Okta SAML Implementering
Den här artikeln innehåller Okta-specifik hjälp för att konfigurera inloggning med SSO via SAML 2.0. För hjälp med att konfigurera inloggning med SSO för en annan IdP, se SAML 2.0 Configuration.
Konfiguration innebär att arbeta samtidigt inom Bitwarden webbapp och Okta Admin Portal. När du fortsätter rekommenderar vi att du har både lättillgängliga och att du slutför stegen i den ordning de är dokumenterade.
Öppna SSO i webbappen
Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:
Öppna din organisations Inställningar → Enkel inloggningsskärm:
Om du inte redan har gjort det, skapa en unik SSO-identifierare för din organisation och välj SAML från rullgardinsmenyn Typ. Håll den här skärmen öppen för enkel referens.
Du kan stänga av alternativet Ange ett unikt SP-enhets-ID i detta skede om du vill. Om du gör det kommer ditt organisations-ID att tas bort från ditt SP-enhets-ID-värde, men i nästan alla fall rekommenderas det att du låter det här alternativet vara aktiverat.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Skapa en Okta-applikation
I Okta Admin Portal väljer du Applikationer → Applikationer från navigeringen. På programskärmen väljer du knappen Skapa appintegration:
I dialogrutan Skapa en ny applikationsintegration väljer du alternativknappen SAML 2.0:
Välj knappen Nästa för att fortsätta till konfigurationen.
Allmänna inställningar
På skärmen Allmänna inställningar, ge applikationen ett unikt, Bitwarden-specifikt namn och välj Nästa.
Konfigurera SAML
På skärmen Konfigurera SAML konfigurerar du följande fält:
Fält | Beskrivning |
|---|---|
Single sign on URL | Ställ in det här fältet till den förgenererade webbadressen för Assertion Consumer Service (ACS). Detta automatiskt genererade värde kan kopieras från organisationens Inställningar → Enkel inloggningsskärm och kommer att variera beroende på dina inställningar. |
Målgrupps-URI (SP Entity ID) | Ställ in det här fältet till det förgenererade SP Entity ID. Detta automatiskt genererade värde kan kopieras från organisationens Inställningar → Enkel inloggningsskärm och kommer att variera beroende på dina inställningar. |
Namn-ID-format | Välj det SAML NameID-format som ska användas i SAML-påståenden. Som standard, Ospecificerat. |
Användarnamn för programmet | Välj Okta-attributet som användare ska använda för att logga in på Bitwarden, vanligtvis e-post. |
Avancerade inställningar
Välj länken Visa avancerade inställningar och konfigurera följande fält:
Fält | Beskrivning |
|---|---|
Svar | Om SAML-svaret är signerat av Okta. |
Påstående signatur | Om SAML-påståendet är undertecknat av Okta. |
Signaturalgoritm | Signeringsalgoritmen som används för att signera svaret och/eller påståendet, beroende på vilken som är inställd på Signed. Som standard är |
Sammanfattningsalgoritm | Sammanfattningsalgoritmen som används för att signera svaret och/eller påståendet, beroende på vilken som är inställd på Signed. Detta fält måste matcha den valda signaturalgoritmen. |
Attribut uttalanden
I avsnittet Attributsatser, konstruera följande SP → IdP-attributmappningar:
När du har konfigurerat, välj knappen Nästa för att gå vidare till Feedback-skärmen och välj Slutför.
Få IdP-värden
När din applikation har skapats, välj fliken Logga in för appen och välj knappen Visa installationsinstruktioner som finns till höger på skärmen:
Lämna antingen den här sidan för framtida bruk, eller kopiera identitetsleverantörens enkel inloggnings-URL och identitetsleverantörsutfärdaren och ladda ner X.509-certifikatet:
Uppdrag
Navigera till fliken Tilldelningar och välj Tilldela-knappen:
Du kan tilldela åtkomst till programmet på en användare-för-användare-basis med hjälp av alternativet Tilldela till personer, eller i bulk med alternativet Tilldela till grupper.
Tillbaka till webbappen
Vid det här laget har du konfigurerat allt du behöver inom ramen för Okta Admin Portal. Gå tillbaka till Bitwarden-webbappen för att slutföra konfigurationen.
Skärmen för enkel inloggning delar upp konfigurationen i två sektioner:
SAML-tjänsteleverantörens konfiguration avgör formatet för SAML-förfrågningar.
Konfiguration av SAML-identitetsleverantör avgör vilket format som kan förväntas för SAML-svar.
