管理者コンソールSSOでログイン

OIDC設定

ステップ1:SSO識別子を設定する

SSOを使用してIDを認証するユーザーは、認証に対抗する組織(したがって、SSO統合)を示すSSO識別子を入力する必要があります。ユニークなSSO識別子を設定するには:

  1. Bitwardenのウェブアプリにログインし、製品スイッチャー()を使用して管理者コンソールを開きます。

    製品-スイッチャー
    製品-スイッチャー

  2. 設定シングルサインオンに移動し、あなたの組織のためのユニークなSSO識別子を入力してください:

    識別子を入力してください
    識別子を入力してください

  3. ステップ2:SSOでのログインを有効にするに進んでください。

tip

この設定が使用可能になったら、この値をユーザーと共有する必要があります。

ステップ2:SSOでのログインを有効にする

あなたのSSO識別子を取得したら、あなたの統合を有効化し設定を進めることができます。SSOでのログインを有効にするには:

  1. 設定シングルサインオン 表示で、SSO認証を許可する チェックボックスを確認してください。

    OIDC設定
    OIDC設定

  2. タイプのドロップダウンメニューから、OpenID Connectのオプションを選択してください。もし代わりにSAMLを使用するつもりなら、SAML設定ガイドに切り替えてください。

tip

代替のメンバー復号化オプションがあります。信頼できるデバイスでのSSOの使い方またはキーコネクターの使い方を学びましょう。

ステップ3:設定

この時点から、実装はプロバイダーごとに異なります。設定プロセスの完了に役立つ、特定の実装ガイドの一つにジャンプしてください:

プロバイダー

ガイド

アズール

Azure 実装ガイド

オクタ

Okta 実装ガイド

設定参考資料

次のセクションでは、どのIdPと統合しているかに関係なく、シングルサインオン設定中に利用可能なフィールドを定義します。設定が必要なフィールドは、(必須)とマークされます。

tip

OpenID Connectに精通している場合を除き、以下の一般的な資料の代わりに、上記の実装ガイドのいずれかを使用することをお勧めします。

フィールド

説明

コールバックパス

(自動生成) 認証自動リダイレクト用のURL。クラウドホストのお客様の場合、これはhttps://sso.bitwarden.com/oidc-signinまたはhttps://sso.bitwarden.eu/oidc-signinです。自己ホスト型のインスタンスの場合、これはあなたの設定されたサーバーURLによって決定されます。例えば、https://your.domain.com/sso/oidc-signinなどです。

サインアウトコールバックパス

自動生成)サインアウト自動リダイレクトのURL。クラウドホストのお客様の場合、これはhttps://sso.bitwarden.com/oidc-signedoutまたはhttps://sso.bitwarden.eu/oidc-signedoutです。自己ホスト型のインスタンスの場合、これはあなたの設定されたサーバーURLによって決定されます。例えば、https://your.domain.com/sso/oidc-signedoutなどです。

権限

必須)あなたの認証サーバー("Authority")のURL。Bitwardenはこれに対して認証を行います。例えば、https://your.domain.okta.com/oauth2/default またはhttps://login.microsoft.com//v2.0

クライアントID

(必須) OIDCクライアントの識別子。この値は通常、構築されたIdPアプリの統合に特化しています。例えば、Azureアプリの登録Oktaウェブアプリなどです。

クライアントシークレット

必須)クライアントIDと共に使用され、アクセストークンと交換するためのクライアントシークレット。この値は通常、構築されたIdPアプリの統合に特化しています。例えば、Azureアプリの登録Okta Webアプリなどです。

メタデータアドレス

権限が無効な場合に必要)BitwardenがJSONオブジェクトとして認証サーバーのメタデータにアクセスできるメタデータURL。例えば、

https://your.domain.okta.com/oauth2/default/.well-known/oauth-authorization-server

OIDCリダイレクトの挙動

(必須) IdPがBitwardenからの認証要求に応答するための方法。オプションには、フォーム POST リダイレクト GETが含まれます。

ユーザー情報エンドポイントから請求を取得する

このオプションを有効にすると、URLが長すぎるエラー(HTTP 414)、URLが切り捨てられる、および/またはSSO中に失敗が発生した場合に対応します。

追加/カスタムスコープ

リクエストに追加するカスタムスコープを定義します(カンマ区切り)。

追加/カスタムユーザーIDクレームタイプ

ユーザー識別のためのカスタムクレームタイプキーを定義します(カンマ区切り)。定義された場合、カスタムクレームタイプは、標準タイプに戻る前に検索されます。

追加/カスタムメールアドレス請求タイプ

ユーザーのメールアドレス用のカスタムクレームタイプキーを定義します(カンマ区切り)。定義された場合、カスタムクレームのタイプは、標準のタイプに戻る前に検索されます。

追加/カスタム名前請求タイプ

ユーザーのフルネームまたは表示名のためのカスタムクレームタイプキーを定義します(カンマ区切り)。定義された場合、カスタムクレームのタイプは、標準のタイプに戻る前に検索されます。

要求された認証コンテキストクラスの参照値

認証コンテキストクラス参照識別子(acr_values)(スペース区切り)を定義してください。acr_values を優先順位でリストアップしてください。

応答で期待される "acr" 請求値

Bitwardenがレスポンスで期待し、検証するacrクレーム値を定義してください。

OIDC属性&クレーム

アカウントの提供にはメールアドレスが必要です。これは、以下の表の属性またはクレームのいずれかとして渡すことができます。

ユニークなユーザー識別子も非常に推奨されます。もし不在の場合、ユーザーをリンクするためにメールアドレスが代わりに使用されます。

属性/請求は、適用可能な場合にはフォールバックを含めて、一致のための優先順位でリストされています。

請求/属性

フォールバッククレーム/属性

ユニークID

設定済みカスタムユーザーIDクレーム
非一時的な場合のNameID
urn:oid:0.9.2342.19200300.100.1.1
サブ
UID
UPN
EPPN

Eメール

カスタムメールアドレスのクレームを設定しました
Eメール
http://schemas.xmlsoap.org/ws/2005/05/ID/claims/emailaddress

urn:oid:0.9.2342.19200300.100.1.3
メール
メールアドレス

希望のユーザーネーム
Urn:oid:0.9.2342.19200300.100.1.1
UID

お名前

設定されたカスタム名前クレーム
お名前
http://schemas.xmlsoap.org/ws/2005/05/ID/claims/name

urn:oid:2.16.840.1.113730.3.1.241
urn:oid:2.5.4.3
表示名
CN

名前 + " " + 姓(下記参照)

urn:oid:2.5.4.42
名前
ファーストネーム
FN
F名
ニックネーム

urn:oid:2.5.4.4
SN
苗字
苗字