Konfigurera administrativa konton med lägre behörigheter
Bitwarden medlemsroller omfattar fyra fördefinierade behörighetsuppsättningar, inklusive en konfigurerbar anpassad medlemsroll (endast Enterprise). Ägare och administratörer har som standard full administrativ åtkomst för att förhindra utelåsning och möjliggöra administration av användarkonton.
För att begränsa den dagliga åtkomst en användare har till hela organisationen kan ägarkonton konfigureras med e-postadresser för tjänstekonton – dessa används inte regelbundet, utan endast för att utföra uppgifter som kräver åtkomst till alla valvdata på en gång – och administratörskonton kan nedgraderas till den anpassade medlemsrollen med en specifik behörighetsuppsättning.
Den här guiden förutsätter att du redan har fastställt en lagrings- och godkännandemekanism för ägarkonton. Vi rekommenderar att du förblir inloggad på ett ägarkonto medan du ändrar administratörskonton till anpassade roller.
Definiera din anpassade medlemsroll
Den anpassade medlemsrollen nedan ersätter dina användares administratörsroll:
Markera någon av följande rutor:
Åtkomst till händelseloggar
Åtkomst till rapporter
Skapa nya samlingar
Hantera grupper
Hantera SSO
Hantera policyer
Observera att inget av alternativen ovan ger åtkomst till ytterligare valvobjekt.
Använda ägarrollen som tjänstekonto
Nu när administratörsanvändarna har nedgraderats kan flera uppgifter endast utföras via ägarkonton på grund av de kryptografiska behörigheter eller API-behörigheter som uppgifterna kräver. Dessa uppgifter är:
Import/export av organisationsvalvet
Redigera/ta bort otilldelade samlingar
Kontoåterställning
Manuell introduktion/avslutning av användare
Åtkomst till organisationens API-nyckel
Behörigheter för avdelningschefer/ansvariga
När du har ändrat dina administratörsanvändare till den här anpassade medlemsrollen behöver du utse personer som ska hantera åtkomst till varje samling. Det finns två sätt att konfigurera detta, beroende på hur mycket åtkomst du vill ge ”avdelningschefen”.
Behörigheten ”Kan hantera” för samlingar
Ge avdelningscheferna ”kan hantera”-behörighet för alla samlingar du vill att de ska hantera.
Tillåta avdelningschefer att skapa nya samlingar
Om din ”avdelningschef” behöver kunna skapa nya samlingar utöver att hantera de samlingar som redan har tilldelats finns det två alternativ.
Tillåt alla användare att skapa samlingar
I administratörskonsolen går du till Inställningar > Organisationsinformation. Där kan du avgöra om skapande och borttagning av samlingar ska begränsas till ägare och administratörer. Om du vill att alla användare ska kunna skapa samlingar avmarkerar du den här rutan och sparar.
Begränsa skapande av samlingar till utsedda medlemmar
För att låta avdelningschefer skapa nya samlingar när alternativet Samlingshantering är markerat behöver du dessutom tilldela dessa medlemmar följande anpassade roll:
Dessa medlemmar måste fortfarande tilldelas behörigheten Kan hantera för alla befintliga samlingar, men får omedelbart Kan hantera för alla nya samlingar de skapar.