# Okta OIDC Implementierung

Dieser Artikel enthält **Okta-spezifische** Hilfe zur Konfiguration der Zugangsdaten mit SSO über OpenID Connect (OIDC). Für Hilfe bei der Konfiguration der Zugangsdaten mit SSO für einen anderen OIDC IdP oder bei der Konfiguration von Okta über SAML 2.0, siehe [OIDC Konfiguration](https://bitwarden.com/de-de/help/configure-sso-oidc/) oder [Okta SAML Implementierung](https://bitwarden.com/de-de/help/saml-okta/).

Die Konfiguration beinhaltet die gleichzeitige Arbeit innerhalb der Bitwarden-Web-App und des Okta-Administrator-Portals. Während Sie fortfahren, empfehlen wir, beides griffbereit zu haben und die Schritte in der Reihenfolge durchzuführen, in der sie dokumentiert sind.

## Öffnen Sie SSO im Web-Tresor

Melden Sie sich bei der Bitwarden [Web-App](https://bitwarden.com/de-de/help/getting-started-webvault/) an und öffnen Sie die Administrator-Konsole mit dem Produktumschalter ([filter]):

![Produktwechsler](https://bitwarden.com/assets/2uxBDdQa6lu0IgIEfcwMPP/e3de3361749b6496155e25edcfdcf08b/2024-12-02_11-19-56.png)

Wählen Sie **Einstellungen** → **Einmaliges Anmelden** aus der Navigation:

![OIDC-Konfiguration](https://bitwarden.com/assets/51wSToXTHHVmBCrLrE8T0E/85aa432ea19eadf0195317f4f233e973/2024-12-04_09-41-46.png)

Wenn Sie es noch nicht getan haben, erstellen Sie einen einzigartigen **SSO-Identifier**für Ihre Organisation. Andernfalls müssen Sie auf diesem Bildschirm noch nichts bearbeiten, lassen Sie ihn aber offen, um ihn leicht referenzieren zu können.

> [!TIP] Self-hosting, use alternative Member Decryption Options.
> Es gibt alternative **Mitglied Entschlüsselungsoptionen**. Erfahren Sie, wie Sie mit [SSO auf vertrauenswürdigen Geräten](https://bitwarden.com/de-de/help/about-trusted-devices/) oder mit [Key Connector](https://bitwarden.com/de-de/help/about-key-connector/) beginnen können.

## Erstellen Sie eine Okta-App

Im Okta Administrator Portal wählen Sie **Anwendungen** → **Anwendungen** aus der Navigation aus. Auf dem Anwendungsbildschirm wählen Sie die Schaltfläche **App-Integration erstellen**. Für die Anmeldemethode wählen Sie **OIDC - OpenID Connect**. Für den Anwendungstyp wählen Sie **Webanwendung**:

![Create App Integration](https://bitwarden.com/assets/7fGYbP4aawIh8eorrQF6b7/a52951b16123a3e2f4d7bb293ba22a20/okta-createapp.png)

Auf dem Bildschirm für die **Integration der neuen Web-App** konfigurieren Sie die folgenden Felder:

| **Feld** | **Beschreibung** |
|------|------|
| Name der App-Integration | Geben Sie der App einen Bitwarden-spezifischen Namen. |
| Zuschusstyp | Aktivieren Sie die folgenden [Zulassungs-Typen](https://developer.okta.com/docs/concepts/oauth-openid/#choosing-an-oauth-2-0-flow): - Der Kunde handelt im eigenen Namen → **Anmeldeinformationen des Kunden** - Client handelt im Auftrag eines Benutzers → **Autorisierungscode** |
| Anmeldeumleitungs-URIs | Setzen Sie dieses Feld auf Ihren **Callback-Pfad**, den Sie vom Bitwarden SSO-Konfigurationsbildschirm abrufen können. Für Kunden, die in der Cloud gehostet werden, ist dies `https://sso.bitwarden.com/oidc-signin` oder `https://sso.bitwarden.eu/oidc-signin`. Für selbst gehostete Instanzen wird dies durch Ihre [konfigurierte Server-URL](https://bitwarden.com/de-de/help/install-on-premise/#configure-your-domain/) bestimmt, zum Beispiel `https://your.domain.com/sso/oidc-signin`. |
| Abmelde-Umleitungs-URIs | Setzen Sie dieses Feld auf Ihren **Abgemeldet Callback Pfad**, den Sie vom Bitwarden SSO Konfigurationsbildschirm abrufen können. |
| Aufgaben | Verwenden Sie dieses Feld, um festzulegen, ob alle oder nur ausgewählte Gruppen in der Lage sein werden, Bitwarden Zugangsdaten mit SSO zu verwenden. |

Einmal konfiguriert, wählen Sie die **Weiter** Schaltfläche.

