Microsoft Entra ID SAML Implementierung
Dieser Artikel enthält Azure-spezifische Hilfe zur Konfiguration der Zugangsdaten mit SSO über SAML 2.0. Für Hilfe bei der Konfiguration der Zugangsdaten mit SSO für einen anderen IdP, verweisen Sie auf SAML 2.0 Konfiguration.
Die Konfiguration beinhaltet die gleichzeitige Arbeit mit der Bitwarden-Web-App und dem Azure-Portal. Während Sie fortfahren, empfehlen wir, beides griffbereit zu haben und die Schritte in der Reihenfolge durchzuführen, in der sie dokumentiert sind.
Tipp
Already an SSO expert? Skip the instructions in this article and download screenshots of sample configurations to compare against your own.
Melden Sie sich bei der Bitwarden-Web-App an und öffnen Sie die Administrator-Konsole mit dem Produktumschalter ():
Öffnen Sie die Einstellungen Ihrer Organisation → Einmaliges Anmelden Bildschirm:
Wenn Sie es noch nicht getan haben, erstellen Sie einen einzigartigen SSO-Identifikator für Ihre Organisation und wählen Sie SAML aus dem Typ-Dropdown aus. Lassen Sie diesen Bildschirm geöffnet, um leicht darauf zugreifen zu können.
Sie können die Option Legen Sie eine eindeutige SP-Entitäts-ID fest in diesem Stadium ausschalten, wenn Sie möchten. Wenn Sie dies tun, wird Ihre Organisations-ID aus Ihrem SP-Entity-ID-Wert entfernt. In fast allen Fällen wird jedoch empfohlen, diese Option aktiviert zu lassen.
Tipp
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Im Azure Portal navigieren Sie zu Microsoft Entra ID und wählen Sie Enterprise-Anwendungen aus dem Navigationsmenü aus:
Wählen Sie die Neue Anwendung Schaltfläche:
Auf dem Bildschirm Microsoft Entra ID Galerie durchsuchen, wählen Sie die Schaltfläche Erstellen Sie Ihre eigene Anwendung:
Auf dem Bildschirm "Erstellen Sie Ihre eigene Anwendung" geben Sie der Anwendung einen einzigartigen, Bitwarden-spezifischen Namen und wählen Sie die Option (Nicht-Galerie) aus. Wenn Sie fertig sind, klicken Sie auf die Erstellen Schaltfläche.
Vom Anwendungsübersichtsbildschirm aus wählen Sie Einmaliges Anmelden aus der Navigation:
Auf dem Single Sign-On Bildschirm, wählen Sie SAML.
Wählen Sie die Schaltfläche Bearbeiten und konfigurieren Sie die folgenden Felder:
Feld | Beschreibung |
|---|---|
Kennzeichner (Entitäts-ID) | Setzen Sie dieses Feld auf die vorab generierte SP Entity ID. Dieser automatisch generierte Wert kann von der Einstellungen → Single Sign-On Bildschirm der Organisation kopiert werden und variiert je nach Ihrer Konfiguration. |
Antwort-URL (Assertion Consumer Service URL) | Setzen Sie dieses Feld auf die vorab generierte Assertion Consumer Service (ACS) URL. Dieser automatisch generierte Wert kann von der Einstellungen → Single Sign-On Bildschirm der Organisation kopiert werden und variiert je nach Ihrer Konfiguration. |
Anmelden bei URL | Legen Sie dieses Feld auf die Zugangsdaten-URL fest, von der aus Benutzer auf Bitwarden zugreifen werden. |
Die standardmäßig von Azure erstellten Ansprüche funktionieren mit den Zugangsdaten mit SSO, jedoch können Sie optional diesen Abschnitt verwenden, um das von Azure in SAML-Antworten verwendete NameID-Format zu konfigurieren.
Wählen Sie die Bearbeiten Schaltfläche und wählen Sie den Eindeutigen Benutzeridentifikator (Name ID) Eintrag, um den NameID Anspruch zu bearbeiten:
Optionen beinhalten Standard, E-Mail-Adresse, Beständig, Unspezifiziert und Windows qualifizierter Domain-Name. Für weitere Informationen, siehe Microsoft Azure Dokumentation.
Laden Sie das Base64-Zertifikat für die Verwendung in einem späteren Schritt herunter.
Kopieren Sie oder machen Sie eine Notiz von der URL der Zugangsdaten und dem Microsoft Entra ID Identifier in diesem Abschnitt zur Verwendung in einem späteren Schritt:
Hinweis
If you receive any key errors when logging in via SSO, try copying the X509 certificate information from the Federation Metadata XML file instead.
Wählen Sie Benutzer und Gruppen aus der Navigation aus:
Wählen Sie die Schaltfläche Benutzer/Gruppe hinzufügen, um den Zugangsdaten mit der SSO-Anwendung auf Benutzer- oder Gruppenebene Zugriff zu gewähren.
Bis zu diesem Zeitpunkt haben Sie alles, was Sie im Kontext des Azure Portals benötigen, konfiguriert. Kehren Sie zur Bitwarden-Webanwendung zurück, um die Konfiguration abzuschließen.
