管理者コンソールSSOでログイン

Auth0 SAMLの実装

この記事には、SAML 2.0を介したSSOでのログインを設定するためのAuth0特有のヘルプが含まれています。別のIdPでSSOを使用したログインの設定についてのヘルプは、SAML 2.0設定を参照してください。

設定は、BitwardenウェブアプリとAuth0ポータルの両方で同時に作業を行うことを含みます。進行するにあたり、両方をすぐに利用できる状態にして、記録されている順序で手順を完了することをお勧めします。

tip

すでにSSOの専門家ですか?この記事の指示をスキップして、自分の設定と比較するためのサンプル設定のスクリーンショットをダウンロードしてください。

タイプ:アセット-ハイパーリンク id:773hQzr7eXdIfIxVW0jX9N

ウェブアプリでSSOを開く

Bitwardenウェブアプリにログインし、製品スイッチャー()を使用して管理者コンソールを開きます。

製品-スイッチャー
製品-スイッチャー

あなたの組織の設定シングルサインオン画面を開きます。

SAML 2.0設定
SAML 2.0設定

まだ作成していない場合は、あなたのSSO識別子を組織用に作成し、SAMLタイプのドロップダウンから選択してください。この画面を開いたままにして、簡単に参照できるようにしてください。

この段階で、必要であればユニークなSPエンティティIDを設定するオプションをオフにすることができます。これを行うと、組电IDがSPエンティティID値から削除されますが、ほとんどの場合、このオプションをオンにしておくことをお勧めします。

tip

代替のメンバー復号化オプションがあります。信頼できるデバイスでのSSOの使い方またはキーコネクターの使い方を学びましょう。

Auth0アプリケーションを作成する

Auth0ポータルで、アプリケーションメニューを使用して、通常のWebアプリケーションを作成します:

Auth0 アプリケーションを作成する
Auth0 アプリケーションを作成する

設定タブをクリックし、以下の情報を設定します。これらの一部はBitwardenシングルサインオン画面から取得する必要があります:

Auth0 設定
Auth0 設定

Auth0 設定

説明

お名前

アプリケーションにBitwarden特有の名前を付けてください。

ドメイン

この値をメモしてください。それは後のステップで必要になります。

アプリケーションタイプ

通常のウェブアプリケーションを選択してください。

トークンエンドポイント認証方法

投稿(HTTP Post)を選択し、これは後で設定する属性にバインディングタイプとしてマッピングされます。

アプリケーションログインURI

このフィールドを事前に生成されたSPエンティティIDに設定します。

この自動生成された値は、組織の設定シングルサインオン画面からコピーでき、設定により異なります。

許可されたコールバックURLS

このフィールドを事前に生成されたAssertion Consumer Service (ACS) URLに設定します。

この自動生成された値は、組織の設定シングルサインオン画面からコピーでき、設定に基づいて異なります。

助成金のタイプ

詳細設定許可タイプセクションで、以下の許可タイプが選択されていることを確認してください(事前に選択されている場合があります):

アプリケーション許可タイプ
アプリケーション許可タイプ

証明書

詳細設定証明書セクションで、署名証明書をコピーまたはダウンロードしてください。まだそれに何もする必要はありませんが、後でそれを参照する必要があります。

Auth0証明書
Auth0証明書

エンドポイント

詳細設定エンドポイントセクションで何も編集する必要はありませんが、後で参照するためにSAMLエンドポイントが必要になります。

tip

小さなウィンドウでは、エンドポイントタブがブラウザの端に隠れてしまうことがあります。それを見つけるのに苦労しているなら、証明書タブをクリックして、右矢印キー(→)を押してください。

Auth0 エンドポイント
Auth0 エンドポイント

Auth0ルールを設定する

あなたのアプリケーションのSAMLレスポンスの振る舞いをカスタマイズするためのルールを作成してください。Auth0は数値のオプションを提供していますが、このセクションではBitwardenのオプションに特にマッピングするものだけに焦点を当てます。カスタムSAML設定ルールセットを作成するには、認証パイプラインルールメニューを使用して ルールを作成します:

Auth0 ルール
Auth0 ルール

次のいずれかを設定することができます:

キー

説明

署名アルゴリズム

Auth0がSAMLアサーションまたはレスポンスに署名するために使用するアルゴリズム。デフォルトでは、rsa-sha1 が含まれますが、この値はrsa-sha256に設定するべきです。

この値を変更する場合、あなたは次のことを行う必要があります:
-digestAlgorithm sha256に設定します。
-Bitwardenの最小入力署名アルゴリズムrsa-sha256に設定します。

ダイジェストアルゴリズム

SAMLアサーションまたはレスポンスのダイジェストを計算するためのアルゴリズム。デフォルトでは、sha-1signatureAlgorithmの値もsha256に設定する必要があります。

サインレスポンス

デフォルトでは、Auth0はSAMLアサーションのみに署名します。これをtrue に設定して、アサーションの代わりにSAMLレスポンスに署名します。

名前識別子形式

デフォルトでは、urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified。この値は任意のSAML NameID形式に設定できます。もしそうなら、SP 名前ID形式フィールドを対応するオプションに変更してください(こちらを参照)。

以下のようなスクリプトを使用して、これらのルールを実装してください。ヘルプが必要な場合は、Auth0のドキュメンテーションを参照してください。

Bash
function (user, context, callback) {
    context.samlConfiguration.signatureAlgorithm = "rsa-sha256";
    context.samlConfiguration.digestAlgorithm = "sha256";
    context.samlConfiguration.signResponse = "true";
    context.samlConfiguration.nameIdentifierFormat = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
    context.samlConfiguration.binding = "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect";
    callback(null, user, context);
}

