Mise en place de comptes administratifs avec des privilèges moindres

Les rôles des membres de Bitwarden comprennent quatre ensembles d'autorisations prédéfinis, y compris un rôle de membre personnalisé configurable (Entreprise uniquement). Les propriétaires et les administrateurs disposent par défaut d'un accès administratif complet afin d'éviter le verrouillage et de permettre l'administration des comptes utilisateurs.

Pour limiter l'accès quotidien d'un utilisateur à l'ensemble de l'organisation, le(s) compte(s) Propriétaire(s) peut(vent) être configuré(s) avec des adresses électroniques de compte de service - ces comptes ne sont pas consultés régulièrement, mais uniquement pour effectuer des tâches nécessitant l'accès à toutes les données du coffre-fort en même temps - et le(s) compte(s) Admin peut(vent) être rétrogradé(s) au rôle de membre Personnalisé avec un ensemble d'autorisations spécifiques.

Ce guide suppose que vous avez déjà déterminé un mécanisme de stockage et d'approbation pour le(s) compte(s) propriétaire(s). Il est recommandé de rester connecté à un compte Propriétaire tout en modifiant le(s) compte(s) Admin en rôle(s) Personnalisé(s).

Le rôle de membre personnalisé ci-dessous remplacera le rôle de membre administrateur de vos utilisateurs :

Cochez l'une des cases suivantes :

• Accéder aux journaux d'événements

• Accéder aux rapports

• Créer de nouvelles collections

• Gérer les groupes

• Gérer le SSO

• Gérer les politiques de sécurité

Notez qu'aucune des options ci-dessus ne permet d'accéder à des éléments supplémentaires du coffre-fort.

Maintenant que les utilisateurs Admin ont été déclassés, plusieurs tâches ne peuvent être accomplies que par le(s) compte(s) Propriétaire(s) en raison des autorisations cryptographiques ou API qu'elles requièrent. Ces tâches sont les suivantes

• Importation/exportation du coffre-fort de l'organisation

• Modification/suppression des collections non attribuées

• Recouvrement de compte

• Embarquement/débarquement manuel des utilisateurs

• Accès à la clé API de l'organisation

Une fois que vous avez changé vos utilisateurs Admin pour ce rôle de membre personnalisé, vous devez désigner des personnes chargées de gérer l'accès à chaque collection. Il y a deux façons de configurer cela, en fonction de l'accès que vous souhaitez donner au "chef de service".

Peut gérer les autorisations de collecte

Accordez aux chefs de service l'autorisation de gérer toute collection que vous souhaitez qu'ils gèrent.

Permettre aux chefs de service de créer de nouvelles collections

Si votre "chef de service" doit pouvoir créer de nouvelles collections en plus de gérer les collections qui lui sont actuellement attribuées, vous aurez deux options.

Autoriser tous les utilisateurs à créer des collections

Dans la console d'administration, naviguez vers Paramètres > Informations sur l'organisation. Vous pourrez alors décider si vous souhaitez que la création et la suppression de collections soient réservées aux propriétaires et aux administrateurs. Si vous souhaitez que tous les utilisateurs puissent créer des collections, décochez cette case et enregistrez.

Restreindre la création de collections aux membres désignés

Pour permettre aux chefs de service de créer de nouvelles collections lorsque l'option Gestion des collections est cochée, vous devrez en outre accorder à ces membres le rôle personnalisé suivant :

Ces membres devront toujours obtenir l'autorisation de gérer les collections existantes, mais ils obtiendront immédiatement l'autorisation de gérer les nouvelles collections qu'ils créeront.

Modules du centre d'apprentissage

• Série de vidéos : Débuter en tant qu'administrateur

• Mise à l'échelle des membres, des groupes et des collections

Articles d'aide

• Rôles et autorisations des membres