Der Single-Sign-On-Bildschirm teilt die Konfiguration in zwei Abschnitte auf:
Die Konfiguration des SAML-Dienstanbieters bestimmt das Format der SAML-Anfragen.
Durch die Konfiguration des SAML-Identitätsanbieters wird das zu erwartende Format für SAML-Antworten bestimmt.
Konfigurieren Sie die folgenden Felder:
Feld | Beschreibung |
|---|---|
Namens-ID-Format | Standardmäßig wird Azure die E-Mail-Adresse verwenden. Wenn Sie diese Einstellung geändert haben, wählen Sie den entsprechenden Wert aus. Andernfalls setzen Sie dieses Feld auf Nicht spezifiziert oder E-Mail-Adresse. |
Ausgehendes Signaturalgorithmus | Der Algorithmus, den Bitwarden zur Signierung von SAML-Anfragen verwenden wird. |
Unterzeichnungsverhalten | Ob/wann SAML-Anfragen signiert werden. |
Mindesteingehendes Signaturalgorithmus | Standardmäßig wird Azure mit RSA SHA-256 signieren. Wählen Sie |
Möchte Behauptungen unterschrieben haben | Ob Bitwarden erwartet, dass SAML-Behauptungen signiert werden. |
Zertifikate validieren | Markieren Sie dieses Kästchen, wenn Sie vertrauenswürdige und gültige Zertifikate von Ihrem IdP über eine vertrauenswürdige CA verwenden. Selbstsignierte Zertifikate können fehlschlagen, es sei denn, die richtigen Vertrauensketten sind mit den Bitwarden Zugangsdaten mit SSO Docker-Image konfiguriert. |
Wenn Sie mit der Konfiguration des Dienstanbieters fertig sind, speichern Sie Ihre Arbeit.
Die Konfiguration des Identitätsanbieters erfordert oft, dass Sie auf das Azure Portal zurückverweisen, um Anwendungswerte abzurufen:
Feld | Beschreibung |
|---|---|
Entitäts-ID | Geben Sie Ihre Microsoft Entra ID-Kennung ein, die Sie aus dem Abschnitt Richten Sie Ihre Anwendung ein des Azure-Portals abgerufen haben. Dieses Feld ist Groß- und Kleinschreibungssensitiv. |
Bindungsart | Einstellen auf HTTP POST oder Umleitung. |
Einmaliges Anmelden Service URL | Geben Sie Ihre Login URL ein, die Sie aus dem Abschnitt Richten Sie Ihre Anwendung ein des Azure Portals abgerufen haben. |
URL des Einzelabmeldedienstes | Die Anmeldung mit SSO unterstützt derzeit nicht SLO. Diese Option ist für zukünftige Entwicklungen geplant, jedoch können Sie sie vorab mit Ihrer Abmelde-URL konfigurieren, wenn Sie möchten. |
X509 Öffentliches Zertifikat | Fügen Sie das heruntergeladene Zertifikat ein und entfernen Sie es.
und
|
Ausgehendes Signaturalgorithmus | Standardmäßig wird Azure mit RSA SHA-256 signieren. Wählen Sie |
Deaktivieren Sie ausgehende Abmeldeanfragen | Die Anmeldung mit SSO unterstützt derzeit nicht SLO. Diese Option ist für zukünftige Entwicklungen geplant. |
Möchte Authentifizierungsanfragen signiert haben | Ob Azure erwartet, dass SAML-Anfragen signiert werden. |
Hinweis
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
Wenn Sie mit der Konfiguration des Identitätsanbieters fertig sind, speichern Sie Ihre Arbeit.
Tipp
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Sobald Ihre Konfiguration abgeschlossen ist, testen Sie diese, indem Sie zu https://vault.bitwarden.com navigieren, Ihre E-Mail-Adresse eingeben, Weiter auswählen und den Enterprise Single-On Button auswählen:
Geben Sie die konfigurierte Organisationskennung ein und wählen Sie Anmelden. Wenn Ihre Implementierung erfolgreich konfiguriert ist, werden Sie zum Microsoft Zugangsdaten-Bildschirm weitergeleitet:
Nachdem Sie sich mit Ihren Azure-Anmeldeinformationen authentifiziert haben, geben Sie Ihr Bitwarden Master-Passwort ein, um Ihren Tresor zu entschlüsseln!
Hinweis
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden. Azure SAML administrators can setup an App Registration for users to be directed to the Bitwarden web vault login page.
Disable the existing Bitwarden button in the All Applications page by navigating to the current Bitwarden Enterprise application and selecting properties and set the Visible to users option to No.
Create the App Registration by navigating to App Registrations and selecting New Registration.
Provide a name for the application such as Bitwarden SSO. No not specify a Redirect URL. Select Register to complete the forum.
Once the app has been created, navigate to Branding & Properties located on the navigation menu.
Add the following settings to the application:
Upload a logo for end user recognition. You can retrieve the Bitwarden logo here.
Set the Home page URL to your Bitwarden client login page such as
https://vault.bitwarden.com/#/loginoryour-self-hostedURL.com.
Once this process has been completed, assigned users will have a Bitwarden application that will link them directly to the Bitwarden web vault login page.