Wat is SCIM?
System for Cross-domain Identity Management (SCIM) is een open standaardprotocol in de sector waarmee het beheer en de uitwisseling van identiteitsgegevens van gebruikers tussen IT-systemen of domeinen kunnen worden geautomatiseerd. SCIM gebruikt een RESTful API, ook een standaard, om bewerkingen en opdrachten op de database uit te voeren.
Dit maakt het voor IT-beheerders eenvoudig om gebruikers te provisionen en gebruikersbeheer uit te voeren voor hun IT-systemen, waaronder SaaS-producten, interne tools en meer. In plaats van handmatig een account voor een nieuwe medewerker aan te maken voor alle verschillende diensten die het bedrijf gebruikt, voegt de IT-beheerder de nieuwe gebruiker toe aan het identiteitsbeheersysteem. Dat systeem gebruikt SCIM om automatisch de accounts voor die gebruiker aan te maken.
Belangrijk is dat dit ook omgekeerd werkt: wanneer een gebruiker het bedrijf verlaat, sluit het de accounts van die medewerker, waardoor de beveiligingsrisico's na diens vertrek worden verminderd.
Tot slot kan SCIM ook worden gebruikt om gebruikers aan specifieke groepen toe te wijzen, zodat ze voor specifieke tools kunnen worden geprovisioned. Iemand die bijvoorbeeld bij het Human Resources-team komt, kan automatisch accounts krijgen in het SaaS-Human Resources-portaal (bijv. een HR-tool) met de rechten die nodig zijn voor het beheer van werknemersgegevens.
Hoe Bitwarden SCIM implementeert
Bitwarden-servers bieden een SCIM-eindpunt dat, met een geldige SCIM-API-sleutel, verzoeken van je Identity Provider (IdP) accepteert voor gebruikers- en groepsprovisioning en directorysynchronisatie. Je voert de API-sleutel en SCIM-URL die door je Bitwarden-client worden verstrekt in je IdP-installatie in om communicatie van Identity Provider → Bitwarden mogelijk te maken. Documentatie voor elke ondersteunde dienst is te vinden in het Helpcentrum: Azure Active Directory; Okta; OneLogin; JumpCloud
SCIM en Single Sign-On
Door SCIM en SSO samen in je onderneming te gebruiken, worden referentiebeheer en automatisering aanzienlijk eenvoudiger en neemt de overhead af. Ze vullen elkaar heel goed aan. Met SSO automatiseer je de toegang tot interne tools, waaronder Bitwarden, terwijl Bitwarden eenvoudige toegang biedt tot tools buiten het bereik van SSO. Met SCIM-provisioning kan een beheerder met één actie toegang tot alle tools verlenen of intrekken, ook tot tools die niet door SSO of SCIM worden ondersteund, waarbij Bitwarden fungeert als uitbreiding van die functies en de toegang tot die websites en tools beheert.
SCIM en de Bitwarden Directory Connector
Zowel SCIM als de Bitwarden Directory Connector bieden methoden om de provisioning van gebruikers voor een Bitwarden-organisatie te automatiseren. Beide oplossingen maken gebruikersaccounts en rechten op basis van de directory correct aan.
De Bitwarden Directory Connector is een zelfstandige toepassing die wordt gebruikt om gebruikers en groepen vanuit een bestaande directoryservice in één bewerking actief te synchroniseren met een Bitwarden-organisatie. De toepassing vraagt de brondirectory op en provisiont vervolgens automatisch gebruikers, groepen en groepskoppelingen, en sluit accounts voor verwijderde gebruikers. Voor verdere updates moet de synchroniseerbewerking opnieuw worden uitgevoerd. De toepassing werkt ook met on-premises Identity Provider-oplossingen.
Met SCIM kan Bitwarden op elk moment updates ontvangen van de Directory of Identity Provider, zoals nieuwe gebruikers en wijzigingen in groepen. Gebruikers worden automatisch geprovisioned of gewijzigd wanneer de Directory of Identity Provider een wijziging pusht.
Oplossing | Hoe het wordt uitgevoerd | Synchronisatietype | Synchronisatieschema | Partners en compatibiliteit |
|---|---|---|---|---|
SCIM | Geïntegreerd in Bitwarden | Pusht wijzigingen naar Bitwarden | Altijd actief | Azure AD, Okta, OneLogin, JumpCloud, Ping Identity |
Bitwarden Directory Connector | Zelfstandig op een lokale computer | Bevraagt de directory en haalt wijzigingen op | Synchronisatie-intervallen zijn aanpasbaar | Active Directory, Azure AS, Okta, OneLogin, Google Workspace en LDAP-gebaseerde directory, zelfgehoste IdP's |
SCIM-ondersteuning is beschikbaar in Enterprise-abonnementen. De Bitwarden Directory Connector is beschikbaar voor zowel Teams- als Enterprise-abonnementen.
Veelgestelde vragen:
V: Is SCIM hetzelfde als SSO?
A: Nee. SSO gebruikt de informatie van identiteitsproviders om logins te verifiëren, terwijl SCIM specifiek gebruikersprovisioning en -beheer mogelijk maakt.
V: Kan ik overstappen van het gebruik van de Bitwarden Directory Connector naar SCIM?
A: Ja, houd daarbij rekening met de volgende items:
Gebruik SCIM-integratie met dezelfde directory die de Directory Connector gebruikte
Alle gebruikers of groepen die in je directory staan maar niet in Bitwarden zijn geprovisioned, worden geprovisioned
Alle gebruikers of groepen die al in Bitwarden bestonden en niet in je directory staan, blijven behouden.
Op dit moment kan SCIM alleen gebruikerstoegang intrekken. De mogelijkheid om gebruikers volledig uit een organisatie te verwijderen, wordt in een toekomstige release toegevoegd.
Zorg ervoor dat je eventuele scripts uitschakelt die je hebt gemaakt om het uitvoeren van Directory Connector te automatiseren.
Er zijn meer tools ter ondersteuning van migratie in ontwikkeling. Aanvullende documentatie is te vinden in dit Help Center-artikel.
V: Werkt dit voor Cloud- en zelfgehoste installaties?
A: Ja, SCIM is beschikbaar voor beide typen Enterprise-installaties.
V: Hoe ga ik aan de slag met SCIM?
A: Stapsgewijze documentatie is beschikbaar in dit Help Center-artikel.
V: Welke identiteitsproviders ondersteunt Bitwarden met SCIM?
A: Azure AD, Okta, OneLogin, JumpCloud en Ping Identity worden volledig ondersteund.