# Microsoft Entra ID SAML-implementering

Den här artikeln innehåller **Azure-specifik** hjälp för att konfigurera inloggning med SSO via SAML 2.0. För hjälp med att konfigurera inloggning med SSO för en annan IdP, se [SAML 2.0 Configuration](https://bitwarden.com/sv-se/help/configure-sso-saml/).

Konfiguration innebär att arbeta samtidigt med Bitwarden-webbappen och Azure Portal. När du fortsätter rekommenderar vi att du har både lättillgängliga och att du slutför stegen i den ordning de är dokumenterade.

> [!TIP] Entra ID Soft Guide
> **Redan expert?** Hoppa över instruktionerna i den här artikeln och ladda ner snabbkonfigurationsguiden för att ställa in SSO och SCIM med Entra ID.
> 
> ⬇️ [Snabbreferensguide](https://bitwarden.com/assets/3dX9IKG6TQ9chQXJaVkP1w/846f3cbc9cec1435813c3298a9a102e9/entra-id-guide.pdf)

## Öppna SSO i webbappen

Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:

![Produktväljare](https://bitwarden.com/assets/2uxBDdQa6lu0IgIEfcwMPP/e3de3361749b6496155e25edcfdcf08b/2024-12-02_11-19-56.png)

Öppna din organisations **Inställningar** → **Enkel inloggningsskärm**:

![SAML 2.0 configuration ](https://bitwarden.com/assets/20720mRAluo6crSdTiYJrn/1175889d7f6ab42fe7614f34cdd1dcdd/2024-12-04_09-41-15.png)

Om du inte redan har gjort det, skapa en unik **SSO-identifierare**för din organisation och välj **SAML**från **rullgardinsmenyn**Typ. Håll den här skärmen öppen för enkel referens.

Du kan stänga av **alternativet**Ange ett unikt SP-enhets-ID i detta skede om du vill. Om du gör det kommer ditt organisations-ID att tas bort från ditt SP-enhets-ID-värde, men i nästan alla fall rekommenderas det att du låter det här alternativet vara aktiverat.

> [!TIP] Self-hosting, use alternative Member Decryption Options.
> There are alternative **Member decryption options**. Learn how to get started using [SSO with trusted devices](https://bitwarden.com/sv-se/help/about-trusted-devices/) or [Key Connector](https://bitwarden.com/sv-se/help/about-key-connector/).

## Skapa en företagsapplikation

I Azure Portal, navigera till **Microsoft Entra ID** och välj **Enterprise-applikationer** från navigeringsmenyn:

![Enterprise applications ](https://bitwarden.com/assets/69h0vJlyvkF5J6tsKfQ7jd/4994ed3200bdce4b5faea87e1ac2de83/Enterprise_application.png)

Välj knappen + **Ny applikation**:

![Create new application ](https://bitwarden.com/assets/7f6vbFmJRpfwDXbjHNKp1i/c314ef0bcbb68306858fa0f76da1e369/new_application.png)

På skärmen Bläddra i Microsoft Entra ID Gallery väljer du knappen + **Skapa din egen applikation**:

![Create your own application ](https://bitwarden.com/assets/6oF8nrPsl7riqg3jWFDk7N/5cf08062f5656e0aee44ea627a2071c5/Create_your_own_application.png)

På skärmen Skapa din egen applikation, ge applikationen ett unikt, Bitwarden-specifikt namn och välj alternativet (Icke-galleri). När du är klar klickar du på knappen **Skapa**.

### Aktivera enkel inloggning

Från applikationsöversiktsskärmen väljer du **Enkel inloggning** från navigeringen:

![Configure Single sign-on ](https://bitwarden.com/assets/6Qn48f1wL7TLRfVfr2JG44/1db741ce68225229a69978bbf5a1c3ad/configure_single_sign_on.png)

Välj **SAML** på skärmen Single Sign-On.

## SAML-inställning

### Grundläggande SAML-konfiguration

Välj knappen **Redigera** och konfigurera följande fält:

| **Fält** | **Beskrivning** |
|------|------|
| Identifierare (Enhets-ID) | Ställ in det här fältet till det förgenererade **SP Entity ID**. Detta automatiskt genererade värde kan kopieras från organisationens **Inställningar** → **Enkel inloggningsskärm** och kommer att variera beroende på dina inställningar. |
| Svars-URL (URL för påstående konsumenttjänst) | Ställ in det här fältet till den förgenererade webbadressen för Assertion Consumer Service (ACS). Detta automatiskt genererade värde kan kopieras från organisationens **Inställningar** → **Enkel inloggningsskärm** och kommer att variera beroende på dina inställningar. |
| Logga in URL | Ställ in det här fältet till inloggningsadressen från vilken användare kommer åt Bitwarden. För molnbaserade kunder är detta `https://vault.bitwarden.com/#/sso` eller `https://vault.bitwarden.eu/#/sso`. För egenvärdiga instanser bestäms detta av din [konfigurerade server-URL](https://bitwarden.com/sv-se/help/install-on-premise/#configure-your-domain/), till exempel `https://din-domän.com/#/sso`. |

### Användarattribut och anspråk

Standardanspråken konstruerade av Azure kommer att fungera med inloggning med SSO, men du kan valfritt använda det här avsnittet för att konfigurera NameID-formatet som används av Azure i SAML-svar.

