管理者コンソールSSOでログイン

JumpCloud SAML 実装

この記事には、SAML 2.0を介したSSOでのログインを設定するためのJumpCloud特有のヘルプが含まれています。別のIdPでSSOを使用したログインの設定についてのヘルプは、SAML 2.0設定を参照してください。

設定は、BitwardenウェブアプリとJumpCloudポータルの両方で同時に作業を行うことを含みます。進行するにあたり、両方をすぐに利用できる状態にして、記録されている順序で手順を完了することをお勧めします。

tip

すでにSSOの専門家ですか?この記事の指示をスキップして、サンプル設定のスクリーンショットをダウンロードし、自分の設定と比較してください。

タイプ:アセット-ハイパーリンク id:2jY7iejfs0KgdWBnwhGMHF

ウェブアプリでSSOを開く

Bitwardenウェブアプリにログインし、製品スイッチャー()を使用して管理者コンソールを開きます。

製品-スイッチャー
製品-スイッチャー

あなたの組織の設定シングルサインオン画面を開きます。

SAML 2.0設定
SAML 2.0設定

まだ作成していない場合は、あなたのSSO識別子を組織用に作成し、タイプのドロップダウンからSAMLを選択してください。この画面を開いたままにして、簡単に参照できるようにしてください。

この段階で、必要に応じてユニークなSPエンティティIDを設定するオプションをオフにすることができます。これを行うと、組电IDがSPエンティティID値から削除されますが、ほとんどの場合では、このオプションをオンにしておくことを推奨します。

tip

代替のメンバー復号化オプションがあります。信頼できるデバイスでのSSOの使い方またはキーコネクターの使い方を学びましょう。

JumpCloud SAMLアプリケーションを作成する

JumpCloudポータルで、メニューからアプリケーションを選択し、開始ボタンを選択します:

BitwardenアプリJumpcloudを作成します
BitwardenアプリJumpcloudを作成します

検索ボックスにBitwardenを入力し、設定ボタンを選択します:

Bitwardenを設定する
Bitwardenを設定する
tip

もしSAMLにより慣れている、またはNameID FormatやSigning Algorithmsのようなものに対してよりコントロールを持ちたい場合は、代わりにカスタムSAMLアプリケーションを作成してください。

一般情報

一般情報」セクションで、以下の情報を設定してください:

フィールド

説明

ディスプレイラベル

アプリケーションにBitwarden特有の名前を付けてください。

シングルサインオン設定

シングルサインオン設定セクションで、以下の情報を設定します:

Jumpcloud SSO設定
Jumpcloud SSO設定

フィールド

説明

IdPエンティティID

このフィールドを一意で、Bitwarden特有の値に設定します。例えば、bitwardensso_yourcompany

SPエンティティID

このフィールドを事前に生成されたSPエンティティIDに設定します。

この自動生成された値は、組織の設定シングルサインオン画面からコピーでき、設定により異なります。

ACS URL

このフィールドを事前に生成されたアサーションコンシューマーサービス(ACS) URLに設定します。

この自動生成された値は、組織の設定シングルサインオン画面からコピーでき、設定により異なります。

カスタムSAMLアプリのみ

カスタムSAMLアプリケーションを作成した場合、次のシングルサインオン設定フィールドも設定する必要があります:

フィールド

説明

SAMLSubject NameID

JumpCloud属性を指定してください。これはSAMLレスポンスでNameIDとして送信されます。

SAMLSubject NameID形式

SAMLレスポンスで送信されるNameIDの形式を指定してください。

署名アルゴリズム

SAMLアサーションまたはレスポンスに署名するためのアルゴリズムを選択してください。

サインの主張

デフォルトでは、JumpCloudはSAMLレスポンスに署名します。このボックスをチェックして、SAMLアサーションに署名してください。

ログインURL

あなたのユーザーがSSO経由でBitwardenにログインするURLを指定してください。

クラウドホストのお客様の場合、これはhttps://vault.bitwarden.com/#/ssoまたはhttps://vault.bitwarden.eu/#/ssoです。自己ホスト型のインスタンスの場合、これはあなたの設定されたサーバーURLによって決定されます。例えば、https://your.domain.com/#/ssoなどです。

属性

シングルサインオン設定属性セクションで、次のSP → IdP属性マッピングを構築します。JumpCloudでBitwardenアプリケーションを選択した場合、これらはすでに構築されているはずです:

属性マッピング
属性マッピング

終了したら、アクティベートボタンを選択してください。

証明書をダウンロードしてください

アプリケーションが有効化されたら、作成されたBitwardenアプリケーションを開くために再度SSOメニューオプションを使用してください。IDP証明書のドロップダウンを選択し、証明書をダウンロードします。

証明書をダウンロードする
証明書をダウンロードする

ユーザーグループをバインドする

JumpCloudポータルで、メニューからユーザーグループを選択します。

ユーザーグループ
ユーザーグループ

Bitwarden専用のユーザーグループを作成するか、またはすべてのユーザーのデフォルトユーザーグループを開きます。いずれの場合でも、アプリケーションタブを選択し、そのユーザーグループの作成したBitwarden SSOアプリケーションへのアクセスを有効にします:

