Okta OIDC Implementering
Den här artikeln innehåller Okta-specifik hjälp för att konfigurera inloggning med SSO via OpenID Connect (OIDC). För hjälp med att konfigurera inloggning med SSO för en annan OIDC IdP, eller för att konfigurera Okta via SAML 2.0, se OIDC Configuration eller Okta SAML Implementation.
Konfiguration innebär att arbeta samtidigt inom Bitwarden webbapp och Okta Admin Portal. När du fortsätter rekommenderar vi att du har både lättillgängliga och att du slutför stegen i den ordning de är dokumenterade.
Öppna SSO i webbvalvet
Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:
Välj Inställningar → Enkel inloggning från navigeringen:
Om du inte redan har gjort det, skapa en unik SSO-identifierare för din organisation. Annars behöver du inte redigera någonting på den här skärmen ännu, men håll den öppen för enkel referens.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Skapa en Okta-app
I Okta Admin Portal väljer du Applikationer → Applikationer från navigeringen. På programskärmen väljer du knappen Skapa appintegration. För inloggningsmetod, välj OIDC - OpenID Connect. För applikationstyp, välj Webbapplikation:
På skärmen New Web App Integration konfigurerar du följande fält:
Fält | Beskrivning |
|---|---|
Appintegrationsnamn | Ge appen ett Bitwarden-specifikt namn. |
Typ av bidrag | Aktivera följande bidragstyper: |
Omdirigerings-URI för inloggning | Ställ in det här fältet till din återuppringningsväg, som kan hämtas från Bitwarden SSO-konfigurationsskärmen. |
Logga ut omdirigering URI:er | Ställ in det här fältet till din utloggade återuppringningsväg, som kan hämtas från Bitwarden SSO-konfigurationsskärmen. |
Uppdrag | Använd detta fält för att ange om alla eller endast utvalda grupper kommer att kunna använda Bitwarden Login med SSO. |
När du har konfigurerat, välj knappen Nästa.
Få kunduppgifter
På applikationsskärmen kopierar du klient-ID och klienthemlighet för den nyskapade Okta-appen:
Du måste använda båda värdena i ett senare steg.
Få information om auktoriseringsserver
Välj Säkerhet → API från navigeringen. I listan Auktoriseringsservrar väljer du den server du vill använda för denna implementering. På fliken Inställningar för servern kopierar du URI-värdena för utfärdaren och metadata:
Du måste använda båda värdena under nästa steg.
Tillbaka till webbappen
Vid det här laget har du konfigurerat allt du behöver inom ramen för Okta Admin Portal. Gå tillbaka till Bitwarden-webbappen för att konfigurera följande fält:
Fält | Beskrivning |
|---|---|
Myndighet | Ange den hämtade utfärdar-URI för din auktoriseringsserver. |
Klient-ID | Ange det hämtade klient-ID för din Okta-app. |
Klienthemlighet | Ange den hämtade klienthemligheten för din Okta-app. |
Metadataadress | Ange den hämtade metadata-URI för din auktoriseringsserver. |
OIDC Redirect Beteende | Välj Redirect GET. Okta stöder för närvarande inte Form POST. |
Få anspråk från slutpunkt för användarinformation | Aktivera det här alternativet om du får URL för långa fel (HTTP 414), trunkerade URL:er och/eller fel under SSO. |
Ytterligare/anpassade omfattningar | Definiera anpassade omfattningar som ska läggas till i begäran (kommaavgränsade). |
Ytterligare/anpassade användar-ID-anspråkstyper | Definiera anpassade nycklar för anspråkstyp för användaridentifiering (kommaavgränsad). När de har definierats, söks efter anpassade anspråkstyper innan de faller tillbaka på standardtyper. |
Ytterligare/anpassade e-postanspråkstyper | Definiera anpassade nycklar för anspråkstyp för användarnas e-postadresser (kommaseparerade). När de har definierats, söks efter anpassade anspråkstyper innan de faller tillbaka på standardtyper. |
Ytterligare/anpassade namnanspråkstyper | Definiera anpassade nycklar för anspråkstyp för användarnas fullständiga namn eller visningsnamn (kommaseparerade). När de har definierats, söks efter anpassade anspråkstyper innan de faller tillbaka på standardtyper. |
Begärda autentiseringskontextklassreferensvärden | Definiera autentiseringskontext Klassreferensidentifierare ( |
Förväntat "acr"-anspråksvärde som svar | Definiera |
När du är klar med att konfigurera dessa fält, spara ditt arbete.
tip
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Testa konfigurationen
När din konfiguration är klar, testa den genom att navigera till https://vault.bitwarden.com, ange din e-postadress och välja knappen Använd enkel inloggning:
Ange den konfigurerade organisationsidentifieraren och välj Logga in. Om din implementering har konfigurerats framgångsrikt, omdirigeras du till Okta-inloggningsskärmen:
När du har autentiserat dig med dina Okta-uppgifter, ange ditt Bitwarden-huvudlösenord för att dekryptera ditt valv!
note
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden. Okta administrators can create an Okta Bookmark App that will link directly to the Bitwarden web vault login page.
As an admin, navigate to the Applications drop down located on the main navigation bar and select Applications.
Click Browse App Catalog.
Search for Bookmark App and click Add Integration.
Add the following settings to the application:
Give the application a name such as Bitwarden Login.
In the URL field, provide the URL to your Bitwarden client such as
https://vault.bitwarden.com/#/loginoryour-self-hostedURL.com.
Select Done and return to the applications dashboard and edit the newly created app.
Assign people and groups to the application. You may also assign a logo to the application for end user recognition. The Bitwarden logo can be obtained here.
Once this process has been completed, assigned people and groups will have a Bitwarden bookmark application on their Okta dashboard that will link them directly to the Bitwarden web vault login page.