Administrator KonsoleMelden Sie sich mit SSO an

Microsoft Entra ID SAML Implementierung

Dieser Artikel enthält Azure-spezifische Hilfe zur Konfiguration der Zugangsdaten mit SSO über SAML 2.0. Für Hilfe bei der Konfiguration der Zugangsdaten mit SSO für einen anderen IdP, verweisen Sie auf SAML 2.0 Konfiguration.

Die Konfiguration beinhaltet die gleichzeitige Arbeit mit der Bitwarden-Web-App und dem Azure-Portal. Während Sie fortfahren, empfehlen wir, beides griffbereit zu haben und die Schritte in der Reihenfolge durchzuführen, in der sie dokumentiert sind.

Tipp

Bereits ein SSO-Experte? Überspringen Sie die Anweisungen in diesem Artikel und laden Sie Screenshots von Beispielkonfigurationen herunter, um sie mit Ihren eigenen zu vergleichen.

Typ: Asset-Hyperlink ID: 7CKe4TX98FPF86eAimKgak

Öffnen Sie SSO in der Web-App

Melden Sie sich bei der Bitwarden-Web-App an und öffnen Sie die Administrator-Konsole mit dem Produktumschalter ():

Produktwechsler
Produktwechsler

Öffnen Sie die Einstellungen Ihrer Organisation → Einmaliges Anmelden Bildschirm:

SAML 2.0 Konfiguration
SAML 2.0 Konfiguration

Wenn Sie es noch nicht getan haben, erstellen Sie einen einzigartigen SSO-Identifikator für Ihre Organisation und wählen Sie SAML aus dem Typ-Dropdown aus. Lassen Sie diesen Bildschirm geöffnet, um leicht darauf zugreifen zu können.

Sie können die Option Legen Sie eine eindeutige SP-Entitäts-ID fest in diesem Stadium ausschalten, wenn Sie möchten. Wenn Sie dies tun, wird Ihre Organisations-ID aus Ihrem SP-Entity-ID-Wert entfernt. In fast allen Fällen wird jedoch empfohlen, diese Option aktiviert zu lassen.

Tipp

Es gibt alternative Mitglied Entschlüsselungsoptionen. Erfahren Sie, wie Sie mit SSO auf vertrauenswürdigen Geräten oder mit Key Connector beginnen können.

Erstellen Sie eine Enterprise-Anwendung

Im Azure Portal navigieren Sie zu Microsoft Entra ID und wählen Sie Enterprise-Anwendungen aus dem Navigationsmenü aus:

Enterprise-Anwendungen
Enterprise-Anwendungen

Wählen Sie die Neue Anwendung Schaltfläche:

Erstellen Sie eine neue Anwendung
Erstellen Sie eine neue Anwendung

Auf dem Bildschirm Microsoft Entra ID Galerie durchsuchen, wählen Sie die Schaltfläche Erstellen Sie Ihre eigene Anwendung:

Erstellen Sie Ihre eigene Anwendung
Erstellen Sie Ihre eigene Anwendung

Auf dem Bildschirm "Erstellen Sie Ihre eigene Anwendung" geben Sie der Anwendung einen einzigartigen, Bitwarden-spezifischen Namen und wählen Sie die Option (Nicht-Galerie) aus. Wenn Sie fertig sind, klicken Sie auf die Erstellen Schaltfläche.

Einzelanmeldung aktivieren

Vom Anwendungsübersichtsbildschirm aus wählen Sie Einmaliges Anmelden aus der Navigation:

Einzelanmeldung konfigurieren
Einzelanmeldung konfigurieren

Auf dem Single Sign-On Bildschirm, wählen Sie SAML.

SAML-Einrichtung

Grundlegende SAML-Konfiguration

Wählen Sie die Schaltfläche Bearbeiten und konfigurieren Sie die folgenden Felder:

Feld

Beschreibung

Kennzeichner (Entitäts-ID)

Setzen Sie dieses Feld auf die vorab generierte SP Entity ID.

Dieser automatisch generierte Wert kann von der EinstellungenSingle Sign-On Bildschirm der Organisation kopiert werden und variiert je nach Ihrer Konfiguration.

Antwort-URL (Assertion Consumer Service URL)

Setzen Sie dieses Feld auf die vorab generierte Assertion Consumer Service (ACS) URL.

Dieser automatisch generierte Wert kann von der EinstellungenSingle Sign-On Bildschirm der Organisation kopiert werden und variiert je nach Ihrer Konfiguration.

Anmelden bei URL

Legen Sie dieses Feld auf die Zugangsdaten-URL fest, von der aus Benutzer auf Bitwarden zugreifen werden.

Für Kunden, die in der Cloud gehostet werden, ist dies https://vault.bitwarden.com/#/sso oder https://vault.bitwarden.eu/#/sso. Für selbst gehostete Instanzen wird dies durch Ihre konfigurierte Server-URL bestimmt, zum Beispiel https://ihre-domain.com/#/sso.

