Mise en œuvre d'Okta OIDC
Cet article contient de l'aide spécifique à Okta pour configurer l'identifiant avec SSO via OpenID Connect (OIDC). Pour obtenir de l'aide sur la configuration de l'identifiant avec SSO pour un autre IdP OIDC, ou pour configurer Okta via SAML 2.0, voir Configuration OIDC ou Implémentation Okta SAML.
La configuration implique de travailler simultanément dans l'application web Bitwarden et le portail admin Okta. Au fur et à mesure que vous avancez, nous vous recommandons d'avoir les deux facilement disponibles et de compléter les étapes dans l'ordre où elles sont documentées.
Connectez-vous à l'application web Bitwarden et ouvrez la console Admin à l'aide du sélecteur de produit ():
Sélectionnez Paramètres → Connexion unique depuis la navigation :
Si vous ne l'avez pas déjà fait, créez un identifiant SSO unique pour votre organisation. Sinon, vous n'avez pas besoin d'éditer quoi que ce soit sur cet écran pour l'instant, mais gardez-le ouvert pour une référence facile.
pointe
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Dans le Portail Admin Okta, sélectionnez Applications → Applications depuis la navigation. Sur l'écran des Applications, sélectionnez le bouton Créer une Intégration d'Application. Pour la méthode de connexion, sélectionnez OIDC - OpenID Connect. Pour le type d'application, sélectionnez Application Web:
Sur l'écran Intégration de la nouvelle application Web, configurez les champs suivants :
Champ | Description |
|---|---|
Nom de l'intégration de l'application | Donnez à l'application un nom spécifique à Bitwarden. |
Type de subvention | Activez les types de subventions suivants : |
URI de redirection de connexion | Définissez ce champ sur votre Chemin de rappel, qui peut être récupéré à partir de l'écran de configuration SSO de Bitwarden. |
URIs de redirection de déconnexion | Définissez ce champ sur votre Chemin de rappel déconnecté, qui peut être récupéré à partir de l'écran de configuration SSO de Bitwarden. |
Devoirs | Utilisez ce champ pour désigner si tous ou seulement certains groupes pourront utiliser l'identifiant Bitwarden avec SSO. |
Une fois configuré, sélectionnez le bouton Suivant.
Sur l'écran de l'Application, copier l'ID du client et le Secret du client pour l'application Okta nouvellement créée :
Vous devrez utiliser les deux valeurs lors d'une étape ultérieure.
Sélectionnez Sécurité → API dans la navigation. Dans la liste des Serveurs d'autorisation, sélectionnez le serveur que vous souhaitez utiliser pour cette mise en œuvre. Sur l'onglet Paramètres du serveur, copiez les valeurs Émetteur et URI de Métadonnées :
Vous devrez utiliser les deux valeurs lors de la prochaine étape.
À ce stade, vous avez configuré tout ce dont vous avez besoin dans le contexte du Portail Admin Okta. Revenez à l'application web Bitwarden pour configurer les champs suivants :
Champ | Description |
|---|---|
Autorité | Entrez le URI de l'émetteur récupéré pour votre serveur d'autorisation. |
Client ID | Entrez l'ID Client récupéré pour votre application Okta. |
Secret du Client | Entrez le secret du client récupéré pour votre application Okta. |
Adresse des métadonnées | Entrez le URI des métadonnées récupérées pour votre serveur d'autorisation. |
Comportement de redirection OIDC | Sélectionnez Rediriger GET. Okta ne prend actuellement pas en charge Form POST. |
Obtenir des revendications à partir du point de terminaison des informations de l'utilisateur | Activez cette option si vous recevez des erreurs d'URL trop longues (HTTP 414), des URLS tronquées, et/ou des échecs lors de l'SSO. |
Scopes supplémentaires/personnalisés | Définissez des portées personnalisées à ajouter à la demande (séparées par des virgules). |
Types de revendications d'ID utilisateur supplémentaires/personnalisés | Définissez des clés de type de revendication personnalisées pour l'identification de l'utilisateur (délimitées par des virgules). Lorsqu'ils sont définis, les types de revendications personnalisés sont recherchés avant de se rabattre sur les types standard. |
Types de revendications de courriel supplémentaires/personnalisées | Définissez des clés de type de revendication personnalisées pour les adresses de courriel des utilisateurs (délimitées par des virgules). Lorsqu'ils sont définis, les types de revendications personnalisés sont recherchés avant de se rabattre sur les types standard. |
Types de revendications de noms supplémentaires/personnalisés | Définissez des clés de type de revendication personnalisées pour les noms complets ou les noms d'affichage des utilisateurs (délimités par des virgules). Lorsqu'ils sont définis, les types de revendications personnalisés sont recherchés avant de se rabattre sur les types standard. |
Valeurs de référence de la classe de contexte d'authentification demandées | Définissez les identifiants de référence de classe de contexte d'authentification ( |
Valeur de revendication "acr" attendue en réponse | Définissez la valeur de revendication |
Lorsque vous avez terminé de configurer ces champs, Enregistrez votre travail.
pointe
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Une fois votre configuration terminée, testez-la en vous rendant sur https://vault.bitwarden.com, en entrant votre adresse de courriel, en sélectionnant Continuer, et en sélectionnant le bouton Connexion unique d'Entreprise :
Entrez l'identifiant de l'organisation configuré et sélectionnez Se connecter. Si votre mise en œuvre est configurée avec succès, vous serez redirigé vers l'écran d'identifiant Okta:
Après vous être authentifié avec vos identifiants Okta, entrez votre mot de passe principal Bitwarden pour déchiffrer votre coffre !
note
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden. Okta administrators can create an Okta Bookmark App that will link directly to the Bitwarden web vault login page.
As an admin, navigate to the Applications drop down located on the main navigation bar and select Applications.
Click Browse App Catalog.
Search for Bookmark App and click Add Integration.
Add the following settings to the application:
Give the application a name such as Bitwarden Login.
In the URL field, provide the URL to your Bitwarden client such as
https://vault.bitwarden.com/#/loginoryour-self-hostedURL.com.
Select Done and return to the applications dashboard and edit the newly created app.
Assign people and groups to the application. You may also assign a logo to the application for end user recognition. The Bitwarden logo can be obtained here.
Once this process has been completed, assigned people and groups will have a Bitwarden bookmark application on their Okta dashboard that will link them directly to the Bitwarden web vault login page.