Välj knappen **Redigera** och välj posten **Unique User Identifier (Name ID)** för att redigera NameID-anspråket:

![Unique User Identifier](https://bitwarden.com/assets/12hujApHx80QmzCJnfXXdY/92c9f14171f0f1934915bc1d05895eab/entrauuid.png)

Alternativen inkluderar Standard, E-postadress, Beständig, Ospecificerat och Windows-kvalificerat domännamn. Mer information finns i [Microsoft Azure-dokumentationen](https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-saml-claims-customization#editing-nameid).

### SAML-signeringscertifikat

Ladda ner Base64-certifikatet för användning [under ett senare steg](https://bitwarden.com/sv-se/help/saml-microsoft-entra-id/#identity-provider-configuration/).

### Konfigurera din applikation

Kopiera eller notera **inloggnings-URL**och **Microsoft Entra ID Identifier** i det här avsnittet för användning [i ett senare steg](https://bitwarden.com/sv-se/help/saml-microsoft-entra-id/#identity-provider-configuration/):

![Azure URLs](https://bitwarden.com/assets/1NZm0dZkDOJ6UbUu5lgtex/427c7467486c8135d6f51d5fb158e7da/Azure_URLS.png)

> [!NOTE] Copy X509 Certificate from federation Metadata XML
> If you receive any key errors when logging in via SSO, try copying the X509 certificate information from the Federation Metadata XML file instead.

### Användare och grupper

Välj **Användare och grupper** från navigeringen:

![Assign users or groups ](https://bitwarden.com/assets/6hYTEc8obu4V8EYLx35iGY/027a0345a5743b75b7b964ac538b9504/az-assign.png)

Välj knappen **Lägg till användare/grupp** för att tilldela åtkomst till inloggningen med SSO-applikation på användar- eller gruppnivå.

## Tillbaka till webbappen

Vid det här laget har du konfigurerat allt du behöver inom ramen för Azure Portal. Gå tillbaka till Bitwarden-webbappen för att slutföra konfigurationen.

Skärmen för enkel inloggning delar upp konfigurationen i två sektioner:

- **SAML-tjänsteleverantörens konfiguration** avgör formatet för SAML-förfrågningar.
- Konfiguration av SAML-identitetsleverantör avgör vilket format som kan förväntas för SAML-svar.

### Tjänsteleverantörens konfiguration

Konfigurera följande fält:

| **Fält** | **Beskrivning** |
|------|------|
| Namn ID-format | Som standard kommer Azure att använda e-postadress. Om du [ändrade den här inställningen](https://bitwarden.com/sv-se/help/saml-microsoft-entra-id/#user-attributes-claims/), välj motsvarande värde. Annars ställer du in det här fältet till **Ospecificerad**eller **E-postadress**. |
| Algoritm för utgående signering | Algoritmen Bitwarden kommer att använda för att signera SAML-förfrågningar. |
| Signeringsbeteende | Om/när SAML-förfrågningar kommer att undertecknas. |
| Minsta algoritm för inkommande signering | Som standard kommer Azure att signera med RSA SHA-256. Välj `rsa-sha256 `från rullgardinsmenyn. |
| Vill ha påståenden undertecknade | Huruvida Bitwarden förväntar sig att SAML-påståenden ska undertecknas. |
| Validera certifikat | Markera den här rutan när du använder betrodda och giltiga certifikat från din IdP genom en betrodd CA. Självsignerade certifikat kan misslyckas om inte korrekta förtroendekedjor är konfigurerade med Bitwarden-inloggningen med SSO docker-bild. |

När du är klar med tjänsteleverantörens konfiguration, **spara** ditt arbete.

