CloudflareゼロトラストSSO実装
この記事には、SSOでのログインを設定するためのCloudflare Zero Trust特有のヘルプが含まれています。Cloudflare Zero Trustは、複数のIDプロバイダ(IdPs)と統合できるクラウドベースのIDおよびアクセス管理プラットフォームです。また、プラットフォームへの安全なアクセスのためにゲートウェイとトンネリングを設定することもできます。
備考
Cloudflare Zero Trustは、SAML 2.0またはOIDC SSO設定を使用して動作する任意のIdPで設定できます。これらの設定に詳しくない場合は、これらの記事を参照してください:
Cloudflare Zero Trustは、複数のIDプロバイダ(IdPs)と統合できるクラウドベースのプロキシIDおよびアクセス管理プラットフォームです。標準のIdPに加えてCloudflare Zero Trustを使用する利点は、ログインのための複数のIdPを設定する能力です。Cloudflare Zero Trustは、複数の別々の組織からBitwardenへのSSOアクセスを提供することができます。また、組織内のユーザーセットに対しても提供できます。
備考
CloudflareはAccess Application Gateway経由でのみSAMLをサポートします。これは、Bitwardenの設定でSAML 2.0を選択する必要があることを意味します。OIDC認証は、IdPとCloudflareからまだ設定できます。
Bitwardenウェブアプリにログインし、製品スイッチャー()を使用して管理者コンソールを開きます。
あなたの組織の設定 → シングルサインオン画面を開きます。
まだ作成していない場合は、あなたの組电にユニークなSSO識別子を作成し、タイプのドロップダウンからSAMLを選択してください。この画面を開いたままにして、簡単に参照できるようにしてください。
この段階で、必要に応じてユニークなSPエンティティIDを設定するオプションをオフにすることができます。これを行うと、あなたのSPエンティティID値から組电IDが削除されますが、ほとんどの場合、このオプションをオンにしておくことをお勧めします。
チップ
代替のメンバー復号化オプションがあります。信頼できるデバイスでのSSOの使い方またはキーコネクターの使い方を学びましょう。
Cloufdlare Zero Trustログイン方法を作成するには:
Cloudflare Zero Trustに移動してログインするか、アカウントを作成してください。
あなたのアプリケーションにアクセスするためにユーザーが使用するURL、またはアプリランチャーとして機能するドメインを設定します。 例えば、
https://my-business.cloudflareaccess.com/のようなものです。Cloudflare Zero Trustメニューから、設定→一般→チームドメインを選択します:
チームドメイン設定 最初のログイン方法を設定するには、設定→認証→新規追加に移動してください。
Cloudflare Zero Trustに接続するためのログイン方法を選択してください。あなたが使用しているIdPがIdPリストに存在しない場合は、SAMLまたはOIDCの一般的なオプションを使用してください。この記事では、Oktaを例に使用します:
CloudflareゼロトラストIdPリスト 選択したIdPログイン方法を選択した後、Cloudflareが提供する製品内ガイドに従って、IdPを統合してください。
備考
あなたが使用しているIdPにサポートグループの機能がある場合、このオプションは無効化されなければなりません。Bitwardenはグループベースのクレームをサポートしていません、このオプションを有効にするとBitwardenのエンドでXMLエレメントエラーが発生します。
IdPが設定された後、BitwardenのためのCloudflare Zero Trustアプリケーションを作成する必要があります。この例では、SAML アプリケーションを作成します。
1. アクセス → アプリケーション → アプリケーションを追加へ移動します。
2. タイプSaaSを選択してください。
3. Bitwardenのウェブ保管庫で、あなたの組織を開き、設定 → シングルサインオン画面に移動します。ウェブ保管庫からの情報を使用して、アプリの設定画面に情報を入力してください:
キー | 説明 |
|---|---|
アプリ |
|
エンティティID | BitwardenシングルサインオンページからSPエンティティID をコピーして、このフィールドに貼り付けてください。 |
アサーション消費者サービスURL | Bitwardenシングルサインオンページからアサーションコンシューマーサービス(ACS)URLをコピーして、このフィールドに貼り付けてください。 |
名前ID形式 | ドロップダウンメニューからメールアドレスを選択してください。 |
備考
一般的なOIDC設定のために、Auth URL、トークンURL、および証明書URLは、よく知られたURLで見つけることができます。
4. IDプロバイダーメニューまでスクロールダウンしてください。前のセクションで設定したIdPを選択し、トップに戻って、次へを選択してください。
5. 次に、ユーザーがアプリケーションにアクセスするためのアクセスポリシーを作成します。各ポリシーに対して、ポリシー名、アクション、およびセッションの期間のフィールドを完成させてください。
6. グループポリシーを割り当てることを選択できます(アクセス→ グループ)または明示的なユーザーポリシールール(メールアドレス、「メールアドレスが以下で終わる」、「国」、または「全員」など)を選択できます。次の例では、グループ「Anon Users」がポリシーに含まれています。選択したドメインで終わるメールアドレスも含めるという追加のルールが設けられました。
備考
あなたはまた、SSOショートカットを使用したBitwardenログインへのアクセスを得るために、アプリランチャーを通じてユーザーアクセスを適用することもできます。これは、認証→ アプリランチャー→ 管理に移動することで管理できます。上記の例のアプリケーションポリシーは、ここで複製または生成することができます。
7. アクセスポリシーが設定されたら、トップまでスクロールして、次へを選択します。
8. セットアップ画面にいる間、以下の値をコピーして、それぞれのフィールドにBitwardenのシングルサインオンページに入力します:
キー | 説明 |
|---|---|
SSOエンドポイント | SSOエンドポイントは、あなたのSaaSアプリケーションがログインリクエストをSendする場所を指示します。 この値はBitwardenのシングルサインオンサービスURLフィールドに入力されます。 |
エンティティIDまたは発行者にアクセスする | アクセスエンティティIDまたは発行者は、あなたのSaaSアプリケーションの一意の識別子です。 この値はBitwardenのエンティティIDフィールドに入力されます。 |
公開鍵 | 公開鍵は、あなたのIDを確認するために使用される公開証明書です。 この値はBitwardenのX509公開証明書フィールドに入力されます。 |
9. 値がBitwardenに入力された後、Bitwarden Single Sign-On画面で保存を選択し、Cloudflareページで完了を選択してアプリケーションを保存します。
10. SSO画面へのBitwardenログインのブックマークを作成するには、アプリケーションを追加する→ ブックマークを選択します。アプリランチャーでブックマークが表示されていることを確認してくださ�い。
設定が完了したら、https://vault.bitwarden.comに移動し、メールアドレスを入力し、続けるを選択し、エンタープライズシングルサインオンボタンを選択してテストしてください。
設定された組織識別子を入力し、ログインを選択してください。あなたの実装が正常に設定されている場合、Cloudflare Accessの画面にリダイレクトされます。そこで、ログインするIdPを選択できます。
あなたのIdPを選択した後、あなたのIdPのログインページにリダイレクトされます。あなたのIdPを通じてログインするために使用される情報を入力してください:
あなたのIdP資格情報で認証した後、Bitwardenのマスターパスワードを入力して保管庫を復号化してください!