Mise en œuvre de Microsoft Entra ID OIDC
Cet article contient de l'aide spécifique à Azure pour configurer l'identifiant avec SSO via OpenID Connect (OIDC). Pour obtenir de l'aide pour configurer l'identifiant avec SSO pour un autre IdP OIDC, ou pour configurer Microsoft Entra ID via SAML 2.0, voir Configuration OIDC ou Implémentation SAML de Microsoft Entra ID.
La configuration implique de travailler simultanément dans l'application web Bitwarden et le portail Azure. Au fur et à mesure que vous avancez, nous vous recommandons d'avoir les deux à portée de main et de compléter les étapes dans l'ordre où elles sont documentées.
Connectez-vous à l'application web Bitwarden et ouvrez la console Admin à l'aide du sélecteur de produit ():
Sélectionnez Paramètres → Connexion unique depuis la navigation :
Si vous ne l'avez pas déjà fait, créez un identifiant SSO unique pour votre organisation. Sinon, vous n'avez pas besoin d'éditer quoi que ce soit sur cet écran pour l'instant, mais gardez-le ouvert pour une référence facile.
pointe
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Dans le portail Azure, naviguez jusqu'à Microsoft Entra ID et sélectionnez Enregistrements d'application. Pour créer une nouvelle inscription d'application, sélectionnez le bouton Nouvelle inscription :
Complétez les champs suivants :
Sur l'écran Enregistrer une application, donnez à votre application un nom spécifique à Bitwarden et spécifiez quels comptes devraient pouvoir utiliser l'application. Cette sélection déterminera quels utilisateurs peuvent utiliser l'identifiant Bitwarden avec SSO.
Sélectionnez Authentification dans la navigation et sélectionnez le bouton Ajouter une plateforme.
Sélectionnez l'option Web sur l'écran de configuration des plateformes et entrez votre Chemin de Rappel dans l'entrée des URI de redirection.
note
Callback Path can be retrieved from the Bitwarden SSO Configuration screen. For cloud-hosted customers, this is https://sso.bitwarden.com/oidc-signin or https://sso.bitwarden.eu/oidc-signin. For self-hosted instances, this is determined by your configured server URL, for example https://your.domain.com/sso/oidc-signin.
Sélectionnez Certificats & secrets dans la navigation, et sélectionnez le bouton Nouveau secret de client :
Donnez au certificat un nom spécifique à Bitwarden et choisissez une durée d'expiration.
Sélectionnez les autorisations API et cliquez sur Accorder l'autorisation admin pour le répertoire par défaut. La seule autorisation nécessaire est ajoutée par défaut, Microsoft Graph > User.Read.
À ce stade, vous avez configuré tout ce dont vous avez besoin dans le contexte du Portail Azure. Retournez à l'application web Bitwarden pour configurer les champs suivants :
Champ | Description |
|---|---|
Autorité | Entrez |
Client ID | Entrez l'ID de l'application (client) de l'enregistrement de l'application, qui peut être récupéré à partir de l'écran d'aperçu. |
Secret du Client | Entrez la Valeur Secrète du secret de client créé. |
Adresse des métadonnées | Pour les mises en œuvre Azure comme documenté, vous pouvez laisser ce champ vide. |
Comportement de redirection OIDC | Sélectionnez soit Form POST soit Redirect GET. |
Obtenir des revendications à partir du point de terminaison des informations de l'utilisateur | Activez cette option si vous recevez des erreurs d'URL trop longues (HTTP 414), des URLS tronquées, et/ou des échecs lors de l'SSO. |
Scopes supplémentaires/personnalisés | Définissez des portées personnalisées à ajouter à la demande (séparées par des virgules). |
Types de revendications d'ID utilisateur supplémentaires/personnalisés | Définissez des clés de type de revendication personnalisées pour l'identification de l'utilisateur (délimitées par des virgules). Lorsqu'ils sont définis, les types de revendications personnalisés sont recherchés avant de revenir sur les types standard. |
Types de revendications de courriel supplémentaires/personnalisés | Définissez des clés de type de revendication personnalisées pour les adresses de courriel des utilisateurs (délimitées par des virgules). Lorsqu'ils sont définis, les types de revendications personnalisés sont recherchés avant de revenir sur les types standard. |
Types de revendications de noms supplémentaires/personnalisés | Définissez des clés de type de revendication personnalisées pour les noms complets ou les noms d'affichage des utilisateurs (délimités par des virgules). Lorsqu'ils sont définis, les types de revendications personnalisés sont recherchés avant de se rabattre sur les types standard. |
Valeurs de référence de la classe de contexte d'authentification demandée | Définissez les identifiants de référence de classe de contexte d'authentification ( |
Valeur de revendication "acr" attendue en réponse | Définissez la valeur de revendication |
Lorsque vous avez terminé de configurer ces champs, Enregistrez votre travail.
pointe
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Une fois votre configuration terminée, testez-la en vous rendant sur https://vault.bitwarden.com, en entrant votre adresse de courriel, en sélectionnant Continuer, et en sélectionnant le bouton Connexion unique d'Entreprise :
Entrez l'identifiant de l'organisation configuré et sélectionnez Se connecter. Si votre mise en œuvre est correctement configurée, vous serez redirigé vers l'écran d'identifiant Microsoft :
Après vous être authentifié avec vos identifiants Azure, entrez votre mot de passe principal Bitwarden pour déchiffrer votre coffre !
note
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.
Éduquez les membres de votre organisation sur comment utiliser l'identifiant avec SSO.