ウェブアプリに戻る

この時点で、Auth0ポータルのコンテキスト内で必要なすべてを設定しました。設定を完了するためにBitwardenウェブアプリに戻ってください。

シングルサインオン画面は、設定を二つのセクションに分けています:

  • SAML サービス プロバイダーの構成によって、 SAML リクエストの形式が決まります。

  • SAML IDプロバイダーの設定は、SAMLの応答に期待する形式を決定します。

サービスプロバイダーの設定

あなたがカスタムルールを設定していない限り、サービスプロバイダーの設定はすでに完了しているはずです。カスタムルールを設定したり、実装にさらなる変更を加えたい場合は、関連するフィールドを編集してください。

フィールド

説明

名前ID形式

NameID形式をSAMLリクエストで指定します(NameIDPolicy)。省略するには、設定されていませんに設定します。

アウトバウンド署名アルゴリズム

デフォルトでSAMLリクエストに署名するために使用されるアルゴリズムは、rsa-sha256です。

署名行動

Bitwarden SAMLリクエストが署名されるか/いつ署名されるか。デフォルトでは、Auth0はリクエストの署名を必要としません。

最小入力署名アルゴリズム

BitwardenがSAMLレスポンスで受け入れる最小の署名アルゴリズム。デフォルトでは、Auth0はrsa-sha1で署名します。ドロップダウンからrsa-sha256 を選択してください。ただし、カスタム署名ルールを設定している場合は除きます。

署名されたアサーションが欲しい

BitwardenがSAMLアサーションに署名を求めるかどうか。デフォルトでは、Auth0はSAMLアサーションに署名しますので、カスタム署名ルールを設定していない限り、このボックスをチェックしてください。

証明書を検証する

あなたのIdPから信頼できるCAを通じて信頼性と有効性のある証明書を使用するときは、このボックスをチェックしてください。自己署名証明書は、適切な信頼チェーンがBitwarden ログイン with SSO dockerイメージ内に設定されていない限り、失敗する可能性があります。

サービスプロバイダーの設定が完了したら、作業を保存してください。

IDプロバイダーの設定

IDプロバイダーの設定では、アプリケーションの値を取得するために、しばしばAuth0ポータルを参照する必要があります。

フィールド

説明

エンティティID

あなたのAuth0アプリケーションのドメイン値を入力してください(こちらを参照)、接頭辞としてurn:を使用します。例えばurn:bw-help.us.auth0.comのようになります。このフィールドは大文字と小文字を区別します。

バインディングタイプ

あなたのAuth0アプリケーションで指定されたトークンエンドポイント認証方法の値と一致するように、HTTP POSTを選択してください。

シングルサインオンサービスURL

あなたのAuth0アプリケーションのSAMLプロトコルURLを入力してください(エンドポイントを参照)。例えば、https://bw-help.us.auth0.com/samlp/HcpxD63h7Qzl420u8qachPWoZEG0Hho2

シングルログアウトサービスURL

現在、SSOでのログインはSLOをサポートしていません。このオプションは将来の開発のために計画されていますが、ご希望であれば事前に設定することができます。

X509公開証明書

取得した署名証明書を貼り付け、削除します

-----BEGIN CERTIFICATE-----

そして

-----証明書の終わり-----

証明書の値は大文字と小文字を区別し、余分なスペース、キャリッジリターン、その他の余分な文字は認証の検証に失敗する原因となります

アウトバウンド署名アルゴリズム

デフォルトでは、Auth0はrsa-sha1で署名します。rsa-sha256 を選択してください、あなたがカスタム署名ルールを設定していない限り。

アウトバウンドログアウトリクエストを無効にする

現在、SSOでのログインはSLOをサポートしていません。このオプションは、将来の開発のために計画されています。

認証リクエストに署名を希望します

Auth0がSAMLリクエストの署名を期待しているかどうか。

note

X509証明書を完成させるとき、有効期限の日付をメモしてください。SSOエンドユーザーへのサービスの中断を防ぐために、証明書を更新する必要があります。証明書が期限切れになった場合でも、管理者と所有者のアカウントは常にメールアドレスとマスターパスワードでログインできます。

IDプロバイダーの設定が完了したら、保存してください。

tip

シングルサインオン認証ポリシーを有効にすることで、ユーザーにSSOでログインすることを要求することができます。メモしてください、これは単一の組織ポリシーも同時に活性化する必要があります。もっと学ぶ

設定をテストする

設定が完了したら、https://vault.bitwarden.comに移動してテストを行います。メールアドレスを入力し、続行を選択し、エンタープライズシングルオンボタンを選択します。

エンタープライズシングルサインオンとマスターパスワード
エンタープライズシングルサインオンとマスターパスワード

設定された組織識別子を入力し、ログインを選択してください。あなたの実装が正常に設定されている場合、Auth0のログイン画面にリダイレクトされます。

Auth0 ログイン
Auth0 ログイン

あなたのAuth0の資格情報で認証した後、Bitwardenのマスターパスワードを入力して保管庫を復号化してください!

note

Bitwardenは勝手なレスポンスをサポートしていませんので、あなたのIdPからログインを開始するとエラーが発生します。SSOログインフローはBitwardenから開始されなければなりません。