### Erhalten Sie Client-Anmeldeinformationen

Auf dem Anwendungsbildschirm, kopieren Sie die **Client ID** und **Client Geheimnis** für die neu erstellte Okta-App:

![App Client Credentials ](https://bitwarden.com/assets/6Q5iWqSrrXUp4s197bfyRt/d1d85d41c31ce60029d84fa6738372f8/okta-clientcredentials.png)

Sie werden beide Werte [in einem späteren Schritt](https://bitwarden.com/de-de/help/oidc-okta/#back-to-the-web-vault/) benötigen.

### Erhalten Sie Informationen zum Autorisierungsserver

Wählen Sie **Sicherheit** → **API** aus der Navigation. Aus der Liste der **Autorisierungsserver** wählen Sie den Server aus, den Sie für diese Implementierung verwenden möchten. Auf dem **Einstellungen** Tab für den Server, kopieren Sie die **Aussteller** und **Metadaten URI** Werte:

![Okta Authorization Server Settings ](https://bitwarden.com/assets/7hUKbE9s9HGJUwbqC2W36u/11cee32a7b469a662ae35b9c3cc1a2ba/okta-authserver.png)

Sie müssen beide Werte [im nächsten Schritt](https://bitwarden.com/de-de/help/oidc-okta/#back-to-the-web-vault/) verwenden.

## Zurück zur Web-App

Bis zu diesem Zeitpunkt haben Sie alles konfiguriert, was Sie im Kontext des Okta Administrator Portals benötigen. Kehren Sie zur Bitwarden-Web-App zurück, um die folgenden Felder zu konfigurieren:

| **Feld** | **Beschreibung** |
|------|------|
| Zertifizierungsstelle | Geben Sie die [abgerufene Aussteller-URI](https://bitwarden.com/de-de/help/oidc-okta/#get-authorization-server-information/) für Ihren Autorisierungsserver ein. |
| Client-ID | Geben Sie die [abgerufene Client-ID](https://bitwarden.com/de-de/help/oidc-okta/#get-client-credentials/) für Ihre Okta-App ein. |
| Client-Geheimnis | Geben Sie das [abgerufene Client-Geheimnis](https://bitwarden.com/de-de/help/oidc-okta/#get-client-credentials/) für Ihre Okta-App ein. |
| Metadatenadresse | Geben Sie die [abgerufene Metadaten-URI](https://bitwarden.com/de-de/help/oidc-okta/#get-client-authorization-server-information/) für Ihren Autorisierungsserver ein. |
| OIDC-Umleitungsverhalten | Wählen Sie **GET umleiten**. Okta unterstützt derzeit kein Form POST. |
| Fordere Ansprüche vom Benutzerinformations-Endpunkt an | Aktivieren Sie diese Option, wenn Sie Fehlermeldungen erhalten, dass die URL zu lang ist (HTTP 414), abgeschnittene URLs und/oder Fehler während des SSO auftreten. |
| Zusätzliche/Individuelle Bereiche | Definieren Sie benutzerdefinierte Bereiche, die der Anfrage hinzugefügt werden sollen (durch Kommas getrennt). |
| Zusätzliche/Benutzerdefinierte Benutzer-ID-Anspruchs-Typen | Definieren Sie benutzerdefinierte Schlüssel für den Anspruchstyp zur Benutzeridentifikation (durch Kommas getrennt). Wenn definiert, werden benutzerdefinierte Anspruchstypen gesucht, bevor auf Standardtypen zurückgegriffen wird. |
| Zusätzliche/angepasste E-Mail-Adresse Anspruchstypen | Definieren Sie benutzerdefinierte Anspruchstyp-Schlüssel für die E-Mail-Adressen der Benutzer (durch Kommas getrennt). Wenn definiert, werden benutzerdefinierte Anspruchstypen gesucht, bevor auf Standardtypen zurückgegriffen wird. |
| Zusätzliche/angepasste Namensanspruchs-Typen | Definieren Sie benutzerdefinierte Anspruchstypschlüssel für die vollständigen Namen oder Anzeigenamen der Benutzer (durch Kommas getrennt). Wenn definiert, werden benutzerdefinierte Anspruchstypen gesucht, bevor auf Standardtypen zurückgegriffen wird. |
| Angeforderte Authentifizierungskontextklassenreferenzwerte | Definieren Sie Authentifizierungskontextklassenreferenz-Identifikatoren (`acr_values`) (durch Leerzeichen getrennt). Liste `acr_values `in Präferenzreihenfolge. |
| Erwarteter "acr" Anspruchswert in der Antwort | Definieren Sie den `acr `Claim-Wert, den Bitwarden in der Antwort erwarten und validieren soll. |

Wenn Sie mit der Konfiguration dieser Felder fertig sind, **Speichern** Sie Ihre Arbeit.

