Wir betreiben einen eigenen Bitwarden Server (genauer: Vaultwarden), auf dem alle IBR-User Passworte und andere besonders zu sichernde Geheimnisse speichern können. Dies ist insbesondere für alle dienstlichen Zwecke gegenüber anderen Anbietern von "Cloud Password Managern" vorzuziehen, da die Daten so im TU-Netz verbleiben.
Im Gegensatz zu den meisten anderen IBR-Diensten besteht keine Anbindung an unser LDAP. Accounts und deren Master-Passworte verwaltet der Bitwarden-Server selbst lokal. Ein Self-Sign-Up ist beschränkt auf Benutzer in der Email-Domain @ibr.cs.tu-bs.de. Existierende Bitwarden-User können aber auch externe Adressen zur Mitbenutzung einladen.
Verschiedene Gruppen von Mitarbeitern des IBR verwalten Daten in "Organisationen" und "Sammlungen". Personen können zu Organisationen eingeladen werden und Organisations-Administratoren können bei Bedarf den persönlichen Zugriff auf einzelne Sammlungen einschränken.
Wir bitten beim Ausscheiden von Mitarbeitern aus dem Dienst oder von anderen Bitwarden-Mitbenutzern regelmäßig zu überlegen, ob gemeinsam genutzte Passworte geändert werden sollten.
Mindestens alle Mitarbeiter:innen sind dringend gebeten, in ihren Account-Einstellungen eine Zwei-Faktor-Authentisierung zu aktivieren.
Da die IBR-Domain eine Subdomain der TU-Domain ist, wird bei Autofill oft nicht der korrekte Account vorgeschlagen. Bei Bitwarden wird das Thema auf einer Hilfe-Seite ganz gut erklärt.
Zunächst bietet es sich an, die Domains tu-bs.de und tu-braunsachweig.de als äquivalent in den Account-Einstellungen zu hinterlegen.
Damit auf IBR-Webseiten nur der IBR-Account und auf den restlichen TU-Webseiten nur der TU-Account vorgeschlagen wird, können folgende regular expressions bei den jeweiligen Accounts in Bitwarden eingetragen werden:
Für den TU-Account:
^https:\/\/(?!([a-z0-9-]+\.)*ibr\.cs\.tu-bs\.de)([a-z0-9-]+\.)*tu-(bs|braunschweig)\.de
Für den IBR-Account:
^https:\/\/([a-z0-9-]+\.)*ibr\.cs\.tu-bs\.de