Microsoft Entra ID OIDC 実装
この記事には、OpenID Connect(OIDC)を介したSSOでのログインを設定するためのAzure特有のヘルプが含まれています。別のOIDC IdPのSSOでのログインの設定、またはMicrosoft Entra IDのSAML 2.0経由の設定についてのヘルプは、OIDC設定またはMicrosoft Entra ID SAML実装をご覧ください 。
設定は、BitwardenウェブアプリとAzure Portalの両方で同時に作業を行うことを含みます。進行するにあたり、両方をすぐに利用できる状態にして、記録されている順序で手順を完了することをお勧めします。
Bitwardenのウェブアプリにログインし、製品スイッチャー( )を使用して管理者コンソールを開きます。
![製品-スイッチャー](https://res.cloudinary.com/bw-com/image/upload/f_auto/v1/ctf/7rncvj1f8mw7/2uxBDdQa6lu0IgIEfcwMPP/919a2c332ed6a53707f80ac3f734e0a8/2024-06-04_10-13-18.png?_a=DAJAUVWIZAA0)
ナビゲーションから設定 → シングルサインオンを選択します。
![OIDC設定](https://res.cloudinary.com/bw-com/image/upload/f_auto/v1/ctf/7rncvj1f8mw7/51wSToXTHHVmBCrLrE8T0E/e12d750025e5b63a8a7dd441ad1255f3/2024-05-15_10-20-28.png?_a=DAJAUVWIZAA0)
まだ作成していない場合は、あなたの組織のための ユニークなSSO識別子を作成してください。それ以外の場合、この画面でまだ何も編集する必要はありませんが、簡単に参照できるように開いたままにしておいてください。
チップ
代替のメンバー復号化オプションがあります。信頼できるデバイスでのSSOの使い方またはキーコネクターの使い方を学びましょう。
Azure Portalで、Microsoft Entra IDに移動し、アプリの登録を選択します。新しいアプリ登録を作成するには、新規登録ボタンを選択します:
![Create App Registration](https://res.cloudinary.com/bw-com/image/upload/f_auto/v1/ctf/7rncvj1f8mw7/6NVeq0dGoBAO8bhhE3zvsC/d107017a0858a388fc8a9b5038942608/azure-newapp.png?_a=DAJAUVWIZAA0)
申し訳ありませんが、翻訳するフィールドが指定されていません。具体的なフィールドを提供していただけますか?
![Register redirect URI](https://res.cloudinary.com/bw-com/image/upload/f_auto/v1/ctf/7rncvj1f8mw7/fA8tUAnlBC3eu7oKUOi5c/59c6956688f8f6cf84e5a0c1127ccc51/Register_an_application.png?_a=DAJAUVWIZAA0)
アプリケーションを登録する画面で、あなたのアプリにBitwarden特有の名前を付け、どのアカウントがアプリケーションを使用できるかを指定してください。この選択は、どのユーザーがSSOを使用してBitwardenにログインできるかを決定します。
ナビゲーションから認証を選択し、プラットフォームを追加ボタンを選択してください。
「プラットフォームの設定」画面でWebオプションを選択し、リダイレクトURI入力にコールバックパスを入力してください。
備考
Callback Path can be retrieved from the Bitwarden SSO Configuration screen. For cloud-hosted customers, this is https://sso.bitwarden.com/oidc-signin
or https://sso.bitwarden.eu/oidc-signin
. For self-hosted instances, this is determined by your configured server URL, for example https://your.domain.com/sso/oidc-signin
.