Benutzerattribute & Ansprüche

Die standardmäßig von Azure erstellten Ansprüche funktionieren mit den Zugangsdaten mit SSO, jedoch können Sie optional diesen Abschnitt verwenden, um das von Azure in SAML-Antworten verwendete NameID-Format zu konfigurieren.

Wählen Sie die Bearbeiten Schaltfläche und wählen Sie den Eindeutigen Benutzeridentifikator (Name ID) Eintrag, um den NameID Anspruch zu bearbeiten:

Bearbeiten Sie die NameID-Anspruch
Bearbeiten Sie die NameID-Anspruch

Optionen beinhalten Standard, E-Mail-Adresse, Beständig, Unspezifiziert und Windows qualifizierter Domain-Name. Für weitere Informationen, siehe Microsoft Azure Dokumentation.

SAML-Signaturzertifikat

Laden Sie das Base64-Zertifikat für die Verwendung in einem späteren Schritt herunter.

Richten Sie Ihre Anwendung ein

Kopieren Sie oder machen Sie eine Notiz von der URL der Zugangsdaten und dem Microsoft Entra ID Identifier in diesem Abschnitt zur Verwendung in einem späteren Schritt:

Azure-URLs
Azure-URLs
Hinweis

Wenn Sie beim Anmelden über SSO Schlüssel-Fehlermeldungen erhalten, versuchen Sie stattdessen, die X509-Zertifikatsinformationen aus der Federation Metadata XML-Datei zu kopieren.

Benutzer und Gruppen

Wählen Sie Benutzer und Gruppen aus der Navigation aus:

Benutzer oder Gruppen zuweisen
Benutzer oder Gruppen zuweisen

Wählen Sie die Schaltfläche Benutzer/Gruppe hinzufügen, um den Zugangsdaten mit der SSO-Anwendung auf Benutzer- oder Gruppenebene Zugriff zu gewähren.

Zurück zur Web-App

Bis zu diesem Zeitpunkt haben Sie alles, was Sie im Kontext des Azure Portals benötigen, konfiguriert. Kehren Sie zur Bitwarden-Webanwendung zurück, um die Konfiguration abzuschließen.

Der Single-Sign-On-Bildschirm teilt die Konfiguration in zwei Abschnitte auf:

  • Die Konfiguration des SAML-Dienstanbieters bestimmt das Format der SAML-Anfragen.

  • Durch die Konfiguration des SAML-Identitätsanbieters wird das zu erwartende Format für SAML-Antworten bestimmt.

Konfiguration des Dienstanbieters

Konfigurieren Sie die folgenden Felder:

Feld

Beschreibung

Namens-ID-Format

Standardmäßig wird Azure die E-Mail-Adresse verwenden. Wenn Sie diese Einstellung geändert haben, wählen Sie den entsprechenden Wert aus. Andernfalls setzen Sie dieses Feld auf Nicht spezifiziert oder E-Mail-Adresse.

Ausgehendes Signaturalgorithmus

Der Algorithmus, den Bitwarden zur Signierung von SAML-Anfragen verwenden wird.

Unterzeichnungsverhalten

Ob/wann SAML-Anfragen signiert werden.

Mindesteingehendes Signaturalgorithmus

Standardmäßig wird Azure mit RSA SHA-256 signieren. Wählen Sie rsa-sha256 aus dem Dropdown-Menü.

Möchte Behauptungen unterschrieben haben

Ob Bitwarden erwartet, dass SAML-Behauptungen signiert werden.

Zertifikate validieren

Markieren Sie dieses Kästchen, wenn Sie vertrauenswürdige und gültige Zertifikate von Ihrem IdP über eine vertrauenswürdige CA verwenden. Selbstsignierte Zertifikate können fehlschlagen, es sei denn, die richtigen Vertrauensketten sind mit den Bitwarden Zugangsdaten mit SSO Docker-Image konfiguriert.

Wenn Sie mit der Konfiguration des Dienstanbieters fertig sind, speichern Sie Ihre Arbeit.

Konfiguration des Identitätsanbieters

Die Konfiguration des Identitätsanbieters erfordert oft, dass Sie auf das Azure Portal zurückverweisen, um Anwendungswerte abzurufen:

Feld

Beschreibung

Entitäts-ID

Geben Sie Ihre Microsoft Entra ID-Kennung ein, die Sie aus dem Abschnitt Richten Sie Ihre Anwendung ein des Azure-Portals abgerufen haben. Dieses Feld ist Groß- und Kleinschreibungssensitiv.

Bindungsart

Einstellen auf HTTP POST oder Umleitung.

Einmaliges Anmelden Service URL

Geben Sie Ihre Login URL ein, die Sie aus dem Abschnitt Richten Sie Ihre Anwendung ein des Azure Portals abgerufen haben.

URL des Einzelabmeldedienstes

Die Anmeldung mit SSO unterstützt derzeit nicht SLO. Diese Option ist für zukünftige Entwicklungen geplant, jedoch können Sie sie vorab mit Ihrer Abmelde-URL konfigurieren, wenn Sie möchten.

X509 Öffentliches Zertifikat

Fügen Sie das heruntergeladene Zertifikat ein und entfernen Sie es.

