Okta SAML Implementering
Den här artikeln innehåller Okta-specifik hjälp för att konfigurera inloggning med SSO via SAML 2.0. För hjälp med att konfigurera inloggning med SSO för en annan IdP, se SAML 2.0 Configuration.
Konfiguration innebär att arbeta samtidigt inom Bitwarden webbapp och Okta Admin Portal. När du fortsätter rekommenderar vi att du har både lättillgängliga och att du slutför stegen i den ordning de är dokumenterade.
tip
Already an SSO expert? Skip the instructions in this article and download screenshots of sample configurations to compare against your own.
Öppna SSO i webbappen
Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:
Öppna din organisations Inställningar → Enkel inloggningsskärm:
Om du inte redan har gjort det, skapa en unik SSO-identifierare för din organisation och välj SAML från rullgardinsmenyn Typ. Håll den här skärmen öppen för enkel referens.
Du kan stänga av alternativet Ange ett unikt SP-enhets-ID i detta skede om du vill. Om du gör det kommer ditt organisations-ID att tas bort från ditt SP-enhets-ID-värde, men i nästan alla fall rekommenderas det att du låter det här alternativet vara aktiverat.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Skapa en Okta-applikation
I Okta Admin Portal väljer du Applikationer → Applikationer från navigeringen. På programskärmen väljer du knappen Skapa appintegration:
I dialogrutan Skapa en ny applikationsintegration väljer du alternativknappen SAML 2.0:
Välj knappen Nästa för att fortsätta till konfigurationen.
Allmänna inställningar
På skärmen Allmänna inställningar, ge applikationen ett unikt, Bitwarden-specifikt namn och välj Nästa.
Konfigurera SAML
På skärmen Konfigurera SAML konfigurerar du följande fält:
Fält | Beskrivning |
|---|---|
Single sign on URL | Ställ in det här fältet till den förgenererade webbadressen för Assertion Consumer Service (ACS). Detta automatiskt genererade värde kan kopieras från organisationens Inställningar → Enkel inloggningsskärm och kommer att variera beroende på dina inställningar. |
Målgrupps-URI (SP Entity ID) | Ställ in det här fältet till det förgenererade SP Entity ID. Detta automatiskt genererade värde kan kopieras från organisationens Inställningar → Enkel inloggningsskärm och kommer att variera beroende på dina inställningar. |
Namn-ID-format | Välj det SAML NameID-format som ska användas i SAML-påståenden. Som standard, Ospecificerat. |
Användarnamn för programmet | Välj Okta-attributet som användare ska använda för att logga in på Bitwarden, vanligtvis e-post. |
Avancerade inställningar
Välj länken Visa avancerade inställningar och konfigurera följande fält:
Fält | Beskrivning |
|---|---|
Svar | Om SAML-svaret är signerat av Okta. |
Påstående signatur | Om SAML-påståendet är undertecknat av Okta. |
Signaturalgoritm | Signeringsalgoritmen som används för att signera svaret och/eller påståendet, beroende på vilken som är inställd på Signed. Som standard är |
Sammanfattningsalgoritm | Sammanfattningsalgoritmen som används för att signera svaret och/eller påståendet, beroende på vilken som är inställd på Signed. Detta fält måste matcha den valda signaturalgoritmen. |
Attribut uttalanden
I avsnittet Attributsatser, konstruera följande SP → IdP-attributmappningar:
När du har konfigurerat, välj knappen Nästa för att gå vidare till Feedback-skärmen och välj Slutför.
Få IdP-värden
När din applikation har skapats, välj fliken Logga in för appen och välj knappen Visa installationsinstruktioner som finns till höger på skärmen:
Lämna antingen den här sidan för framtida bruk, eller kopiera identitetsleverantörens enkel inloggnings-URL och identitetsleverantörsutfärdaren och ladda ner X.509-certifikatet:
Uppdrag
Navigera till fliken Tilldelningar och välj Tilldela-knappen:
Du kan tilldela åtkomst till programmet på en användare-för-användare-basis med hjälp av alternativet Tilldela till personer, eller i bulk med alternativet Tilldela till grupper.
Tillbaka till webbappen
Vid det här laget har du konfigurerat allt du behöver inom ramen för Okta Admin Portal. Gå tillbaka till Bitwarden-webbappen för att slutföra konfigurationen.