ナビゲーションから証明書とシークレットを選択し、新しいクライアントシークレットボタンを選択します:
![Create Client Secret](https://res.cloudinary.com/bw-com/image/upload/f_auto/v1/ctf/7rncvj1f8mw7/7wGy3TYoN71TVlDkdvUIMe/5e8d221a695ab34232892b6b309838ed/azure-newcert.png?_a=DAJAUVWIZAA0)
証明書にBitwarden固有の名前を付け、有効期限の時間枠を選択してください。
API 権限を選択し、
デフォルトディレクトリの管理者同意を付与をクリックします。必要な唯一の権限はデフォルトで追加され、Microsoft Graph > User.Readです。この時点で、Azure Portalのコンテキスト内で必要なすべてを設定しました。次のフィールドを設定するために、Bitwardenウェブアプリに戻ってください:
フィールド | 説明 |
---|---|
権限 |
|
クライアントID | アプリ登録のアプリケーション(クライアント)IDを入力してください。これは概要画面から取得できます。 |
クライアントシークレット | シークレットバリューを入力してください。作成されたクライアントシークレットの。 |
メタデータアドレス | 文書化されたAzureの実装については、このフィールドを空白のままにしていただいて構いません。 |
OIDCリダイレクトの挙動 | フォーム POST またはリダイレクト GETを選択してください。 |
ユーザー情報エンドポイントからクレームを取得する | このオプションを有効にすると、URLが長すぎるエラー(HTTP 414)、切り捨てられたURL、および/またはSSO中の失敗が発生した場合に対応します。 |
追加/カスタムスコープ | リクエストに追加するカスタムスコープを定義します(カンマ区切り)。 |
追加/カスタムユーザーIDクレームタイプ | ユーザー識別のためのカスタムクレームタイプキーを定義します(カンマ区切り)。定義された場合、カスタムクレームのタイプは、標準のタイプに戻る前に検索されます。 |
追加/カスタム メールアドレス クレーム タイプ | ユーザーのメールアドレスのためのカスタムクレームタイプキーを定義します(カンマ区切り)。定義された場合、カスタムクレームのタイプは、標準のタイプに戻る前に検索されます。 |
追加/カスタム名前クレームタイプ | ユーザーのフルネームまたは表示名のためのカスタムクレームタイプキーを定義します(カンマ区切り)。定義された場合、カスタムクレームのタイプは、標準のタイプに戻る前に検索されます。 |
要求された認証コンテキストクラス参照値 | 認証コンテキストクラス参照識別子( |
応答で期待される "acr" 請求値 | Bitwardenがレスポンスで期待し、検証する |
これらのフィールドの設定が完了したら、保存してください。
チップ
シングルサインオン認証ポリシーを有効にすることで、ユーザーにSSOでログインすることを要求することができます。メモしてください、これは単一の組織ポリシーも同時に活性化する必要があります。もっと学ぶ
設定が完了したら、https://vault.bitwarden.comに移動してテストを行います。メールアドレスを入力し、続行を選択し、エンタープライズシングルオンボタンを選択します。
![エンタープライズシングルサインオンとマスターパスワード](https://res.cloudinary.com/bw-com/image/upload/f_auto/v1/ctf/7rncvj1f8mw7/3BdlHeogd42LEoG06qROyQ/b533bf93b07042e63337175c76389925/Screen_Shot_2022-11-02_at_10.51.48_AM.png?_a=DAJAUVWIZAA0)
設定された組織識別子を入力し、ログインを選択してください。あなたの実装が正常に設定されている場合、Microsoftのログイン画面にリダイレクトされます。
![Azure login screen](https://res.cloudinary.com/bw-com/image/upload/f_auto/v1/ctf/7rncvj1f8mw7/j1YuXioPGFIwxsqfxCrpm/d0185848b3812c22940c6c5956e0b2be/az-login.png?_a=DAJAUVWIZAA0)
あなたのAzureの資格情報で認証した後、Bitwardenのマスターパスワードを入力して保管庫を復号化してください!
備考
Bitwardenは勝手なレスポンスをサポートしていませんので、あなたのIdPからログインを開始 するとエラーが発生します。SSOログインフローはBitwardenから開始されなければなりません。
あなたの組織のメンバーに、SSOを使用したログインの使い方を教えてください。