-----BEGIN ZERTIFIKAT-----

und

-----ENDE ZERTIFIKAT-----

Der Zertifikatswert ist Groß- und Kleinschreibungssensitiv, zusätzliche Leerzeichen, Zeilenumbrüche und andere überflüssige Zeichen werden dazu führen, dass die Zertifikatsvalidierung fehlschlägt.

Ausgehendes Signaturalgorithmus

Standardmäßig wird Azure mit RSA SHA-256 signieren. Wählen Sie rsa-sha256 aus dem Dropdown-Menü.

Deaktivieren Sie ausgehende Abmeldeanfragen

Die Anmeldung mit SSO unterstützt derzeit nicht SLO. Diese Option ist für zukünftige Entwicklungen geplant.

Möchte Authentifizierungsanfragen signiert haben

Ob Azure erwartet, dass SAML-Anfragen signiert werden.

Hinweis

Bei der Ausstellung des X509-Zertifikats, machen Sie eine Notiz vom Ablaufdatum. Zertifikate müssen erneuert werden, um jegliche Unterbrechungen im Dienst für SSO-Endbenutzer zu verhindern. Wenn ein Zertifikat abgelaufen ist, können sich Administrator- und Eigentümer-Konten immer mit E-Mail-Adresse und Master-Passwort anmelden.

Wenn Sie mit der Konfiguration des Identitätsanbieters fertig sind, speichern Sie Ihre Arbeit.

Tipp

Sie können Benutzer dazu auffordern, sich mit SSO anzumelden, indem Sie die Richtlinie für die Authentifizierung mit Single Sign-On aktivieren. Bitte beachten Sie, dass dies auch die Aktivierung der Einzelorganisation-Richtlinie erfordern wird. Erfahren Sie mehr.

Testen Sie die Konfiguration

Sobald Ihre Konfiguration abgeschlossen ist, testen Sie diese, indem Sie zu https://vault.bitwarden.com navigieren, Ihre E-Mail-Adresse eingeben, Weiter auswählen und den Enterprise Single-On Button auswählen:

Unternehmens Single Sign On und Master-Passwort
Unternehmens Single Sign On und Master-Passwort

Geben Sie die konfigurierte Organisationskennung ein und wählen Sie Anmelden. Wenn Ihre Implementierung erfolgreich konfiguriert ist, werden Sie zum Microsoft Zugangsdaten-Bildschirm weitergeleitet:

Azure Zugangsdaten Bildschirm
Azure Zugangsdaten Bildschirm

Nachdem Sie sich mit Ihren Azure-Anmeldeinformationen authentifiziert haben, geben Sie Ihr Bitwarden Master-Passwort ein, um Ihren Tresor zu entschlüsseln!

Hinweis

Bitwarden unterstützt keine unaufgeforderten Antworten, daher führt das Initiieren von Zugangsdaten von Ihrem IdP zu einem Fehler. Der SSO-Zugangsdaten-Fluss muss von Bitwarden aus initiiert werden. Azure SAML Administratoren können eine App-Registrierung einrichten, damit Benutzer zur Bitwarden Web-Tresor Zugangsdaten Seite weitergeleitet werden.

  1. Deaktivieren Sie die vorhandene Bitwarden-Schaltfläche auf der Alle Anwendungen-Seite, indem Sie zur aktuellen Bitwarden Enterprise-Anwendung navigieren und Eigenschaften auswählen und die Option Sichtbar für Benutzer auf Nein setzen.

  2. Erstellen Sie die App-Registrierung, indem Sie zu App-Registrierungen navigieren und Neue Registrierung auswählen.

  3. Geben Sie einen Namen für die Anwendung an, wie zum Beispiel Bitwarden SSO. Geben Sie keine Weiterleitungs-URL an. Wählen Sie Registrieren um das Forum abzuschließen.

  4. Sobald die App erstellt wurde, navigieren Sie zu Branding & Eigenschaften, das sich im Navigationsmenü befindet.

  5. Fügen Sie die folgenden Einstellungen zur Anwendung hinzu:

    1. Laden Sie ein Logo hoch für die Erkennung durch den Endbenutzer. Sie können das Bitwarden-Logo hier abrufen.

    2. Setzen Sie die Startseiten-URL auf Ihre Bitwarden Client Zugangsdaten Seite wie zum Beispiel https://vault.bitwarden.com/#/login oder your-self-hostedURL.com.

Sobald dieser Prozess abgeschlossen ist, haben zugewiesene Benutzer eine Bitwarden-Anwendung, die sie direkt zur Bitwarden-Web-Tresor-Zugangsdaten-Seite verlinkt.

Änderungen an dieser Seite vorschlagen

Wie können wir diese Seite für Sie verbessern?
Bei technischen, Rechnungs- und Produktfragen wenden Sie sich bitte an den Support

Cloud-Status

Status überprüfen

Erweitern Sie Ihr Wissen über Cybersicherheit.

Abonnieren Sie den Newsletter.


© 2024 Bitwarden, Inc. Bedingungen Datenschutz Cookie-Einstellungen Sitemap

Diese Website ist auf Deutsch verfügbar.
Go to EnglishStay Here