OneLogin SAMLの実装
この記事には、SAML 2.0を介したSSOでのログインを設定するためのOneLogin特有のヘルプが含まれています。別のIdPでSSOを使用したログインの設定についてのヘルプは、SAML 2.0設定を参照してください。
設定は、BitwardenウェブアプリとOneLoginポータルの両方で同時に作業を行うことを含みます。進行するにあたり、両方をすぐに利用できる状態にして、記録されている順序で手順を完了することをお勧めします。
チップ
Already an SSO expert? Skip the instructions in this article and download screenshots of sample configurations to compare against your own.
Bitwardenウェブアプリにログインし、製品スイッチャー()を使用して管理者コンソールを開きます。
あなたの組織の設定 → シングルサインオン画面を開きます。
まだ作成していない場合は、あなたの組織のためのユニークなSSO識別子を作成し、タイプのドロップダウンからSAML��を選択してください。この画面を開いたままにして、簡単に参照できるようにしてください。
この段階で、必要に応じてユニークなSPエンティティIDを設定のオプションをオフにすることができます。これを行うと、あなたのSPエンティティID値から組电IDが削除されますが、ほとんどの場合、このオプションをオンにしておくことをお勧めします。
チップ
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
OneLoginポータルで、アプリケーション画面に移動し、アプリを追加ボタンを選択します:
検索バーにsaml test connectorとタイプし、SAML Test Connector (Advanced)アプリを選択してください:
あなたのアプリケーションにBitwarden特有の表示名を付けて、保存ボタンを選択してください。
左側のナビゲーションから設定を選択し、以下の情報を設定します。これらの一部はシングルサインオン画面から取得する必要があります。
アプリケーション設定 | 説明 |
|---|---|
観客 (エンティティID) | このフィールドを事前に生成されたSPエンティティIDに設定します。 この自動生成された値は、組織の設定 → シングルサインオン画面からコピーでき、設定により異なります。 |
受信者 | このフィールドを、視聴者(エンティティID)の設定に使用された同じ事前生成されたSPエンティティIDに設定します。 |
ACS (コンシューマー) URL バリデーター | OneLoginによって必須とマークされているにもかかわらず、このフィールドに情報を入力する必要は実際にはありません。Bitwardenと統合するためには。次のフィールドに進んでください、ACS (消費者) URL。 |
ACS(消費者)URL | このフィールドを事前に生成されたAssertion Consumer Service (ACS) URLに設定します。 この自動生成された値は、組織の設定 → シングルサインオン画面からコピーでき、設定により異なります。 |
SAML イニシエーター | サービスプロバイダーを選択してください。SSOでのログインは現在、IdPが開始するSAMLアサーションをサポートしていません。 |
SAML nameID形式 | このフィールドを、SAMLアサーションに使用したいSAML NameIDフォーマットに設定します。 |
SAML署名要素 | デフォルトでは、OneLoginはSAMLレスポンスに署名します。これをアサーションまたは両方に設定することができます。 |
設定を完了するには、保存ボタンを選択してください。
左側のナビゲーションからパラメータを選択し、 追加アイコンを使用して次のカスタムパラメータを作成します:
フィールド名 | 値 |
|---|---|
メールアドレス | Eメール |
名前 | 名 |
苗字 | 姓 |
カスタムパラメータを完了するには、保存ボタンを選択してください。
左側のナビゲーションからSSOを選択し、以下を完了してください:
あなたのX.509証明書の下にある詳細を表示リンクを選択してください。
View your Cert 証明書画面で、X.509 PEM証明書をダウンロードまたはコピーします。後で使用する必要があるためです。コピーしたら、メインのSSO画面に戻ってください。
あなたのSAML署名アルゴリズムを設定してください。
あなたの発行者URLとSAML 2.0エンドポイント(HTTP)をメモしてください。これらの値はすぐに使用する必要があります。
