Okta OIDC-implementatie
Dit artikel bevat Okta-specifieke hulp voor het configureren van inloggen met SSO via OpenID Connect (OIDC). Voor hulp bij het configureren van aanmelding met SSO voor een andere OIDC IdP, of voor het configureren van Okta via SAML 2.0, zie OIDC-configuratie of Okta SAML-implementatie.
Bij de configuratie wordt tegelijkertijd gewerkt binnen de Bitwarden-webapp en het Okta Admin Portal. We raden u aan om beide documenten bij de hand te hebben en de stappen uit te voeren in de volgorde waarin ze zijn beschreven.
Log in op de Bitwarden web app en open de Admin Console met behulp van de product switcher ():
Selecteer Instellingen → Eenmalige aanmelding in de navigatie:
Als je dit nog niet hebt gedaan, maak dan een unieke SSO identifier aan voor je organisatie. Verder hoef je nog niets aan te passen op dit scherm, maar houd het open voor gemakkelijke referentie.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Selecteer in het Okta Admin Portal Applicaties → Applicaties in de navigatie. Selecteer in het scherm Toepassingen de knop Appintegratie maken. Selecteer bij Aanmeldmethode OIDC - OpenID Connect. Selecteer Webtoepassing voor Type toepassing:
Configureer de volgende velden in het scherm New Web App Integration:
Veld | Beschrijving |
|---|---|
Naam app-integratie | Geef de app een Bitwarden-specifieke naam. |
Type subsidie | Schakel de volgende subsidietypen in: |
URI's voor aanmelden omleiden | Stel dit veld in op uw Terugbelpad, dat u kunt ophalen uit het Bitwarden SSO-configuratiescherm. |
Afmelden omleiden URI's | Stel dit veld in op uw afgemelde terugbelpad, dat u kunt ophalen uit het scherm Bitwarden SSO-configuratie. |
Opdrachten | Gebruik dit veld om aan te geven of alle of alleen bepaalde groepen Bitwarden Login met SSO kunnen gebruiken. |
Selecteer na het configureren de knop Volgende.
Kopieer in het scherm Toepassing de Client-ID en Client-secret voor de nieuw gemaakte Okta-app:
Je zult beide waarden in een latere stap moeten gebruiken.
Selecteer Beveiliging → API in de navigatie. Selecteer in de lijst Authorization Servers de server die je wilt gebruiken voor deze implementatie. Kopieer op het tabblad Instellingen voor de server de waarden Issuer en Metadata URI:
Je zult beide waarden moeten gebruiken tijdens de volgende stap.
Op dit punt hebt u alles geconfigureerd wat u nodig hebt binnen de context van het Okta Admin Portal. Ga terug naar de Bitwarden web app om de volgende velden te configureren:
Veld | Beschrijving |
|---|---|
Autoriteit | Voer de opgehaalde Issuer URI voor uw autorisatieserver in. |
Klant-ID | Voer de opgehaalde Client ID voor uw Okta-app in. |
Geheim van de klant | Voer het opgehaalde Client secret voor uw Okta-app in. |
Metadata-adres | Voer de opgehaalde Metadata URI voor uw autorisatieserver in. |
OIDC omleidingsgedrag | Selecteer GET omleiden. Okta ondersteunt momenteel geen Form POST. |
Claims ophalen bij eindpunt gebruikersinformatie | Schakel deze optie in als je URL te lang fouten (HTTP 414), afgekorte URLS en/of fouten tijdens SSO ontvangt. |
Extra/aangepaste scopes | Definieer aangepaste scopes die moeten worden toegevoegd aan het verzoek (door komma's gescheiden). |
Extra/Aangepaste gebruikers-ID Claimtypes | Definieer aangepaste claimtype-sleutels voor gebruikersidentificatie (door komma's gescheiden). Indien gedefinieerd, wordt er eerst gezocht naar aangepaste claimtypes voordat er wordt teruggevallen op standaardtypes. |
Extra/gewone e-mailclaimtypes | Definieer aangepaste claimtype-sleutels voor e-mailadressen van gebruikers (door komma's gescheiden). Indien gedefinieerd, wordt er eerst gezocht naar aangepaste claimtypes voordat er wordt teruggevallen op standaardtypes. |
Extra/Aangepaste naam Claimtypes | Definieer aangepaste claimtype-sleutels voor de volledige namen of weergavenamen van gebruikers (door komma's gescheiden). Indien gedefinieerd, wordt er eerst gezocht naar aangepaste claimtypes voordat er wordt teruggevallen op standaardtypes. |
Referentiewaarden aangevraagde Authenticatie Context Klasse | Definieer Authentication Context Class Reference identifiers |
Verwachte "acr" claimwaarde in antwoord | Definieer de |
Sla je werk op als je klaar bent met het configureren van deze velden.
tip
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Zodra je configuratie voltooid is, kun je deze testen door te navigeren naar https://vault.bitwarden.com, je e-mailadres in te voeren, Doorgaan te selecteren en de knop Enterprise Single-On te selecteren:
Voer de geconfigureerde organisatie-ID in en selecteer Aanmelden. Als uw implementatie succesvol is geconfigureerd, wordt u doorgestuurd naar het inlogscherm voor Okta:
Nadat u zich hebt geverifieerd met uw Okta-referenties, voert u uw Bitwarden-masterwachtwoord in om uw kluis te ontsleutelen!
noot
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden. Okta administrators can create an Okta Bookmark App that will link directly to the Bitwarden web vault login page.
As an admin, navigate to the Applications drop down located on the main navigation bar and select Applications.
Click Browse App Catalog.
Search for Bookmark App and click Add Integration.
Add the following settings to the application:
Give the application a name such as Bitwarden Login.
In the URL field, provide the URL to your Bitwarden client such as
https://vault.bitwarden.com/#/loginoryour-self-hostedURL.com.
Select Done and return to the applications dashboard and edit the newly created app.
Assign people and groups to the application. You may also assign a logo to the application for end user recognition. The Bitwarden logo can be obtained here.
Once this process has been completed, assigned people and groups will have a Bitwarden bookmark application on their Okta dashboard that will link them directly to the Bitwarden web vault login page.