Creación de cuentas administrativas con menos privilegios

Los roles de miembro de Bitwarden incluyen cuatro conjuntos de permisos predefinidos, incluido un rol de miembro Personalizado configurable (sólo Enterprise). Los propietarios y administradores tienen acceso administrativo completo por defecto para evitar el bloqueo y permitir la administración de cuentas de usuario.

Para limitar el acceso diario de un usuario a toda la Organización, las cuentas de Propietario pueden configurarse con direcciones de correo electrónico de cuentas de servicio -a éstas no se accede regularmente, sino sólo para realizar tareas que requieren acceso a todos los datos del almacén a la vez- y las cuentas de Administrador pueden degradarse al rol de miembro Personalizado con un conjunto de permisos específicos.

Esta guía asume que usted ya ha determinado un mecanismo de almacenamiento y aprobación para la(s) cuenta(s) del Propietario. Se recomienda permanecer conectado a una cuenta de Propietario mientras se modifica la(s) cuenta(s) de Administrador a Rol(es) Personalizado(s).

El siguiente rol de miembro Personalizado reemplazará el rol de miembro Admin de sus usuarios:

Marque cualquiera de las siguientes casillas:

• Acceder a los registros de eventos

• Informes de acceso

• Crear nuevas colecciones

• Administrar grupos

• Gestionar SSO

• Administrar políticas

Tenga en cuenta que ninguna de las opciones anteriores proporciona acceso a elementos adicionales del almacén.

Ahora que los usuarios Administradores han sido degradados, varias tareas sólo pueden realizarse a través de la(s) cuenta(s) Propietaria(s) debido a los permisos criptográficos o de API que estas tareas requieren. Estas tareas son:

• Importación/exportación del almacén de la organización

• Edición/eliminación de colecciones no asignadas

• Recuperación de cuentas

• Alta/baja manual de usuarios

• Acceso a la clave API de la organización

Una vez que haya cambiado sus usuarios Admin a este rol de miembro Personalizado, necesitará designar personas para gestionar el acceso a cada colección. Hay dos formas de configurar esto, dependiendo de cuánto acceso quieras dar al "jefe de departamento".

Puede gestionar el permiso de recogida

Conceda a los jefes de departamento permiso para gestionar cualquier colección que desee que gestionen.

Permitir a los Jefes de Departamento crear nuevas colecciones

Si su "jefe de departamento" necesita poder crear nuevas colecciones además de gestionar las que ya tiene asignadas, tendrá dos opciones.

Permitir a todos los usuarios crear colecciones

En Admin Console, vaya a Configuración > Información de la organización. A partir de ahí, podrá decidir si desea que la creación y eliminación de colecciones esté restringida a los propietarios y administradores. Si desea que todos los usuarios puedan crear colecciones, desmarque esta casilla y guarde.

Restringir la creación de colecciones a los miembros designados

Para permitir que los jefes de departamento creen nuevas colecciones cuando la opción Gestión de colecciones está marcada, deberá conceder adicionalmente a dichos miembros la siguiente función personalizada:

Estos miembros seguirán necesitando el permiso Puede gestionar para cualquier colección existente, pero se les concederá inmediatamente el permiso Puede gestionar para cualquier colección nueva que creen.

Módulos del Centro de Aprendizaje

• Serie de vídeos: Primeros pasos como administrador

• Ampliación de miembros, grupos y colecciones

Artículos de ayuda

• Funciones y permisos de los miembros