AdministratörskonsolLogga in med SSOImplementeringsguider

Microsoft Entra ID SAML-implementering

Den här artikeln innehåller Azure-specifik hjälp för att konfigurera inloggning med SSO via SAML 2.0. För hjälp med att konfigurera inloggning med SSO för en annan IdP, se SAML 2.0 Configuration.

Konfiguration innebär att arbeta samtidigt med Bitwarden-webbappen och Azure Portal. När du fortsätter rekommenderar vi att du har både lättillgängliga och att du slutför stegen i den ordning de är dokumenterade.

tip

Redan expert? Hoppa över instruktionerna i den här artikeln och ladda ner snabbkonfigurationsguiden för att ställa in SSO och SCIM med Entra ID.

Snabbreferensguide

Öppna SSO i webbappen

Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:

Product switcher
Product switcher

Öppna din organisations InställningarEnkel inloggningsskärm:

SAML 2.0 configuration
SAML 2.0 configuration

Om du inte redan har gjort det, skapa en unik SSO-identifierare för din organisation och välj SAML från rullgardinsmenyn Typ. Håll den här skärmen öppen för enkel referens.

Du kan stänga av alternativet Ange ett unikt SP-enhets-ID i detta skede om du vill. Om du gör det kommer ditt organisations-ID att tas bort från ditt SP-enhets-ID-värde, men i nästan alla fall rekommenderas det att du låter det här alternativet vara aktiverat.

tip

There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.

Skapa en företagsapplikation

I Azure Portal, navigera till Microsoft Entra ID och välj Enterprise-applikationer från navigeringsmenyn:

Enterprise applications
Enterprise applications

Välj knappen Ny applikation:

Create new application
Create new application

På skärmen Bläddra i Microsoft Entra ID Gallery väljer du knappen Skapa din egen applikation:

Create your own application
Create your own application

På skärmen Skapa din egen applikation, ge applikationen ett unikt, Bitwarden-specifikt namn och välj alternativet (Icke-galleri). När du är klar klickar du på knappen Skapa.

Aktivera enkel inloggning

Från applikationsöversiktsskärmen väljer du Enkel inloggning från navigeringen:

Configure Single sign-on
Configure Single sign-on

Välj SAML på skärmen Single Sign-On.

SAML-inställning

Grundläggande SAML-konfiguration

Välj knappen Redigera och konfigurera följande fält:

Användarattribut och anspråk

Standardanspråken konstruerade av Azure kommer att fungera med inloggning med SSO, men du kan valfritt använda det här avsnittet för att konfigurera NameID-formatet som används av Azure i SAML-svar.

Välj knappen Redigera och välj posten Unique User Identifier (Name ID) för att redigera NameID-anspråket:

Unique User Identifier
Unique User Identifier

Alternativen inkluderar Standard, E-postadress, Beständig, Ospecificerat och Windows-kvalificerat domännamn. Mer information finns i Microsoft Azure-dokumentationen.

SAML-signeringscertifikat

Ladda ner Base64-certifikatet för användning under ett senare steg.

Konfigurera din applikation

Kopiera eller notera inloggnings-URL och Microsoft Entra ID Identifier i det här avsnittet för användning i ett senare steg:

Azure URLs
Azure URLs
note

If you receive any key errors when logging in via SSO, try copying the X509 certificate information from the Federation Metadata XML file instead.

Användare och grupper

Välj Användare och grupper från navigeringen:

Assign users or groups
Assign users or groups

Välj knappen Lägg till användare/grupp för att tilldela åtkomst till inloggningen med SSO-applikation på användar- eller gruppnivå.

Tillbaka till webbappen

Vid det här laget har du konfigurerat allt du behöver inom ramen för Azure Portal. Gå tillbaka till Bitwarden-webbappen för att slutföra konfigurationen.

Skärmen för enkel inloggning delar upp konfigurationen i två sektioner:

  • SAML-tjänsteleverantörens konfiguration avgör formatet för SAML-förfrågningar.

  • Konfiguration av SAML-identitetsleverantör avgör vilket format som kan förväntas för SAML-svar.

Tjänsteleverantörens konfiguration

Konfigurera följande fält:

När du är klar med tjänsteleverantörens konfiguration, spara ditt arbete.

Identitetsleverantörskonfiguration

Identitetsleverantörskonfiguration kräver ofta att du går tillbaka till Azure Portal för att hämta programvärden:

note

When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.

När du är klar med identitetsleverantörens konfiguration, spara ditt arbete.

tip

You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.

Testa konfigurationen

När din konfiguration är klar, testa den genom att navigera till https://vault.bitwarden.com, ange din e-postadress och välja knappen Använd enkel inloggning:

Log in options screen
Log in options screen

Ange den konfigurerade organisationsidentifieraren och välj Logga in. Om din implementering är framgångsrikt konfigurerad kommer du att omdirigeras till Microsofts inloggningsskärm:

Azure login screen
Azure login screen

När du har autentiserat med dina Azure-uppgifter anger du ditt Bitwarden-huvudlösenord för att dekryptera ditt valv!

note

Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden. Entra ID SAML administrators can setup an Enterprise application for users to be directed to the Bitwarden SSO login page:

  1. Disable the existing Bitwarden button in the All Applications page by navigating to the current Bitwarden enterprise Application, selecting Properties, and setting the Visible to users option to No.

  2. Create a new app registration by navigating to Enterprise applications and selecting New application.

  3. Select Create your own application.

  4. Provide a name for the application such as Bitwarden, then select Integrate any other application you don't find in the gallery (Non-gallery). Once you have finished, select Create.

  5. Once the app has been created, navigate to Single sign-on located on the navigation menu. Select Linked.

  6. Add the following settings to the application:

    1. Set the Sign on URL to your Bitwarden client login page, such as https://vault.bitwarden.com/#/sso. Then, select Save.

    2. You may change the logo for end-user recognition in Properties. You can retrieve the Bitwarden logo here.

Once this process has been completed, assigned users will have a Bitwarden application that will link them directly to the Bitwarden web vault SSO login page.