Okta OIDC Implementierung
Dieser Artikel enthält Okta-spezifische Hilfe zur Konfiguration der Zugangsdaten mit SSO über OpenID Connect (OIDC). Für Hilfe bei der Konfiguration der Zugangsdaten mit SSO für einen anderen OIDC IdP oder bei der Konfiguration von Okta über SAML 2.0, siehe OIDC Konfiguration oder Okta SAML Implementierung.
Die Konfiguration beinhaltet die gleichzeitige Arbeit innerhalb der Bitwarden-Web-App und des Okta-Administrator-Portals. Während Sie fortfahren, empfehlen wir, beides griffbereit zu haben und die Schritte in der Reihenfolge durchzuführen, in der sie dokumentiert sind.
Melden Sie sich bei der Bitwarden Web-App an und öffnen Sie die Administrator-Konsole mit dem Produktumschalter ():
Wählen Sie Einstellungen → Einmaliges Anmelden aus der Navigation:
Wenn Sie es noch nicht getan haben, erstellen Sie einen einzigartigen SSO-Identifier für Ihre Organisation. Andernfalls müssen Sie auf diesem Bildschirm noch nichts bearbeiten, lassen Sie ihn aber offen, um ihn leicht referenzieren zu können.
Tipp
Es gibt alternative Mitglied Entschlüsselungsoptionen. Erfahren Sie, wie Sie mit SSO auf vertrauenswürdigen Geräten oder mit Key Connector beginnen können.
Im Okta Administrator Portal wählen Sie Anwendungen → Anwendungen aus der Navigation aus. Auf dem Anwendungsbildschirm wählen Sie die Schaltfläche App-Integration erstellen. Für die Anmeldemethode wählen Sie OIDC - OpenID Connect. Für den Anwendungstyp wählen Sie Webanwendung:
Auf dem Bildschirm für die Integration der neuen Web-App konfigurieren Sie die folgenden Felder:
Feld | Beschreibung |
|---|---|
Name der App-Integration | Geben Sie der App einen Bitwarden-spezifischen Namen. |
Zuschusstyp | Aktivieren Sie die folgenden Zulassungs-Typen: |
Anmeldeumleitungs-URIs | Setzen Sie dieses Feld auf Ihren Callback-Pfad, den Sie vom Bitwarden SSO-Konfigurationsbildschirm abrufen können. |
Abmelde-Umleitungs-URIs | Setzen Sie dieses Feld auf Ihren Abgemeldet Callback Pfad, den Sie vom Bitwarden SSO Konfigurationsbildschirm abrufen können. |
Aufgaben | Verwenden Sie dieses Feld, um festzulegen, ob alle oder nur ausgewählte Gruppen in der Lage sein werden, Bitwarden Zugangsdaten mit SSO zu verwenden. |
Einmal konfiguriert, wählen Sie die Weiter Schaltfläche.
Auf dem Anwendungsbildschirm, kopieren Sie die Client ID und Client Geheimnis für die neu erstellte Okta-App:
Sie werden beide Werte in einem späteren Schritt benötigen.
Wählen Sie Sicherheit → API aus der Navigation. Aus der Liste der Autorisierungsserver wählen Sie den Server aus, den Sie für diese Implementierung verwenden möchten. Auf dem Einstellungen Tab für den Server, kopieren Sie die Aussteller und Metadaten URI Werte:
Sie müssen beide Werte im nächsten Schritt verwenden.