左側のナビゲーションからアクセスを選択してください。役割セクションで、Bitwardenを使用できるようにしたいすべての役割にアプリケーションのアクセスを割り当ててください。ほとんどの実装では、Bitwarden特有の役割を作成し、代わりにキャッチオール(例えば、デフォルト)に基づいて割り当てるか、既存の役割に基づいて割り当てます。
この時点で、OneLoginポータルのコンテキスト内で必要なすべてを設定しました。設定を完了するためにBitwardenウェブアプリに戻ってください。
シングルサインオン画面は、設定を二つのセクションに分けています:
SAML サービス プロバイダーの構成によって、 SAML リクエストの形式が決まります。
SAML IDプロバイダーの設定は、SAMLの応答に期待する形式を決定します。
OneLogin Portalでアプリ作成中に選択した選択肢に従って、以下のフィールドを設定してください:
フィールド | 説明 |
|---|---|
名前ID形式 | このフィールドを、OneLoginのSAML nameIDフォーマットフィールドで選択したものに設定します。アプリ設定中に。 |
アウトバウンド署名アルゴリズム | デフォルトでSAMLリクエストに署名するために使用されるアルゴリズム、 |
署名行動 | SAMLリクエストが署名されるかどうか/いつ署名されるか。デフォルトでは、OneLoginはリクエストの署名を必要としません。 |
最小入力署名アルゴリズム | このフィールドを、SAML署名アルゴリズムアプリ設定中に選択したものに設定してください。 |
署名されたアサーションが欲しい | このボックスをチェックしてください、もしOneLoginのSAML署名要素をアサーションまたは両方にアプリ設定中に設定した場合。 |
証明書を検証する | あなたのIdPから信頼できるCAを通じて信頼性と有効性のある証明書を使用するときは、このボックスをチェックしてください。自己署名証明書は、適切な信頼チェーンがBitwardenログインのSSO Dockerイメージ内に設定されていない限り、失敗する可能性があります。 |
サービスプロバイダーの設定が完了したら、作業を保存してください。
IDプロバイダーの設定では、アプリケーションの値を取得するために、しばしばOneLoginポータルを参照する必要があります。
フィールド | 説明 |
|---|---|
エンティティID | あなたのOneLoginの発行者URLを入力してください。これは、OneLoginアプリのSSO画面から取得できます。このフィールドは大文字と小文字を区別します。 |
バインディングタイプ | HTTP Post に設定します(SAML 2.0エンドポイント(HTTP)で示されているように)。 |
シングルサインオンサービスURL | あなたのOneLogin SAML 2.0エンドポイント(HTTP)を入力してください。これはOneLoginアプリのSSO画面から取得できます。 |
シングルログアウトサービスURL | 現在、SSOでのログインはSLOをサポートしていません。このオプションは将来の開発のために計画されていますが、ご希望であれば事前に設定することができます。 |
X509公開証明書 | 取得したX.509証明書を貼り付け、削除してください。
そして |
アウトバウンド署名アルゴリズム | OneLogin SSO設定セクションで選択されたSAML署名アルゴリズムを選択してください。 |
アウトバウンドログアウトリクエストを無効にする | 現在、SSOでのログインはSLOをサポートしていません。このオプションは将来の開発のために計画されています。 |
認証リクエストに署名が必要です | OneLoginがSAMLリクエストの署名を期待しているかどうか。 |
備考
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
IDプロバイダーの設定が完了したら、保存してください。
チップ
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
設定が完了したら、https://vault.bitwarden.comに移動して、メールアドレスを入力し、続けるを選択し、エンタープライズシングルオンボタンを選択してテストしてください:
設定された組織識別子を入力し、ログインを選択してください。あなたの実装が正常に設定されている場合、OneLoginのログイン画面にリダイレクトされます。
OneLoginの資格情報で認証した後、Bitwardenのマスターパスワードを入力して保管庫を復号化してください!
備考
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.