アプリアクセスをバインドする
アプリアクセスをバインドする
tip

あるいは、SSOBitwardenアプリケーション画面から直接ユーザーグループへのアクセスをバインドすることもできます。

ウェブアプリに戻る

この時点で、JumpCloudポータルのコンテキスト内で必要なすべてを設定しました。設定を完了するために、Bitwardenのウェブ保管庫に戻ってください。

シングルサインオン画面は、設定を2つのセクションに分けています:

  • SAML サービス プロバイダーの構成によって、 SAML リクエストの形式が決まります。

  • SAML IDプロバイダーの設定は、SAMLのレスポンスで期待する形式を決定します。

サービスプロバイダーの設定

次のフィールドを、JumpCloud Portalでアプリ作成中に選択した選択肢に従って設定します:

フィールド

説明

名前ID形式

カスタムSAMLアプリケーションを作成した場合、これを指定されたSAMLSubject NameIDフォーマットに設定します。それ以外の場合は、未指定にしてください。

アウトバウンド署名アルゴリズム

BitwardenがSAMLリクエストに署名するために使用するアルゴリズム。

署名行動

SAMLリクエストが署名されるかどうか/いつ署名されるか。デフォルトでは、JumpCloudはリクエストの署名を必要としません。

最小入力署名アルゴリズム

カスタムSAMLアプリケーションを作成した場合、選択した署名アルゴリズムにこれを設定してください。それ以外の場合は、rsa-sha256のままにしてください。

署名付きのアサーションが欲しい

カスタムSAMLアプリケーションを作成した場合、JumpCloudのSign Assertion オプションを設定した場合は、このボックスをチェックしてください。それ以外の場合は、チェックを外してください。

証明書を検証する

あなたのIdPから信頼できるCAを通じて信頼性と有効性のある証明書を使用するときは、このボックスをチェックしてください。自己署名証明書は、適切な信頼チェーンがBitwardenログインのSSO Dockerイメージ内に設定されていない限り、失敗する可能性があります。

サービスプロバイダーの設定が完了したら、作業を保存してください。

IDプロバイダーの設定

IDプロバイダーの設定では、アプリケーションの値を取得するために、しばしばJumpCloudポータルを参照する必要があります。

フィールド

説明

エンティティID

JumpCloudのIdPエンティティIDを入力してください。これはJumpCloudのシングルサインオン設定画面から取得できます。このフィールドは大文字と小文字を区別します。

バインディングタイプ

リダイレクトに設定します。

シングルサインオンサービスURL

JumpCloudのIdP URLを入力してください。これはJumpCloudのシングルサインオン設定画面から取得できます。

シングルログアウトサービスURL

現在、SSOでのログインはSLOをサポートしていません。このオプションは将来の開発のために計画されています。

X509公開証明書

取得した証明書を貼り付け、削除してください。

-----BEGIN CERTIFICATE-----

そして

-----証明書の終わり-----

証明書の値は大文字と小文字を区別し、余分なスペース、キャリッジリターン、その他の余分な文字は認証の検証に失敗する原因となります

アウトバウンド署名アルゴリズム

カスタムSAMLアプリケーションを作成した場合、選択した署名アルゴリズムにこれを設定してください。それ以外の場合は、rsa-sha256のままにしてください。

アウトバウンドログアウトリクエストを無効にする

現在、SSOでのログインはSLOをサポートしていません。このオプションは将来の開発のために計画されています。

認証リクエストに署名を希望します

JumpCloudがSAMLリクエストの署名を期待しているかどうか。

note

X509証明書を完成させるとき、有効期限の日付をメモしてください。SSOエンドユーザーへのサービスの中断を防ぐために、証明書を更新する必要があります。証明書が期限切れになった場合でも、管理者と所有者のアカウントは常にメールアドレスとマスターパスワードでログインできます。

IDプロバイダーの設定が完了したら、保存してください。

tip

シングルサインオン認証ポリシーを有効にすることで、ユーザーにSSOでログインすることを要求することができます。メモしてください、これは単一の組織ポリシーも同時に活性化する必要があります。もっと学ぶ

設定をテストする

設定が完了したら、https://vault.bitwarden.comに移動して、メールアドレスを入力し、続行を選択し、エンタープライズシングルオンボタンを選択してテストしてください:

エンタープライズシングルサインオンとマスターパスワード
エンタープライズシングルサインオンとマスターパスワード

設定された組織識別子を入力し、ログインを選択してください。あなたの実装が正常に設定されている場合、JumpCloudのログイン画面にリダイレクトされます。

JumpCloud ログイン
JumpCloud ログイン

あなたのJumpCloudの資格情報で認証した後、Bitwardenのマスターパスワードを入力して保管庫を復号化してください!

note

Bitwardenは勝手なレスポンスをサポートしていませんので、あなたのIdPからログインを開始するとエラーが発生します。SSOログインフローはBitwardenから開始されなければなりません。