strumenti per agevolare la migrazione. Ulteriore documentazione è disponibile in questo articolo del Centro assistenza.
D: Funziona con installazioni cloud e self-hosted?
R: Sì, SCIM è disponibile per entrambi i tipi di installazioni Enterprise.
D: Come posso iniziare a usare SCIM?
R: La documentazione dettagliata è disponibile in questo articolo del Centro assistenza.
D: Quali provider di identità supporta Bitwarden con SCIM?
R: Azure AD, Okta, OneLogin, JumpCloud e Ping Identity sono completamente supportati.