Bis zu diesem Zeitpunkt haben Sie alles konfiguriert, was Sie im Kontext des Okta Administrator Portals benötigen. Kehren Sie zur Bitwarden-Web-App zurück, um die folgenden Felder zu konfigurieren:
Feld | Beschreibung |
|---|---|
Zertifizierungsstelle | Geben Sie die abgerufene Aussteller-URI für Ihren Autorisierungsserver ein. |
Client-ID | Geben Sie die abgerufene Client-ID für Ihre Okta-App ein. |
Client-Geheimnis | Geben Sie das abgerufene Client-Geheimnis für Ihre Okta-App ein. |
Metadatenadresse | Geben Sie die abgerufene Metadaten-URI für Ihren Autorisierungsserver ein. |
OIDC-Umleitungsverhalten | Wählen Sie GET umleiten. Okta unterstützt derzeit kein Form POST. |
Fordere Ansprüche vom Benutzerinformations-Endpunkt an | Aktivieren Sie diese Option, wenn Sie Fehlermeldungen erhalten, dass die URL zu lang ist (HTTP 414), abgeschnittene URLs und/oder Fehler während des SSO auftreten. |
Zusätzliche/Individuelle Bereiche | Definieren Sie benutzerdefinierte Bereiche, die der Anfrage hinzugefügt werden sollen (durch Kommas getrennt). |
Zusätzliche/Benutzerdefinierte Benutzer-ID-Anspruchs-Typen | Definieren Sie benutzerdefinierte Schlüssel für den Anspruchstyp zur Benutzeridentifikation (durch Kommas getrennt). Wenn definiert, werden benutzerdefinierte Anspruchstypen gesucht, bevor auf Standardtypen zurückgegriffen wird. |
Zusätzliche/angepasste E-Mail-Adresse Anspruchstypen | Definieren Sie benutzerdefinierte Anspruchstyp-Schlüssel für die E-Mail-Adressen der Benutzer (durch Kommas getrennt). Wenn definiert, werden benutzerdefinierte Anspruchstypen gesucht, bevor auf Standardtypen zurückgegriffen wird. |
Zusätzliche/angepasste Namensanspruchs-Typen | Definieren Sie benutzerdefinierte Anspruchstypschlüssel für die vollständigen Namen oder Anzeigenamen der Benutzer (durch Kommas getrennt). Wenn definiert, werden benutzerdefinierte Anspruchstypen gesucht, bevor auf Standardtypen zurückgegriffen wird. |
Angeforderte Authentifizierungskontextklassenreferenzwerte | Definieren Sie Authentifizierungskontextklassenreferenz-Identifikatoren ( |
Erwarteter "acr" Anspruchswert in der Antwort | Definieren Sie den |
Wenn Sie mit der Konfiguration dieser Felder fertig sind, Speichern Sie Ihre Arbeit.
Tipp
Sie können Benutzer dazu auffordern, sich mit SSO anzumelden, indem Sie die Richtlinie für die Authentifizierung mit Single Sign-On aktivieren. Bitte beachten Sie, dass dies auch die Aktivierung der Einzelorganisation-Richtlinie erfordern wird. Erfahren Sie mehr.
Sobald Ihre Konfiguration abgeschlossen ist, testen Sie diese, indem Sie zu https://vault.bitwarden.com navigieren, Ihre E-Mail-Adresse eingeben, Weiter auswählen und den Enterprise Single-On Button auswählen:
Geben Sie die konfigurierte Organisationskennung ein und wählen Sie Anmelden. Wenn Ihre Implementierung erfolgreich konfiguriert ist, werden Sie zur Okta Zugangsdaten Bildschirm weitergeleitet:
Nachdem Sie sich mit Ihren Okta-Anmeldeinformationen authentifiziert haben, geben Sie Ihr Bitwarden Master-Passwort ein, um Ihren Tresor zu entschlüsseln!
Hinweis
Bitwarden unterstützt keine unaufgeforderten Antworten, daher führt das Initiieren von Zugangsdaten von Ihrem IdP zu einem Fehler. Der SSO-Zugangsdaten-Fluss muss von Bitwarden aus gestartet werden. Okta-Administratoren können eine Okta-Lesezeichen-App erstellen, die direkt zur Bitwarden-Web-Tresor-Zugangsdaten-Seite verlinkt.
Als Administrator navigieren Sie zu dem Dropdown-Menü Anwendungen, das sich in der Hauptnavigationsleiste befindet, und wählen Sie Anwendungen aus.
Klicken Sie auf App-Katalog durchsuchen.
Suchen Sie nach Lesezeichen App und klicken Sie auf Integration hinzufügen.
Fügen Sie die folgenden Einstellungen zur Anwendung hinzu:
Geben Sie der Anwendung einen Namen wie zum Beispiel Bitwarden Zugangsdaten.
Im Feld URL geben Sie die URL zu Ihrem Bitwarden-Client an, wie zum Beispiel
https://vault.bitwarden.com/#/Zugangsdatenoderyour-self-hostedURL.com.
Wählen Sie Fertig und kehren Sie zum Anwendungs-Dashboard zurück und bearbeiten Sie die neu erstellte App.
Weisen Sie Personen und Gruppen der Anwendung zu. Sie können der Anwendung auch ein Logo zuweisen, damit sie vom Endbenutzer erkannt wird. Das Bitwarden-Logo kann hier abgerufen werden.
Sobald dieser Prozess abgeschlossen ist, haben zugewiesene Personen und Gruppen eine Bitwarden-Lesezeichenanwendung auf ihrem Okta-Dashboard, die sie direkt zur Zugangsdaten-Seite des Bitwarden-Web-Tresors verlinkt.