> [!TIP] Policies for SSO Guides
> Sie können Benutzer dazu auffordern, sich mit SSO anzumelden, indem Sie die Richtlinie für die Authentifizierung mit Single Sign-On aktivieren. Bitte beachten Sie, dass dies auch die Aktivierung der Einzelorganisation-Richtlinie erfordern wird. [Erfahren Sie mehr](https://bitwarden.com/de-de/help/policies/).

## Testen Sie die Konfiguration

Sobald Ihre Konfiguration abgeschlossen ist, testen Sie diese, indem Sie zu [https://vault.bitwarden.com](https://vault.bitwarden.com) navigieren, Ihre E-Mail-Adresse eingeben, **Weiter** auswählen und den **Enterprise Single-On** Button auswählen:

![Unternehmens Single Sign On und Master-Passwort ](https://bitwarden.com/assets/3BdlHeogd42LEoG06qROyQ/c68021df4bf45d72e9d37b1fbf5a6040/login.png)

Geben Sie die [konfigurierte Organisationskennung](https://bitwarden.com/de-de/help/oidc-okta/#/) ein und wählen Sie **Anmelden**. Wenn Ihre Implementierung erfolgreich konfiguriert ist, werden Sie zur Okta Zugangsdaten Bildschirm weitergeleitet:

![Melden Sie sich mit Okta an ](https://bitwarden.com/assets/3Rh2Bg17sCE57xJsUKfqwN/8f6e1d8555c9e1b60d2e145d0f0bb565/Log_in_with_Okta.png)

Nachdem Sie sich mit Ihren Okta-Anmeldeinformationen authentifiziert haben, geben Sie Ihr Bitwarden Master-Passwort ein, um Ihren Tresor zu entschlüsseln!

> [!NOTE] Okta bookmark app
> Bitwarden unterstützt keine unaufgeforderten Antworten, daher führt das Initiieren von Zugangsdaten von Ihrem IdP zu einem Fehler. Der SSO-Zugangsdaten-Fluss muss von Bitwarden aus gestartet werden. Okta-Administratoren können eine [Okta-Lesezeichen-App](https://support.okta.com/help/s/article/How-do-you-create-a-bookmark-app?language=en_US) erstellen, die direkt zur Bitwarden-Web-Tresor-Zugangsdaten-Seite verlinkt.
> 
> 1. Als Administrator navigieren Sie zu dem Dropdown-Menü **Anwendungen**, das sich in der Hauptnavigationsleiste befindet, und wählen Sie **Anwendungen** aus.
> 2. Klicken Sie auf **App-Katalog durchsuchen**.
> 3. Suchen Sie nach **Lesezeichen App**und klicken Sie auf **Integration hinzufügen**.
> 4. Fügen Sie die folgenden Einstellungen zur Anwendung hinzu:
> 
> 1. Geben Sie der Anwendung einen Namen wie zum Beispiel **Bitwarden Zugangsdaten**.
> 2. Im Feld **URL** geben Sie die URL zu Ihrem Bitwarden-Client an, wie zum Beispiel `https://vault.bitwarden.com/#/Zugangsdaten` oder `your-self-hostedURL.com`.
> 5. Wählen Sie **Fertig** und kehren Sie zum Anwendungs-Dashboard zurück und bearbeiten Sie die neu erstellte App.
> 6. Weisen Sie Personen und Gruppen der Anwendung zu. Sie können der Anwendung auch ein Logo zuweisen, damit sie vom Endbenutzer erkannt wird. Das Bitwarden-Logo kann [hier](https://github.com/bitwarden/brand/tree/master) abgerufen werden.
> 
> Sobald dieser Prozess abgeschlossen ist, haben zugewiesene Personen und Gruppen eine Bitwarden-Lesezeichenanwendung auf ihrem Okta-Dashboard, die sie direkt zur Zugangsdaten-Seite des Bitwarden-Web-Tresors verlinkt.