ADFS OIDC Implementierung
Dieser Artikel enthält Active Directory Federation Services (AD FS)-spezifische Hilfe zur Konfiguration der Zugangsdaten mit SSO über OpenID Connect (OIDC). Für Hilfe bei der Konfiguration der Zugangsdaten mit SSO für einen anderen OIDC IdP oder bei der Konfiguration von AD FS über SAML 2.0, siehe OIDC Konfiguration oder ADFS SAML Implementierung.
Die Konfiguration beinhaltet das gleichzeitige Arbeiten innerhalb der Bitwarden-Web-App und dem AD FS Server-Manager. Während Sie fortfahren, empfehlen wir, beides griffbereit zu haben und die Schritte in der Reihenfolge durchzuführen, in der sie dokumentiert sind.
Melden Sie sich bei der Bitwarden Web-App an und öffnen Sie die Administrator-Konsole mit dem Produktumschalter ():
Wählen Sie Einstellungen → Einmaliges Anmelden aus der Navigation:
Wenn Sie es noch nicht getan haben, erstellen Sie einen einzigartigen SSO-Identifier für Ihre Organisation. Andernfalls müssen Sie auf diesem Bildschirm noch nichts bearbeiten, lassen Sie ihn aber offen, um ihn leicht referenzieren zu können.
Tipp
Es gibt alternative Mitglied Entschlüsselungsoptionen. Erfahren Sie, wie Sie mit SSO auf vertrauenswürdigen Geräten oder mit Key Connector beginnen können.
Im Server-Manager navigieren Sie zu AD FS Verwaltung und erstellen eine neue Anwendungsgruppe:
Im Konsolenbaum wählen Sie Anwendungsgruppen und wählen Sie Anwendungsgruppe hinzufügen aus der Aktionsliste.
Auf dem Willkommensbildschirm des Assistenten wählen Sie die Vorlage Serveranwendung, die auf eine Web-API zugreift.
AD FS Anwendung Gruppe hinzufügen Auf dem Serveranwendungs-Bildschirm:
AD FS Server Anwendungsbildschirm Geben Sie der Serveranwendung einen Namen.
Notieren Sie die Client-Kennung. Sie werden diesen Wert in einem nachfolgenden Schritt benötigen.
Geben Sie eine Weiterleitungs-URI an. Für Kunden, die in der Cloud gehostet werden, ist dies
https://sso.bitwarden.com/oidc-signinoderhttps://sso.bitwarden.eu/oidc-signin. Für selbst gehostete Instanzen wird dies durch Ihre konfigurierte Server-URL bestimmt, zum Beispielhttps://your.domain.com/sso/oidc-signin.
Auf dem Bildschirm zur Konfiguration der Anwendungsdaten, nehmen Sie eine Notiz vom Client Secret. Sie werden diesen Wert in einem nachfolgenden Schritt benötigen.
Auf dem Konfigurationsbildschirm für die Web-API:
AD FS Konfigurationsbildschirm für Web API Geben Sie der Web-API einen Namen.
Fügen Sie die Client-Kennung und die Weiterleitungs-URI (siehe Schritt 2B. & C.) zur Kennungsliste hinzu.
Auf dem Bildschirm "Zugriffskontrollrichtlinie anwenden" legen Sie eine geeignete Zugriffskontrollrichtlinie für die Anwendungsgruppe fest.
Auf dem Bildschirm zur Konfiguration der Anwendungsberechtigungen, erlauben Sie die Bereiche
allatclaimsundopenid.
AD FS Anwendungsberechtigungen konfigurieren Bildschirm Schließen Sie den Assistenten zum Hinzufügen von Anwendungsgruppen ab.
Im Server-Manager navigieren Sie zu AD FS Verwaltung und bearbeiten die erstellte Anwendungsgruppe:
Im Konsolenbaum wählen Sie Anwendungsgruppen.
In der Liste der Anwendungsgruppen klicken Sie mit der rechten Maustaste auf die erstellte Anwendungsgruppe und wählen Sie Eigenschaften aus.
Im Abschnitt Anwendungen wählen Sie die Web API und wählen Bearbeiten... .
Navigieren Sie zum Ausgabenumwandlungsregeln Tab und wählen Sie die Regel hinzufügen... Schaltfläche aus.
Auf dem Bildschirm Regeltyp auswählen, wählen Sie Senden Sie LDAP-Attribute als Ansprüche.
