Configurazione di account amministrativi con privilegi ridotti

I ruoli membro di Bitwarden includono quattro set di autorizzazioni predefiniti, tra cui un ruolo membro personalizzato configurabile (solo Enterprise). Proprietari e amministratori hanno per impostazione predefinita accesso amministrativo completo per prevenire blocchi e consentire l’amministrazione degli account utente.

Per limitare l’accesso quotidiano di un utente all’intera Organizzazione, gli account Proprietario possono essere configurati con indirizzi e-mail di account di servizio: non vengono usati regolarmente, ma solo per eseguire attività che richiedono l’accesso a tutti i dati della cassaforte contemporaneamente. Gli account Amministratore possono invece essere declassati al ruolo membro personalizzato con uno specifico set di autorizzazioni.

Questa guida presuppone che tu abbia già definito un meccanismo di archiviazione e approvazione per gli account Proprietario. È consigliabile rimanere connessi a un account Proprietario durante la modifica degli account Amministratore in ruoli personalizzati.

Il ruolo membro personalizzato seguente sostituirà il ruolo membro Amministratore dei tuoi utenti:

Seleziona una qualsiasi delle caselle seguenti:

• Accesso ai registri eventi

• Accesso ai report

• Creazione di nuove raccolte

• Gestione dei gruppi

• Gestione SSO

• Gestione dei criteri

Nota che nessuna delle opzioni precedenti fornisce accesso a ulteriori elementi della cassaforte.

Ora che gli utenti Amministratore sono stati declassati, diverse attività possono essere eseguite solo tramite gli account Proprietario, a causa delle autorizzazioni crittografiche o API richieste. Queste attività sono:

• Importazione/esportazione della cassaforte dell’organizzazione

• Modifica/eliminazione di raccolte non assegnate

• Recupero dell’account

• Onboarding/offboarding manuale degli utenti

• Accesso alla chiave API dell’organizzazione

Dopo aver convertito gli utenti Amministratore in questo ruolo membro personalizzato, dovrai designare le persone che gestiranno l’accesso a ciascuna raccolta. Esistono due modi per configurarlo, a seconda del livello di accesso che desideri concedere al “responsabile di reparto”.

Autorizzazione Può gestire per le raccolte

Concedi ai responsabili di reparto l’autorizzazione Può gestire per ogni raccolta che vuoi far gestire loro.

Consentire ai responsabili di reparto di creare nuove raccolte

Se il tuo “responsabile di reparto” deve poter creare nuove raccolte oltre a gestire quelle attualmente assegnate, hai due opzioni.

Consentire a tutti gli utenti di creare raccolte

Nella Console di amministrazione, vai a Impostazioni > Informazioni sull’organizzazione. Da lì potrai decidere se vuoi limitare la creazione e l’eliminazione delle raccolte a proprietari e amministratori. Se vuoi consentire a tutti gli utenti di creare raccolte, deseleziona questa casella e salva.

Limitare la creazione di raccolte ai membri designati

Per consentire ai responsabili di reparto di creare nuove raccolte quando l’opzione di gestione delle raccolte è selezionata, dovrai concedere anche a questi membri il seguente ruolo personalizzato:

A questi membri dovrà comunque essere concessa l’autorizzazione Può gestire per tutte le raccolte esistenti, ma riceveranno immediatamente l’autorizzazione Può gestire per ogni nuova raccolta che creano.

Moduli del Learning Center

• Serie video: Iniziare come amministratore

• Scalare membri, gruppi e raccolte

Articoli della guida

• Ruoli e autorizzazioni dei membri