Skärmen för enkel inloggning delar upp konfigurationen i två sektioner:
SAML-tjänsteleverantörens konfiguration avgör formatet för SAML-förfrågningar.
Konfiguration av SAML-identitetsleverantör avgör vilket format som kan förväntas för SAML-svar.
Tjänsteleverantörens konfiguration
Konfigurera följande fält enligt de val som valts i Okta Admin Portal när appen skapades:
Fält | Beskrivning |
|---|---|
Namn-ID-format | Ställ in detta till vilket namn-ID-format som helst som anges i Okta, annars lämna Ospecificerat. |
Algoritm för utgående signering | Algoritmen Bitwarden kommer att använda för att signera SAML-förfrågningar. |
Signeringsbeteende | Om/när SAML-förfrågningar kommer att undertecknas. |
Minsta algoritm för inkommande signering | Ställ in detta på signaturalgoritmen som anges i Okta. |
Räkna med undertecknade påståenden | Markera den här rutan om du ställer in fältet Assertion Signature till Signed in Okta. |
Validera certifikat | Markera den här rutan när du använder betrodda och giltiga certifikat från din IdP genom en betrodd CA. Självsignerade certifikat kan misslyckas om inte korrekta förtroendekedjor är konfigurerade inom Bitwarden-inloggningen med SSO docker-bild. |
När du är klar med tjänsteleverantörens konfiguration, spara ditt arbete.
Identitetsleverantörskonfiguration
Identitetsleverantörskonfiguration kräver ofta att du går tillbaka till Okta Admin Portal för att hämta applikationsvärden:
Fält | Beskrivning |
|---|---|
Enhets-ID | Ange din identitetsleverantörsutgivare, hämtad från skärmen Okta Inloggningsinställningar genom att välja knappen Visa installationsinstruktioner. Det här fältet är skiftlägeskänsligt. |
Bindningstyp | Ställ in på omdirigering. Okta stöder för närvarande inte HTTP POST. |
Webbadress till tjänst för enkel inloggning | Ange din Identity Provider Single Sign-On URL, hämtad från Okta Sign On Settings-skärmen. |
Webbadress för enkel utloggning | Inloggning med SSO stöder för närvarande inte SLO. Det här alternativet är planerat för framtida utveckling, men du kan förkonfigurera det om du vill. |
X509 Offentligt certifikat | Klistra in det nedladdade certifikatet, ta bort
och |
Algoritm för utgående signering | Välj signaturalgoritmen som valts under Okta-appens konfiguration. Om du inte ändrade signaturalgoritmen, lämna standard ( |
Tillåt utgående utloggningsförfrågningar | Inloggning med SSO stöder för närvarande inte SLO. |
Vill ha signerade förfrågningar om autentisering | Om Okta förväntar sig att SAML-förfrågningar ska undertecknas. |
note
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
När du är klar med identitetsleverantörens konfiguration, spara ditt arbete.
tip
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Testa konfigurationen
När din konfiguration är klar, testa den genom att navigera till https://vault.bitwarden.com, ange din e-postadress och välja Enterprise Single-On-knappen:
Ange den konfigurerade organisationsidentifieraren och välj Logga in. Om din implementering har konfigurerats framgångsrikt kommer du att omdirigeras till Okta-inloggningsskärmen:
När du har autentiserat dig med dina Okta-uppgifter, ange ditt Bitwarden-huvudlösenord för att dekryptera ditt valv!
note
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden. Okta administrators can create an Okta Bookmark App that will link directly to the Bitwarden web vault login page.
As an admin, navigate to the Applications drop down located on the main navigation bar and select Applications.
Click Browse App Catalog.
Search for Bookmark App and click Add Integration.
Add the following settings to the application:
Give the application a name such as Bitwarden Login.
In the URL field, provide the URL to your Bitwarden client such as
https://vault.bitwarden.com/#/loginoryour-self-hostedURL.com.
Select Done and return to the applications dashboard and edit the newly created app.
Assign people and groups to the application. You may also assign a logo to the application for end user recognition. The Bitwarden logo can be obtained here.
Once this process has been completed, assigned people and groups will have a Bitwarden bookmark application on their Okta dashboard that will link them directly to the Bitwarden web vault login page.