Keycloak SAML実装
この記事には、SAML 2.0を介したSSOでのログインを設定するためのKeycloak特有のヘルプが含まれています。別のIdPでSSOを使用したログインの設定についてのヘルプは、SAML 2.0設定を参照してください。
設定は、BitwardenウェブアプリとKeycloakポータルを同時に操作することを含みます。進行するにあたり、両方をすぐに利用できる状態にして、記録されている順序で手順を完了することをお勧めします。
チップ
Already an SSO expert? Skip the instructions in this article and download screenshots of sample configurations to compare against your own.
Bitwardenウェブアプリにログインし、製品スイッチャー()を使用して管理者コンソールを開きます。
あなたの組織の設定 → シングルサインオン画面を開きます。
まだ作成していない場合は、あなたの組織のためのユニークなSSO識別子を作成し、タイプのドロップダウンからSAML��を選択してください。この画面を開いたままにして、簡単に参照できるようにしてください。
この段階で、必要に応じてユニークなSPエンティティIDを設定するオプションをオフにすることができます。これを行うと、組电IDがSPエンティティID値から削除されますが、ほとんどの場合、このオプションをオンにしておくことをお勧めします。
チップ
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Keycloakにログインし、クライアント → クライアントを作成を選択します。
クライアントを作成する画面で、次のフィールドに入力してください:
フィールド | 説明 |
|---|---|
クライアントタイプ | SAMLを選択してください。 |
クライアントID | このフィールドを事前に生成されたSPエンティティIDに設定します。 この自動生成された値は、組織の設定 → シングルサインオン画面からコピーでき、設定により異なります。 |
お名前 | Keycloakクライアントの名前を自由に入力してください。 |
必要なフィールドに一般設定ページで入力したら、次へをクリックしてください。
ログイン設定画面で、次のフィールドに入力してください:
フィールド | 説明 |
|---|---|
有効なリダイレクトURI | このフィールドを事前に生成されたAssertion Consumer Service (ACS) URLに設定します。 この自動生成された値は、組織の設定→シングルサインオン画面からコピーでき、設定により異なります。 |
保存を選択して��ください。
「Keys」タブを選択し、クライアント署名が必要オプションをオフに切り替えてください。
最後に、Keycloakのメインナビゲーションで、レルム設定を選択し、次にキータブを選択します。RS256証明書を探して、証明書を選択してください。
証明書の値は次のセクションで必要となります。
この時点で、Keycloakポータルのコンテキスト内で必要なすべてを設定しました。Bitwardenウェブアプリに戻り、ナビゲーションから設定→シングルサインオンを選択します。
シングルサインオン画面は、設定を2つのセクションに分けています:
SAML サービス プロバイダーの構成によって、 SAML リクエストの形式が決まります。
SAML IDプロバイダーの設定は、SAMLの応答に期待する形式を決定します。
次のフィールドをSAMLサービスプロバイダ設定セクションで完了してください:
フィールド | 説明 |
|---|---|
名前IDの形式 | メールアドレスを選択してください。 |
アウトバウンド署名アルゴリズム | BitwardenがSAMLリクエストに署名するために使用するアルゴリズム。 |
署名行動 | SAMLリクエストが署名されるかどうか/いつ署名されるか。 |
最小入力署名アルゴリズム | KeycloakクライアントがSAMLドキュメントまたはアサーションに署名するために使用するように設定されているアルゴリズムを選択します。 |
署名されたアサーションが欲しい | BitwardenがSAMLアサーションに署名されることを期待しているかどうか。トグルがオンの場合、Keycloakクライアントをアサーションに署名するように設定してください。 |
証明書を検証する | あなたのIdPから信頼できるCAを通じて信頼できる有効な証明書を使用するときには、このボックスをチェックしてください。自己署名証明書は、適切な信頼チェーンがBitwardenログインのSSO Dockerイメージと一緒に設定されていない限り、失敗する可能性があります。 |
次のフィールドをSAML IDプロバイダ設定セクションで完了してください:
フィールド | 説明 |
|---|---|
エンティティID | クライアントが作成されたKeycloakレルムのURLを入力してください。例: |
バインディングの種類 | リダイレクトを選択します。 |
シングルサインオンサービス URL | あなたのマスターSAML処理URLを入力してください。例えば、 |
シングルログアウトサービスURL | 現在、SSOでのログインはSLOをサポートしていません。このオプションは将来の開発のために計画されていますが、ご希望であればログアウトURLで事前に設定することができます。 |
X509 公開鍵証明書 | 前のステップでコピーされたRS256証明書を入力してください。 証明書の値は大文字と小文字を区別し、余分なスペース、キャリッジリターン、その他の余分な文字は証明書の検証に失敗する原因となります。 |
アウトバウンド署名アルゴリズム | KeycloakクライアントがSAMLドキュメントまたはアサーションに署名するために使用するように設定されているアルゴリズムを選択します。 |
アウトバウンドログアウトリクエストを無効にする | SSOでのログインは現在、SLOをサポートしていません。このオプションは将来の開発のために計画されています。 |
認証リクエストに署名が欲しい | KeycloakがSAMLリクエストの署名を期待するかどうか。 |
備考
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
IDプロバイダーの設定が完了したら、作業を保存してください。
チップ
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
「Keycloakクライアント設定」タブでは、追加の構成オプションを使用できます。
フィールド | 説明 |
|---|---|
書類に署名する | Keycloak領域によってSAMLドキュメントが署名されるべきかどうかを指定してください。 |
署名アサーション | KeycloakレルムによってSAMLアサーションが署名されるべきかどうかを指定してください。 |
署名アルゴリズム | 署名アサーションが有効になっている場合、署名に使用するアルゴリズムを選択します(デフォルトは |
名前ID形式 | KeycloakがSAMLレスポンスで使用するName IDフォーマットを選択してください。 |
フォーラムが完了したら、保存を選択してください。
設定が完了したら、https://vault.bitwarden.comに移動してテストを行います。メールアドレスを入力し、続行を選択し、エンタープライズシングルオンボタンを選択します。
設定された組甀の識別子を入力し、ログインを選択してください。あなたの実装が正常に設定されている場合、Keycloakのログイン画面にリダイレクトされます。
あなたのKeycloakの資格情報で認証した後、Bitwardenのマスターパスワードを入力して保管庫を復号化してください!
備考
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.