Okta OIDC Implementering
Den här artikeln innehåller Okta-specifik hjälp för att konfigurera inloggning med SSO via OpenID Connect (OIDC). För hjälp med att konfigurera inloggning med SSO för en annan OIDC IdP, eller för att konfigurera Okta via SAML 2.0, se OIDC Configuration eller Okta SAML Implementation.
Konfiguration innebär att arbeta samtidigt inom Bitwarden webbapp och Okta Admin Portal. När du fortsätter rekommenderar vi att du har både lättillgängliga och att du slutför stegen i den ordning de är dokumenterade.
Öppna SSO i webbvalvet
Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:
Välj Inställningar → Enkel inloggning från navigeringen:
Om du inte redan har gjort det, skapa en unik SSO-identifierare för din organisation. Annars behöver du inte redigera någonting på den här skärmen ännu, men håll den öppen för enkel referens.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Skapa en Okta-app
I Okta Admin Portal väljer du Applikationer → Applikationer från navigeringen. På programskärmen väljer du knappen Skapa appintegration. För inloggningsmetod, välj OIDC - OpenID Connect. För applikationstyp, välj Webbapplikation:
På skärmen New Web App Integration konfigurerar du följande fält:
Fält | Beskrivning |
|---|---|
Appintegrationsnamn | Ge appen ett Bitwarden-specifikt namn. |
Typ av bidrag | Aktivera följande bidragstyper: |
Omdirigerings-URI för inloggning | Ställ in det här fältet till din återuppringningsväg, som kan hämtas från Bitwarden SSO-konfigurationsskärmen. |
Logga ut omdirigering URI:er | Ställ in det här fältet till din utloggade återuppringningsväg, som kan hämtas från Bitwarden SSO-konfigurationsskärmen. |
Uppdrag | Använd detta fält för att ange om alla eller endast utvalda grupper kommer att kunna använda Bitwarden Login med SSO. |
När du har konfigurerat, välj knappen Nästa.
Få kunduppgifter
På applikationsskärmen kopierar du klient-ID och klienthemlighet för den nyskapade Okta-appen:
Du måste använda båda värdena i ett senare steg.
Få information om auktoriseringsserver
Välj Säkerhet → API från navigeringen. I listan Auktoriseringsservrar väljer du den server du vill använda för denna implementering. På fliken Inställningar för servern kopierar du URI-värdena för utfärdaren och metadata:
Du måste använda båda värdena under nästa steg.
Tillbaka till webbappen
Vid det här laget har du konfigurerat allt du behöver inom ramen för Okta Admin Portal. Gå tillbaka till Bitwarden-webbappen för att konfigurera följande fält:
Fält | Beskrivning |
|---|---|
Myndighet | Ange den hämtade utfärdar-URI för din auktoriseringsserver. |
Klient-ID | Ange det hämtade klient-ID för din Okta-app. |
Klienthemlighet | Ange den hämtade klienthemligheten för din Okta-app. |
Metadataadress | Ange den hämtade metadata-URI för din auktoriseringsserver. |
OIDC Redirect Beteende | Välj Redirect GET. Okta stöder för närvarande inte Form POST. |
Få anspråk från slutpunkt för användarinformation | Aktivera det här alternativet om du får URL för långa fel (HTTP 414), trunkerade URL:er och/eller fel under SSO. |
Ytterligare/anpassade omfattningar | Definiera anpassade omfattningar som ska läggas till i begäran (kommaavgränsade). |
Ytterligare/anpassade användar-ID-anspråkstyper | Definiera anpassade nycklar för anspråkstyp för användaridentifiering (kommaavgränsad). När de har definierats, söks efter anpassade anspråkstyper innan de faller tillbaka på standardtyper. |
Ytterligare/anpassade e-postanspråkstyper | Definiera anpassade nycklar för anspråkstyp för användarnas e-postadresser (kommaseparerade). När de har definierats, söks efter anpassade anspråkstyper innan de faller tillbaka på standardtyper. |
Ytterligare/anpassade namnanspråkstyper | Definiera anpassade nycklar för anspråkstyp för användarnas fullständiga namn eller visningsnamn (kommaseparerade). När de har definierats, söks efter anpassade anspråkstyper innan de faller tillbaka på standardtyper. |
Begärda autentiseringskontextklassreferensvärden | Definiera autentiseringskontext Klassreferensidentifierare ( |
Förväntat "acr"-anspråksvärde som svar | Definiera |
När du är klar med att konfigurera dessa fält, spara ditt arbete.
tip
Du kan kräva att användare loggar in med SSO genom att aktivera autentiseringspolicyn för enkel inloggning. Observera att detta även kräver aktivering av policyn för en enda organisation. Läs mer.
Testa konfigurationen
När din konfiguration är klar, testa den genom att navigera till https://vault.bitwarden.com, ange din e-postadress och välja knappen Använd enkel inloggning:
Ange den konfigurerade organisationsidentifieraren och välj Logga in. Om din implementering har konfigurerats framgångsrikt, omdirigeras du till Okta-inloggningsskärmen:
När du har autentiserat dig med dina Okta-uppgifter, ange ditt Bitwarden-huvudlösenord för att dekryptera ditt valv!
tip
Bitwarden stöder inte oönskade svar, så att initiera inloggning från din IdP kommer att resultera i ett fel. SSO-inloggningsflödet måste initieras från Bitwarden. Okta-administratörer kan skapa en Okta Bookmark-app som länkar direkt till inloggningssidan för Bitwarden webbvalv.
Som administratör, navigera till rullgardinsmenyn Appar som finns i huvudnavigeringsfältet och välj Applikationer.
Klicka på Bläddra i appkatalog.
Sök efter bokmärkesapp och klicka på Lägg till integration.
Lägg till följande inställningar i programmet:
Ge applikationen ett namn som Bitwarden Login.
I URL-fältet anger du webbadressen till din Bitwarden-klient som
https://vault.bitwarden.com/#/loginelleryour-self-hostedURL.com.
Välj Klart och återgå till appinstrumentpanelen och redigera den nyskapade appen.
Tilldela personer och grupper till applikationen. Du kan också tilldela en logotyp till applikationen för slutanvändarigenkänning. Bitwardens logotyp kan erhållas här.
När denna process har slutförts kommer tilldelade personer och grupper att ha en Bitwarden-bokmärkesapplikation på sin Okta-instrumentpanel som länkar dem direkt till Bitwardens webbvalvsinloggningssida.