Keycloak SAML実装
この記事には、SAML 2.0を介したSSOでのログインを設定するためのKeycloak特有のヘルプが含まれて�います。別のIdPでSSOを使用したログインの設定についてのヘルプは、SAML 2.0設定を参照してください。
設定は、BitwardenウェブアプリとKeycloakポータルを同時に操作することを含みます。進行するにあたり、両方をすぐに利用できる状態にして、記録されている順序で手順を完了することをお勧めします。
チップ
すでにSSOの専門家ですか?この記事の指示をスキップして、自分の設定と比較��するためのサンプル設定のスクリーンショットをダウンロードしてください。
タイプ:アセット-ハイパーリンク ID:6SVuB4OSxNq6QzGkuqGUd8
Bitwardenウェブアプリにログインし、製品スイッチャー()を使用して管理者コンソールを開きます。
あなたの組織の設定 → シングルサインオン画面を開きます。
まだ作成していない場合は、あなたの組織のためのユニークなSSO識別子を作成し、タイプのドロップダウンからSAMLを選択してください。この画面を開い��たままにして、簡単に参照できるようにしてください。
この段階で、必要に応じてユニークなSPエンティティIDを設定するオプションをオフにすることができます。これを行うと、組电IDがSPエンティティID値から削除されますが、ほとんどの場合、このオプションをオンにしておくことをお勧めします。
チップ
代替のメンバー復号化オプションがあります。信頼できるデバイスでのSSOの使い方またはキーコネクターの使い方を学びましょう。
Keycloakにログインし、クライアント → クライアントを作成を選択します。
クライアントを作成する画面で、次のフィールドに入力してください:
フィールド | 説明 |
|---|---|
クライアントタイプ | SAMLを選択してください。 |
クライアントID | このフィールドを事前に生成されたSPエンティティIDに設定します。 この自動生成された値は、組織の設定 → シングルサインオン画面からコピーでき、設定により異なります。 |
お名前 | Keycloakクライアントの名前を自由に入力してください。 |
必要なフィールドに一般設定ページで入力したら、次へをクリックしてください。
ログイン設定画面で、次のフィールドに入力してください:
フィールド | 説明 |
|---|---|
有効なリダイレクトURI | このフィールドを事前に生成されたAssertion Consumer Service (ACS) URLに設定します。 この自動生成された値は、組織の設定→シングルサインオン画面からコピーでき、設定により異なります。 |
保存を選択して��ください。
「Keys」タブを選択し、クライアント署名が必要オプションをオフに切り替えてください。
最後に、Keycloakのメインナビゲーションで、レルム設定を選択し、次にキータブを選択します。RS256証明書を探して、証明書を選択してください。
証明書の値は次のセクションで必要となります。
この時点で、Keycloakポータルのコンテキスト内で必要なすべてを設定しました。Bitwardenウェブアプリに戻り、ナビゲーションから設定→シングルサインオンを選択します。
シングルサインオン画面は、設定を2つのセクションに分けています:
SAML サービス プロバイダーの構成によって、 SAML リクエストの形式が決まります。
SAML IDプロバイダーの設定は、SAMLの応答に期待する形式を決定します。
次のフィールドをSAMLサービスプロバイダ設定セクションで完了してください:
フィールド | 説明 |
|---|---|
名前IDの形式 | メールアドレスを選択してください。 |
アウトバウンド署名アルゴリズム | BitwardenがSAMLリクエストに署名するために使用するアルゴリズム。 |
署名行動 | SAMLリクエストが署名されるかどうか/いつ署名されるか。 |
最小入力署名アルゴリズム | KeycloakクライアントがSAMLドキュメントまたはアサーションに署名するために使用するように設定されているアルゴリズムを選択します。 |
署名されたアサーションが欲しい | BitwardenがSAMLアサーションに署名されることを期待しているかどうか。トグルがオンの場合、Keycloakクライアントをアサーションに署名するように設定してください。 |
証明書を検証する | あなたのIdPから信頼できるCAを通じて信頼できる有効な証明書を使用するときには、このボックスをチェックしてください。自己署名証明書は、適切な信頼チェーンがBitwardenログインのSSO Dockerイメージと一緒に設定されていない限り、失敗する可能性があります。 |
次のフィールドをSAML IDプロバイダ設定セクションで完了してください:
フィールド | 説明 |
|---|---|
エンティティID | クライアントが作成されたKeycloakレルムのURLを入力してください。例: |
バインディングの種類 | リダイレクトを選択します。 |
シングルサインオンサービス URL | あなたのマスターSAML処理URLを入力してください。例えば、 |
シングルログアウトサービスURL | 現在、SSOでのログインはSLOをサポートしていません。このオプションは将来の開発のために計画されていますが、ご希望であればログアウトURLで事前に設定することができます。 |
X509 公開鍵証明書 | 前のステップでコピーされたRS256証明書を入力してください。 証明書の値は大文字と小文字を区別し、余分なスペース、キャリッジリターン、その他の余分な文字は証明書の検証に失敗する原因となります。 |
アウトバウンド署名アルゴリズム | KeycloakクライアントがSAMLドキュメントまたはアサーションに署名するために使用するように設定されているアルゴリズムを選択します。 |
アウトバウンドログアウトリクエストを無効にする | SSOでのログインは現在、SLOをサポートしていません。このオプションは将来の開発のために計画されています。 |
認証リクエストに署名が欲しい | KeycloakがSAMLリクエストの署名を期待するかどうか。 |
備考
X509証明書を完成させるとき、有効期限の日付をメモしてください。SSOエンドユーザーへのサービスの中断を防ぐために、証明書を更新する必要があります。証明書が期限切れになった場合でも、管理者と所有者のアカウントは常にメールアドレスとマスターパスワードでログインできます。
IDプロバイダーの設定が完了したら、作業を保存してください。
チップ
シングルサインオン認証ポリシーを有効にすることで、ユーザーにSSOでログインすることを要求することができます。メモしてください、これは単一の組織ポリシーも同時に活性化する必要があります。もっと学ぶ
「Keycloakクライアント設定」タブでは、追加の構成オプションを使用できます。
フィールド | 説明 |
|---|---|
書類に署名する | Keycloak領域によってSAMLドキュメントが署名されるべきかどうかを指定してください。 |
署名アサーション | KeycloakレルムによってSAMLアサーションが署名されるべきかどうかを指定してください。 |
署名アルゴリズム | 署名アサーションが有効になっている場合、署名に使用するアルゴリズムを選択します(デフォルトは |
名前ID形式 | KeycloakがSAMLレスポンスで使用するName IDフォーマットを選択してください。 |
フォーラムが完了したら、保存を選択してください。
設定が完了したら、https://vault.bitwarden.comに移動してテストを行います。メールアドレスを入力し、続行を選択し、エンタープライズシングルオンボタンを選択します。
設定された組甀の識別子を入力し、ログインを選択してください。あなたの実装が正常に設定されている場合、Keycloakのログイン画面にリダイレクトされます。
あなたのKeycloakの資格情報で認証した後、Bitwardenのマスターパスワードを入力して保管庫を復号化してください!
備考
Bitwardenは勝手なレスポンスをサポートしていませんので、あなたのIdPから��ログインを開始するとエラーが発生します。SSOログインフローはBitwardenから開始されなければなりません。