Om Key Connector
Key Connector är en självvärd applikation som underlättar kundstyrd kryptering (CMS), vilket gör det möjligt för en företagsorganisation att servera kryptografiska nycklar till Bitwarden-klienter.
Key Connector körs som en dockningsbehållare på samma nätverk som befintliga tjänster och kan användas med inloggning med SSO för att servera kryptografiska nycklar för en organisation som ett alternativ till att kräva ett huvudlösenord för valvdekryptering (läs mer). Bitwarden stöder distribution av en nyckelanslutare för användning av en organisation för en självvärd instans.
Key Connector kräver anslutning till en databas där krypterade användarnycklar lagras och ett RSA-nyckelpar för att kryptera och dekryptera lagrade användarnycklar. Key Connector kan konfigureras med en mängd olika databasleverantörer (till exempel MSSQL, PostgreSQL, MySQL) och nyckelparlagringsleverantörer (till exempel Hashicorp Vault, Cloud KMS Providers, On-prem HSM-enheter) för att passa ditt företags infrastrukturkrav.
Varför använda Key Connector?
I implementeringar som utnyttjar huvudlösenordsdekryptering hanterar din identitetsleverantör autentisering och en medlems huvudlösenord krävs för valvdekryptering. Denna separation av bekymmer är ett viktigt steg som säkerställer att endast en organisationsmedlem har tillgång till nyckeln som krävs för att dekryptera din organisations känsliga valvdata.
I implementeringar som använder Key Connector för dekryptering, hanterar din identitetsleverantör fortfarande autentisering, men valvdekryptering hanteras av Key Connector. Genom att komma åt en krypterad nyckeldatabas (se diagrammet ovan), ger Key Connector en användare sin dekrypteringsnyckel när de loggar in, utan att behöva ett huvudlösenord.
Vi hänvisar ofta till Key Connector-implementeringar som att utnyttja kundstyrd kryptering, eftersom ditt företag har ensamt ansvar för hanteringen av Key Connector-applikationen och för valvdekrypteringsnycklarna som den betjänar. För företag som är redo att distribuera och underhålla en kundhanterad krypteringsmiljö, underlättar Key Connector en strömlinjeformad valv-inloggningsupplevelse.
Inverkan på huvudlösenord
Eftersom Key Connector ersätter huvudlösenordsbaserad dekryptering med kundhanterade dekrypteringsnycklar kommer organisationsmedlemmar att behöva ta bort huvudlösenordet från sitt konto. När de har tagits bort kommer alla valvdekrypteringsåtgärder att utföras med den lagrade användarnyckeln. Förutom att logga in kommer detta att ha vissa effekter på offboarding och andra funktioner du bör vara medveten om.
warning
Currently, there is not a way to re-create master passwords for accounts that have removed them.
For this reason, organization owners and admins are not able to remove their master password and must continue using their master password even if using SSO. It is possible to elevate a user who has removed their master password to owner or admin, however we strongly recommend that your organization always have at least one owner with a master password.
Inverkan på organisationens medlemskap
Key Connector kräver att användare tar bort sina huvudlösenord och använder istället en företagsägd databas med kryptografiska nycklar för att dekryptera användarnas valv. Eftersom huvudlösenord inte kan återskapas för konton som har tagit bort dem, betyder det att när ett konto väl använder Key Connector-dekryptering är det för alla ändamål och ändamål som ägs av organisationen.
Dessa konton får inte lämna organisationen, eftersom de då skulle förlora alla sätt att dekryptera valvdata. På liknande sätt, om en organisationsadministratör tar bort kontot från organisationen, kommer kontot att förlora alla sätt att dekryptera valvdata.
Inverkan på andra funktioner
Särdrag | Inverkan |
|---|---|
Kontroll | Det finns ett antal funktioner i Bitwarden-klientapplikationer som vanligtvis kräver inmatning av ett huvudlösenord för att kunna användas, inklusive export av valvdata, ändring av tvåstegsinloggningsinställningar, hämtning av API-nycklar och mer. |
Valv låsa/låsa upp | Under vanliga omständigheter kan ett låst valv låsas upp med ett huvudlösenord. När din organisation använder Key Connector kan låsta klientapplikationer endast låsas upp med en PIN-kod eller med biometri. |
Fråga om huvudlösenordet | När Key Connector används, kommer återuppmaning av huvudlösenord att inaktiveras för alla användare som har tagit bort sitt huvudlösenord som ett resultat av din Key Connector-implementering. |
Återställning av administratörslösenord | När Key Connector används, kommer återställning av administratörslösenord att inaktiveras för alla användare som har tagit bort sitt huvudlösenord som ett resultat av din Key Connector-implementering. |
Nödåtkomst | När Key Connector används, kommer alternativet för övertagande av nödåtkomstkonto att inaktiveras för alla användare som har tagit bort sitt huvudlösenord som ett resultat av din Key Connector-implementering. |
Ändra e-post | När Key Connector används kan en användares e-postadress i valvet inte ändras. |
Hur börjar jag använda Key Connector?
För att komma igång med att använda Key Connector för kundhanterad kryptering, vänligen granska följande krav:
warning
Management of cryptographic keys is incredibly sensitive and is only recommended for enterprises with a team and infrastructure that can securely support deploying and managing a key server.
För att använda Key Connector måste du också:
Har en Bitwarden-server som är självvärd.
Aktivera den enskilda organisationen och kräva principer för enkel inloggning.
Om din organisation uppfyller eller kan uppfylla dessa krav, inklusive ett team och infrastruktur som kan stödja hantering av en nyckelserver, kontakta oss så aktiverar vi Key Connector.