Auf dem Bildschirm "Anspruchsregel konfigurieren":
AD FS Konfigurationsbildschirm für Anspruchsregel Geben Sie der Regel einen Anspruchsregelnamen.
Aus dem LDAP-Attribut-Dropdown wählen Sie E-Mail-Adressen.
Wählen Sie aus dem Dropdown-Menü für den ausgehenden Anspruchstyp E-Mail-Adresse.
Auswählen Fertig.
Bis zu diesem Zeitpunkt haben Sie alles, was Sie im Rahmen des AD FS Server Manager benötigen, konfiguriert. Kehren Sie zur Bitwarden-Webanwendung zurück, um die folgenden Felder zu konfigurieren:
Feld | Beschreibung |
|---|---|
Zertifizierungsstelle | Geben Sie den Hostnamen Ihres AD FS-Servers mit |
Client-ID | Geben Sie die abgerufene Client ID ein. |
Clientgeheimnis | Geben Sie das abgerufene Client-Geheimnis ein. |
Metadatenadresse | Geben Sie den angegebenen Authority-Wert mit |
OIDC-Umleitungsverhalten | Wählen Sie GET umleiten. |
Ansprüche vom Benutzer Info-Endpunkt erhalten | Aktivieren Sie diese Option, wenn Sie Fehlermeldungen erhalten, dass die URL zu lang ist (HTTP 414), abgeschnittene URLs und/oder Fehler während des SSO auftreten. |
Benutzerdefinierte Bereiche | Definieren Sie benutzerdefinierte Bereiche, die der Anfrage hinzugefügt werden sollen (durch Kommas getrennt). |
Kundennutzer-ID-Anspruchstypen | Definieren Sie benutzerdefinierte Schlüssel für den Anspruchstyp zur Benutzeridentifikation (durch Kommas getrennt). Wenn definiert, werden benutzerdefinierte Anspruchstypen gesucht, bevor auf Standardtypen zurückgegriffen wird. |
E-Mail-Adresse Anspruchstypen | Definieren Sie benutzerdefinierte Anspruchstyp-Schlüssel für die E-Mail-Adressen der Benutzer (durch Kommas getrennt). Wenn definiert, werden benutzerdefinierte Anspruchstypen gesucht, bevor auf Standardtypen zurückgegriffen wird. |
Benutzerdefinierte Namensanspruchs-Typen | Definieren Sie benutzerdefinierte Anspruchstyp-Schlüssel für die vollständigen Namen oder Anzeigenamen der Benutzer (durch Kommas getrennt). Wenn definiert, werden benutzerdefinierte Anspruchstypen gesucht, bevor auf Standardtypen zurückgegriffen wird. |
Angeforderte Authentifizierungskontextklassenreferenzwerte | Definieren Sie Authentifizierungskontextklassenreferenz-Identifikatoren ( |
Erwarteter "acr" Anspruchswert in der Antwort | Definieren Sie den |
Wenn Sie mit der Konfiguration dieser Felder fertig sind, Speichern Sie Ihre Arbeit.
Tipp
Sie können Benutzer dazu auffordern, sich mit SSO anzumelden, indem Sie die Richtlinie für die Authentifizierung mit Single Sign-On aktivieren. Bitte beachten Sie, dass dies auch die Aktivierung der Einzelorganisation-Richtlinie erfordern wird. Erfahren Sie mehr.
Sobald Ihre Konfiguration abgeschlossen ist, testen Sie diese, indem Sie zu https://vault.bitwarden.com navigieren, Ihre E-Mail-Adresse eingeben, Weiter auswählen und den Enterprise Single-On Button auswählen:
Geben Sie die konfigurierte Organisation ID ein und wählen Sie Anmelden. Wenn Ihre Implementierung erfolgreich konfiguriert ist, werden Sie zum AD FS SSO Zugangsdaten-Bildschirm weitergeleitet. Nachdem Sie sich mit Ihren AD FS-Anmeldeinformationen authentifiziert haben, geben Sie Ihr Bitwarden Master-Passwort ein, um Ihren Tresor zu entschlüsseln!
Hinweis
Bitwarden unterstützt keine unaufgeforderten Antworten, daher führt das Initiieren von Zugangsdaten von Ihrem IdP zu einem Fehler. Der SSO-Zugangsdaten-Fluss muss von Bitwarden aus initiiert werden.