### Identitetsleverantörskonfiguration

Identitetsleverantörskonfiguration kräver ofta att du går tillbaka till Azure Portal för att hämta programvärden:

| **Fält** | **Beskrivning** |
|------|------|
| Enhets-ID | Ange din **Microsoft Entra ID-identifierare**, hämtad från Azure Portals avsnitt [Konfigurera din applikation](https://bitwarden.com/sv-se/help/saml-azure/#set-up-your-application/). Det här fältet är skiftlägeskänsligt. |
| Bindningstyp | Ställ in på **HTTP POST**eller **Redirect**. |
| Webbadress till tjänst för enkel inloggning | Ange din **inloggnings-URL**, hämtad från Azure Portals avsnitt [Konfigurera din applikation](https://bitwarden.com/sv-se/help/saml-microsoft-entra-id/#set-up-your-application/). |
| Webbadress för enkel utloggning | Inloggning med SSO **stöder för närvarande**inte SLO. Det här alternativet är planerat för framtida utveckling, men du kan förkonfigurera det med din **utloggnings-URL**om du vill. |
| X509 Offentligt certifikat | Klistra in det [nedladdade certifikatet](https://bitwarden.com/sv-se/help/saml-azure/#saml-signing-certificate/), ta bort `-----BÖRJA CERTIFIKAT-----`  och `-----SLUT CERTIFIKAT-----` Certifikatvärdet är skiftlägeskänsligt, extra mellanslag, vagnreturer och andra ovidkommande tecken **kommer att göra att certifikatvalideringen misslyckas**. |
| Algoritm för utgående signering | Som standard kommer Azure att signera med RSA SHA-256. Välj `rsa-sha256 `från rullgardinsmenyn. |
| Inaktivera utgående utloggningsförfrågningar | Inloggning med SSO **stöder för närvarande**inte SLO. Detta alternativ är planerat för framtida utveckling. |
| Vill ha signerade förfrågningar om autentisering | Om Azure förväntar sig att SAML-förfrågningar ska signeras. |

> [!NOTE] X509 cert expiration
> När du fyller i X509-certifikatet, notera utgångsdatumet. Certifikaten kommer att behöva förnyas för att förhindra eventuella avbrott i tjänsten för SSO-slutanvändare. Om ett certifikat har löpt ut kommer administratörs- och ägarkonton alltid att kunna logga in med e-postadress och huvudlösenord.

När du är klar med identitetsleverantörens konfiguration, **spara** ditt arbete.

> [!TIP] Policies for SSO Guides
> Du kan kräva att användare loggar in med SSO genom att aktivera autentiseringspolicyn för enkel inloggning. Observera att detta även kräver aktivering av policyn för en enda organisation. [Läs mer](https://bitwarden.com/sv-se/help/policies/).

## Testa konfigurationen

När din konfiguration är klar, testa den genom att navigera till [https://vault.bitwarden.com](https://vault.bitwarden.com), ange din e-postadress och välja knappen **Använd enkel inloggning**:

![Log in options screen](https://bitwarden.com/assets/3BdlHeogd42LEoG06qROyQ/c68021df4bf45d72e9d37b1fbf5a6040/login.png)

Ange den [konfigurerade organisationsidentifieraren](https://bitwarden.com/sv-se/help/configure-sso-saml/#step-1-enabling-login-with-sso/) och välj **Logga in**. Om din implementering är framgångsrikt konfigurerad kommer du att omdirigeras till Microsofts inloggningsskärm:

![Azure login screen ](https://bitwarden.com/assets/j1YuXioPGFIwxsqfxCrpm/d0185848b3812c22940c6c5956e0b2be/az-login.png)

När du har autentiserat med dina Azure-uppgifter anger du ditt Bitwarden-huvudlösenord för att dekryptera ditt valv!

> [!NOTE] Azure directory app registration
> Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden. Entra ID SAML administrators can setup an Enterprise application for users to be directed to the Bitwarden SSO login page:
> 
> 1. Disable the existing Bitwarden button in the **All Applications** page by navigating to the current Bitwarden enterprise Application, selecting **Properties**, and setting the **Visible to users** option to **No**.
> 2. Create a new app registration by navigating to **Enterprise applications**and selecting **New application**.
> 3. Select **Create your own application**.
> 4. Provide a name for the application such as **Bitwarden**, then select **Integrate any other application you don't find in the gallery (Non-gallery)**. Once you have finished, select **Create**.
> 5. Once the app has been created, navigate to **Single sign-on** located on the navigation menu. Select **Linked**.
> 6. Add the following settings to the application:
> 
> 1. Set the **Sign on URL**to your Bitwarden client login page, such as `https://vault.bitwarden.com/#/sso`. Then, select **Save**.
> 2. You may change the logo for end-user recognition in **Properties**. You can retrieve the Bitwarden logo [here](https://github.com/bitwarden/brand).
> 
> Once this process has been completed, assigned users will have a Bitwarden application that will link them directly to the Bitwarden web vault SSO login page.