Mise en œuvre de l'ID SAML de Microsoft Entra
Cet article contient de l'aide spécifique à Azure pour configurer l'identifiant avec SSO via SAML 2.0. Pour obtenir de l'aide sur la configuration de l'identifiant avec SSO pour un autre IdP, reportez-vous à Configuration SAML 2.0.
La configuration implique de travailler simultanément avec l'application web Bitwarden et le portail Azure. Au fur et à mesure que vous avancez, nous vous recommandons d'avoir les deux à portée de main et de suivre les étapes dans l'ordre où elles sont documentées.
pointe
Already an SSO expert? Skip the instructions in this article and download screenshots of sample configurations to compare against your own.
Connectez-vous à l'application web Bitwarden et ouvrez la console Admin en utilisant le sélecteur de produit ():
Ouvrez l'écran Paramètres → Connexion unique de votre organisation :
Si vous ne l'avez pas déjà fait, créez un identifiant SSO unique pour votre organisation et sélectionnez SAML dans le menu déroulant Saisir. Gardez cet écran ouvert pour une référence facile.
Vous pouvez désactiver l'option Définir un ID d'entité SP unique à ce stade si vous le souhaitez. Ce faisant, cela supprimera votre ID d'organisation de la valeur de votre ID d'entité SP, cependant dans presque tous les cas, il est recommandé de laisser cette option activée.
pointe
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Dans le portail Azure, naviguez jusqu'à Microsoft Entra ID et sélectionnez Applications d'entreprise dans le menu de navigation :
Sélectionnez le bouton Nouvelle application :
Sur l'écran Parcourir la galerie d'ID Entra de Microsoft, sélectionnez le bouton Créez votre propre application :
Sur l'écran Créer votre propre application, donnez à l'application un nom unique spécifique à Bitwarden et sélectionnez l'option (Non-galerie). Une fois que vous avez terminé, cliquez sur le bouton Créer.
Depuis l'écran d'aperçu de l'application, sélectionnez Connexion unique depuis la navigation :
Sur l'écran de Single Sign-On, sélectionnez SAML.
Sélectionnez le bouton Éditer et configurez les champs suivants:
Champ | Description |
|---|---|
Identifiant (ID d'entité) | Définissez ce champ sur l'ID d'entité SP pré-généré. Cette valeur générée automatiquement peut être copiée à partir de l'écran Paramètres → Connexion unique de votre organisation et variera en fonction de votre configuration. |
URL de réponse (URL du service de consommation d'assertion) | Définissez ce champ sur l'URL du Service de Consommation d'Assertion (ACS) pré-généré. Cette valeur générée automatiquement peut être copiée à partir de l'écran Paramètres → Connexion unique de l'organisation et variera en fonction de votre configuration. |
Se connecter à l'URL | Définissez ce champ sur l'URL d'identifiant à partir de laquelle les utilisateurs accéderont à Bitwarden. |
Les revendications par défaut construites par Azure fonctionneront avec l'identifiant avec SSO, cependant vous pouvez optionnellement utiliser cette section pour configurer le format NameID utilisé par Azure dans les réponses SAML.
Sélectionnez le bouton Éditer et sélectionnez l'entrée Identifiant Utilisateur Unique (Nom ID) pour éditer la revendication de NomID :
Les options incluent Par défaut, Adresse de courriel, Persistant, Non spécifié, et Nom de domaine qualifié Windows. Pour plus d'informations, reportez-vous à la documentation Microsoft Azure.
Téléchargez le Certificat Base64 pour utilisation lors d'une étape ultérieure.
Copiez ou prenez note de l'URL de l'identifiant et de l'Identifiant Entra ID de Microsoft dans cette section pour utilisation lors d'une étape ultérieure :
note
If you receive any key errors when logging in via SSO, try copying the X509 certificate information from the Federation Metadata XML file instead.
Sélectionnez Utilisateurs et groupes dans la navigation:
Sélectionnez le bouton Ajouter utilisateur/groupe pour attribuer l'accès à l'identifiant avec l'application SSO à un utilisateur ou à un niveau de groupe.
À ce stade, vous avez configuré tout ce dont vous avez besoin dans le contexte du Portail Azure. Retournez à l'application web Bitwarden pour terminer la configuration.