Tjänsteleverantörens konfiguration
Konfigurera följande fält enligt de val som valts i Okta Admin Portal när appen skapades:
Fält | Beskrivning |
|---|---|
Namn-ID-format | Ställ in detta till vilket namn-ID-format som helst som anges i Okta, annars lämna Ospecificerat. |
Algoritm för utgående signering | Algoritmen Bitwarden kommer att använda för att signera SAML-förfrågningar. |
Signeringsbeteende | Om/när SAML-förfrågningar kommer att undertecknas. |
Minsta algoritm för inkommande signering | Ställ in detta på signaturalgoritmen som anges i Okta. |
Räkna med undertecknade påståenden | Markera den här rutan om du ställer in fältet Assertion Signature till Signed in Okta. |
Validera certifikat | Markera den här rutan när du använder betrodda och giltiga certifikat från din IdP genom en betrodd CA. Självsignerade certifikat kan misslyckas om inte korrekta förtroendekedjor är konfigurerade inom Bitwarden-inloggningen med SSO docker-bild. |
När du är klar med tjänsteleverantörens konfiguration, spara ditt arbete.
Identitetsleverantörskonfiguration
Identitetsleverantörskonfiguration kräver ofta att du går tillbaka till Okta Admin Portal för att hämta applikationsvärden:
Fält | Beskrivning |
|---|---|
Enhets-ID | Ange din identitetsleverantörsutgivare, hämtad från skärmen Okta Inloggningsinställningar genom att välja knappen Visa installationsinstruktioner. Det här fältet är skiftlägeskänsligt. |
Bindningstyp | Ställ in på omdirigering. Okta stöder för närvarande inte HTTP POST. |
Webbadress till tjänst för enkel inloggning | Ange din Identity Provider Single Sign-On URL, hämtad från Okta Sign On Settings-skärmen. |
Webbadress för enkel utloggning | Inloggning med SSO stöder för närvarande inte SLO. Det här alternativet är planerat för framtida utveckling, men du kan förkonfigurera det om du vill. |
X509 Offentligt certifikat | Klistra in det nedladdade certifikatet, ta bort
och |
Algoritm för utgående signering | Välj signaturalgoritmen som valts under Okta-appens konfiguration. Om du inte ändrade signaturalgoritmen, lämna standard ( |
Tillåt utgående utloggningsförfrågningar | Inloggning med SSO stöder för närvarande inte SLO. |
Vill ha signerade förfrågningar om autentisering | Om Okta förväntar sig att SAML-förfrågningar ska undertecknas. |
note
När du fyller i X509-certifikatet, notera utgångsdatumet. Certifikaten kommer att behöva förnyas för att förhindra eventuella avbrott i tjänsten för SSO-slutanvändare. Om ett certifikat har löpt ut kommer administratörs- och ägarkonton alltid att kunna logga in med e-postadress och huvudlösenord.
När du är klar med identitetsleverantörens konfiguration, spara ditt arbete.
tip
Du kan kräva att användare loggar in med SSO genom att aktivera autentiseringspolicyn för enkel inloggning. Observera att detta även kräver aktivering av policyn för en enda organisation. Läs mer.
Testa konfigurationen
När din konfiguration är klar, testa den genom att navigera till https://vault.bitwarden.com, ange din e-postadress och välja Enterprise Single-On-knappen:
Ange den konfigurerade organisationsidentifieraren och välj Logga in. Om din implementering har konfigurerats framgångsrikt kommer du att omdirigeras till Okta-inloggningsskärmen:
När du har autentiserat dig med dina Okta-uppgifter, ange ditt Bitwarden-huvudlösenord för att dekryptera ditt valv!
tip
Bitwarden stöder inte oönskade svar, så att initiera inloggning från din IdP kommer att resultera i ett fel. SSO-inloggningsflödet måste initieras från Bitwarden. Okta-administratörer kan skapa en Okta Bookmark-app som länkar direkt till inloggningssidan för Bitwarden webbvalv.
Som administratör, navigera till rullgardinsmenyn Appar som finns i huvudnavigeringsfältet och välj Applikationer.
Klicka på Bläddra i appkatalog.
Sök efter bokmärkesapp och klicka på Lägg till integration.
Lägg till följande inställningar i programmet:
Ge applikationen ett namn som Bitwarden Login.
I URL-fältet anger du webbadressen till din Bitwarden-klient som
https://vault.bitwarden.com/#/loginelleryour-self-hostedURL.com.
Välj Klart och återgå till appinstrumentpanelen och redigera den nyskapade appen.
Tilldela personer och grupper till applikationen. Du kan också tilldela en logotyp till applikationen för slutanvändarigenkänning. Bitwardens logotyp kan erhållas här.
När denna process har slutförts kommer tilldelade personer och grupper att ha en Bitwarden-bokmärkesapplikation på sin Okta-instrumentpanel som länkar dem direkt till Bitwardens webbvalvsinloggningssida.