Mise en œuvre d'Okta OIDC
Cet article contient de l'aide spécifique à Okta pour configurer l'identifiant avec SSO via OpenID Connect (OIDC). Pour obtenir de l'aide sur la configuration de l'identifiant avec SSO pour un autre IdP OIDC, ou pour configurer Okta via SAML 2.0, voir Configuration OIDC ou Implémentation Okta SAML.
La configuration implique de travailler simultanément dans l'application web Bitwarden et le portail admin Okta. Au fur et à mesure que vous avancez, nous vous recommandons d'avoir les deux facilement disponibles et de compléter les étapes dans l'ordre où elles sont documentées.
Connectez-vous à l'application web Bitwarden et ouvrez la console Admin à l'aide du sélecteur de produit ():
Sélectionnez Paramètres → Connexion unique depuis la navigation :
Si vous ne l'avez pas déjà fait, créez un identifiant SSO unique pour votre organisation. Sinon, vous n'avez pas besoin d'éditer quoi que ce soit sur cet écran pour l'instant, mais gardez-le ouvert pour une référence facile.
pointe
Il existe des options alternatives de décryptage des membres. Apprenez comment commencer à utiliser SSO avec des appareils de confiance ou Key Connector.
Dans le Portail Admin Okta, sélectionnez Applications → Applications depuis la navigation. Sur l'écran des Applications, sélectionnez le bouton Créer une Intégration d'Application. Pour la méthode de connexion, sélectionnez OIDC - OpenID Connect. Pour le type d'application, sélectionnez Application Web:
Sur l'écran Intégration de la nouvelle application Web, configurez les champs suivants :
Champ | Description |
|---|---|
Nom de l'intégration de l'application | Donnez à l'application un nom spécifique à Bitwarden. |
Type de subvention | Activez les types de subventions suivants : |
URI de redirection de connexion | Définissez ce champ sur votre Chemin de rappel, qui peut être récupéré à partir de l'écran de configuration SSO de Bitwarden. |
URIs de redirection de déconnexion | Définissez ce champ sur votre Chemin de rappel déconnecté, qui peut être récupéré à partir de l'écran de configuration SSO de Bitwarden. |
Devoirs | Utilisez ce champ pour désigner si tous ou seulement certains groupes pourront utiliser l'identifiant Bitwarden avec SSO. |
Une fois configuré, sélectionnez le bouton Suivant.
Sur l'écran de l'Application, copier l'ID du client et le Secret du client pour l'application Okta nouvellement créée :
Vous devrez utiliser les deux valeurs lors d'une étape ultérieure.
Sélectionnez Sécurité → API dans la navigation. Dans la liste des Serveurs d'autorisation, sélectionnez le serveur que vous souhaitez utiliser pour cette mise en œuvre. Sur l'onglet Paramètres du serveur, copiez les valeurs Émetteur et URI de Métadonnées :
Vous devrez utiliser les deux valeurs lors de la prochaine étape.
À ce stade, vous avez configuré tout ce dont vous avez besoin dans le contexte du Portail Admin Okta. Revenez à l'application web Bitwarden pour configurer les champs suivants :
Champ | Description |
|---|---|
Autorité | Entrez le URI de l'émetteur récupéré pour votre serveur d'autorisation. |
Client ID | Entrez l'ID Client récupéré pour votre application Okta. |
Secret du Client | Entrez le secret du client récupéré pour votre application Okta. |
Adresse des métadonnées | Entrez le URI des métadonnées récupérées pour votre serveur d'autorisation. |
Comportement de redirection OIDC | Sélectionnez Rediriger GET. Okta ne prend actuellement pas en charge Form POST. |
Obtenir des revendications à partir du point de terminaison des informations de l'utilisateur | Activez cette option si vous recevez des erreurs d'URL trop longues (HTTP 414), des URLS tronquées, et/ou des échecs lors de l'SSO. |
Scopes supplémentaires/personnalisés | Définissez des portées personnalisées à ajouter à la demande (séparées par des virgules). |
Types de revendications d'ID utilisateur supplémentaires/personnalisés | Définissez des clés de type de revendication personnalisées pour l'identification de l'utilisateur (délimitées par des virgules). Lorsqu'ils sont définis, les types de revendications personnalisés sont recherchés avant de se rabattre sur les types standard. |
Types de revendications de courriel supplémentaires/personnalisées | Définissez des clés de type de revendication personnalisées pour les adresses de courriel des utilisateurs (délimitées par des virgules). Lorsqu'ils sont définis, les types de revendications personnalisés sont recherchés avant de se rabattre sur les types standard. |
Types de revendications de noms supplémentaires/personnalisés | Définissez des clés de type de revendication personnalisées pour les noms complets ou les noms d'affichage des utilisateurs (délimités par des virgules). Lorsqu'ils sont définis, les types de revendications personnalisés sont recherchés avant de se rabattre sur les types standard. |
Valeurs de référence de la classe de contexte d'authentification demandées | Définissez les identifiants de référence de classe de contexte d'authentification ( |
Valeur de revendication "acr" attendue en réponse | Définissez la valeur de revendication |
Lorsque vous avez terminé de configurer ces champs, Enregistrez votre travail.
pointe
Vous pouvez exiger que les utilisateurs se connectent avec SSO en activant la politique d'authentification à connexion unique. Veuillez noter que cela nécessitera également l'activation de la politique de sécurité de l'organisation unique. En savoir plus.
Une fois votre configuration terminée, testez-la en vous rendant sur https://vault.bitwarden.com, en entrant votre adresse de courriel, en sélectionnant Continuer, et en sélectionnant le bouton Connexion unique d'Entreprise :
Entrez l'identifiant de l'organisation configuré et sélectionnez Se connecter. Si votre mise en œuvre est configurée avec succès, vous serez redirigé vers l'écran d'identifiant Okta:
Après vous être authentifié avec vos identifiants Okta, entrez votre mot de passe principal Bitwarden pour déchiffrer votre coffre !
note
Bitwarden ne prend pas en charge les réponses non sollicitées, donc l'initiation de l'identifiant à partir de votre IdP entraînera une erreur. Le flux de connexion SSO doit être initié à partir de Bitwarden. Les administrateurs Okta peuvent créer une Application de signet Okta qui liera directement à la page d'identifiant du coffre web Bitwarden.
En tant qu'admin, naviguez vers le menu déroulant Applications situé sur la barre de navigation principale et sélectionnez Applications.
Cliquez sur Parcourir le catalogue d'applications.
Recherchez l'application Bookmark et cliquez sur Ajouter une intégration.
Ajoutez les paramètres suivants à l'application :
Donnez à l'application un nom tel que Identifiant Bitwarden.
Dans le champ URL, fournissez l'URL de votre client Bitwarden comme
https://vault.bitwarden.com/#/identifiantouvotre-URL-auto-hébergée.com.
Sélectionnez Terminé et revenez au tableau de bord des applications et éditez l'application nouvellement créée.
Attribuez des personnes et des groupes à l'application. Vous pouvez également attribuer un logo à l'application pour la reconnaissance de l'utilisateur final. Le logo Bitwarden peut être obtenu ici.
Une fois ce processus terminé, les personnes et groupes assignés auront une application de signet Bitwarden sur leur tableau de bord Okta qui les liera directement à la page d'identifiant du coffre web Bitwarden.