L'écran de connexion unique sépare la configuration en deux sections :
La configuration du fournisseur de services SAML déterminera le format des requêtes SAML.
La configuration du fournisseur d'identité SAML déterminera le format attendu pour les réponses SAML.
Configurez les champs suivants :
Champ | Description |
|---|---|
Format d'identifiant de nom | Par défaut, Azure utilisera l'adresse de courriel. Si vous avez modifié ce paramètre, sélectionnez la valeur correspondante. Sinon, définissez ce champ sur Non spécifié ou Adresse de courriel. |
Algorithme de Signature Sortant | L'algorithme que Bitwarden utilisera pour signer les requêtes SAML. |
Comportement de signature | Si/quand les demandes SAML seront signées. |
Algorithme de Signature Minimum Entrant | Par défaut, Azure signera avec RSA SHA-256. Sélectionnez |
Vouloir des Assertions Signées | Que Bitwarden s'attend à ce que les assertions SAML soient signées. |
Valider les Certificats | Cochez cette case lorsque vous utilisez des certificats fiables et valides de votre IdP via une CA de confiance. Les certificats auto-signés peuvent échouer à moins que des chaînes de confiance appropriées ne soient configurées avec l'image Docker de l'identifiant Bitwarden avec SSO. |
Lorsque vous avez terminé avec la configuration du fournisseur de services, Enregistrez votre travail.
La configuration du fournisseur d'Identité vous demandera souvent de vous référer à nouveau au Portail Azure pour récupérer les valeurs de l'application :
Champ | Description |
|---|---|
ID de l'entité | Entrez votre Identifiant Microsoft Entra ID, récupéré depuis la section Configurez votre application du portail Azure. Ce champ est sensible à la casse. |
Type de Reliure | Définir sur HTTP POST ou Redirection. |
URL du service de connexion unique | Entrez votre URL d'identifiant, récupérée depuis la section Configurez votre application du Portail Azure. |
URL du service de déconnexion unique | La connexion avec SSO ne prend actuellement pas en charge SLO. Cette option est prévue pour un développement futur, cependant vous pouvez la préconfigurer avec votre URL de déconnexion si vous le souhaitez. |
Certificat Public X509 | Collez le certificat téléchargé, en supprimant
et
|
Algorithme de Signature Sortant | Par défaut, Azure signera avec RSA SHA-256. Sélectionnez |
Désactiver les demandes de déconnexion sortantes | La connexion avec SSO ne prend actuellement pas en charge SLO. Cette option est prévue pour un développement futur. |
Voulez-vous que les demandes d'authentification soient signées | Que Azure s'attend à ce que les demandes SAML soient signées. |
note
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
Lorsque vous avez terminé avec la configuration du fournisseur d'identité, Enregistrez votre travail.
pointe
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Une fois votre configuration terminée, testez-la en vous rendant sur https://vault.bitwarden.com, en entrant votre adresse de courriel, en sélectionnant Continuer, et en sélectionnant le bouton Connexion unique d'Entreprise :
Entrez l'identifiant de l'organisation configuré et sélectionnez Se connecter. Si votre mise en œuvre est correctement configurée, vous serez redirigé vers l'écran d'identifiant Microsoft :
Après vous être authentifié avec vos identifiants Azure, entrez votre mot de passe principal Bitwarden pour déchiffrer votre coffre !
note
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden. Azure SAML administrators can setup an App Registration for users to be directed to the Bitwarden web vault login page.
Disable the existing Bitwarden button in the All Applications page by navigating to the current Bitwarden Enterprise application and selecting properties and set the Visible to users option to No.
Create the App Registration by navigating to App Registrations and selecting New Registration.
Provide a name for the application such as Bitwarden SSO. No not specify a Redirect URL. Select Register to complete the forum.
Once the app has been created, navigate to Branding & Properties located on the navigation menu.
Add the following settings to the application:
Upload a logo for end user recognition. You can retrieve the Bitwarden logo here.
Set the Home page URL to your Bitwarden client login page such as
https://vault.bitwarden.com/#/loginoryour-self-hostedURL.com.
Once this process has been completed, assigned users will have a Bitwarden application that will link them directly to the Bitwarden web vault login page.