Okta OIDC-implementatie
Dit artikel bevat Okta-specifieke hulp voor het configureren van inloggen met SSO via OpenID Connect (OIDC). Voor hulp bij het configureren van aanmelding met SSO voor een andere OIDC IdP, of voor het configureren van Okta via SAML 2.0, zie OIDC-configuratie of Okta SAML-implementatie.
Bij de configuratie wordt tegelijkertijd gewerkt binnen de Bitwarden-webapp en het Okta Admin Portal. We raden u aan om beide documenten bij de hand te hebben en de stappen uit te voeren in de volgorde waarin ze zijn beschreven.
Log in op de Bitwarden web app en open de Admin Console met behulp van de product switcher ():
Selecteer Instellingen → Eenmalige aanmelding in de navigatie:
Als je dit nog niet hebt gedaan, maak dan een unieke SSO identifier aan voor je organisatie. Verder hoef je nog niets aan te passen op dit scherm, maar houd het open voor gemakkelijke referentie.
tip
Er zijn alternatieve ontcijferingsopties voor leden. Leer hoe u aan de slag kunt met SSO met vertrouwde apparaten of Key Connector.
Selecteer in het Okta Admin Portal Applicaties → Applicaties in de navigatie. Selecteer in het scherm Toepassingen de knop Appintegratie maken. Selecteer bij Aanmeldmethode OIDC - OpenID Connect. Selecteer Webtoepassing voor Type toepassing:
Configureer de volgende velden in het scherm New Web App Integration:
Veld | Beschrijving |
|---|---|
Naam app-integratie | Geef de app een Bitwarden-specifieke naam. |
Type subsidie | Schakel de volgende subsidietypen in: |
URI's voor aanmelden omleiden | Stel dit veld in op uw Terugbelpad, dat u kunt ophalen uit het Bitwarden SSO-configuratiescherm. |
Afmelden omleiden URI's | Stel dit veld in op uw afgemelde terugbelpad, dat u kunt ophalen uit het scherm Bitwarden SSO-configuratie. |
Opdrachten | Gebruik dit veld om aan te geven of alle of alleen bepaalde groepen Bitwarden Login met SSO kunnen gebruiken. |
Selecteer na het configureren de knop Volgende.
Kopieer in het scherm Toepassing de Client-ID en Client-secret voor de nieuw gemaakte Okta-app:
Je zult beide waarden in een latere stap moeten gebruiken.
Selecteer Beveiliging → API in de navigatie. Selecteer in de lijst Authorization Servers de server die je wilt gebruiken voor deze implementatie. Kopieer op het tabblad Instellingen voor de server de waarden Issuer en Metadata URI:
Je zult beide waarden moeten gebruiken tijdens de volgende stap.
Op dit punt hebt u alles geconfigureerd wat u nodig hebt binnen de context van het Okta Admin Portal. Ga terug naar de Bitwarden web app om de volgende velden te configureren:
Veld | Beschrijving |
|---|---|
Autoriteit | Voer de opgehaalde Issuer URI voor uw autorisatieserver in. |
Klant-ID | Voer de opgehaalde Client ID voor uw Okta-app in. |
Geheim van de klant | Voer het opgehaalde Client secret voor uw Okta-app in. |
Metadata-adres | Voer de opgehaalde Metadata URI voor uw autorisatieserver in. |
OIDC omleidingsgedrag | Selecteer GET omleiden. Okta ondersteunt momenteel geen Form POST. |
Claims ophalen bij eindpunt gebruikersinformatie | Schakel deze optie in als je URL te lang fouten (HTTP 414), afgekorte URLS en/of fouten tijdens SSO ontvangt. |
Extra/aangepaste scopes | Definieer aangepaste scopes die moeten worden toegevoegd aan het verzoek (door komma's gescheiden). |
Extra/Aangepaste gebruikers-ID Claimtypes | Definieer aangepaste claimtype-sleutels voor gebruikersidentificatie (door komma's gescheiden). Indien gedefinieerd, wordt er eerst gezocht naar aangepaste claimtypes voordat er wordt teruggevallen op standaardtypes. |
Extra/gewone e-mailclaimtypes | Definieer aangepaste claimtype-sleutels voor e-mailadressen van gebruikers (door komma's gescheiden). Indien gedefinieerd, wordt er eerst gezocht naar aangepaste claimtypes voordat er wordt teruggevallen op standaardtypes. |
Extra/Aangepaste naam Claimtypes | Definieer aangepaste claimtype-sleutels voor de volledige namen of weergavenamen van gebruikers (door komma's gescheiden). Indien gedefinieerd, wordt er eerst gezocht naar aangepaste claimtypes voordat er wordt teruggevallen op standaardtypes. |
Referentiewaarden aangevraagde Authenticatie Context Klasse | Definieer Authentication Context Class Reference identifiers |
Verwachte "acr" claimwaarde in antwoord | Definieer de |
Sla je werk op als je klaar bent met het configureren van deze velden.
tip
Je kunt gebruikers verplichten om in te loggen met SSO door het authenticatiebeleid voor eenmalige aanmelding te activeren. Let op, hiervoor moet ook het beleid voor één organisatie worden geactiveerd. Meer informatie.
Zodra je configuratie voltooid is, kun je deze testen door te navigeren naar https://vault.bitwarden.com, je e-mailadres in te voeren, Doorgaan te selecteren en de knop Enterprise Single-On te selecteren:
Voer de geconfigureerde organisatie-ID in en selecteer Aanmelden. Als uw implementatie succesvol is geconfigureerd, wordt u doorgestuurd naar het inlogscherm voor Okta:
Nadat u zich hebt geverifieerd met uw Okta-referenties, voert u uw Bitwarden-masterwachtwoord in om uw kluis te ontsleutelen!
note
Bitwarden ondersteunt geen ongevraagde antwoorden, dus inloggen vanuit je IdP zal resulteren in een foutmelding. De SSO-aanmeldingsstroom moet worden geïnitieerd vanuit Bitwarden. Okta-beheerders kunnen een Okta Bookmark App maken die rechtstreeks naar de inlogpagina van de Bitwarden-webkluis verwijst.
Navigeer als beheerder naar het vervolgkeuzemenu Toepassingen op de hoofdnavigatiebalk en selecteer Toepassingen.
Klik op Bladeren App Catalog.
Zoek naar Bookmark App en klik op Integratie toevoegen.
Voeg de volgende instellingen toe aan de applicatie:
Geef de applicatie een naam zoals Bitwarden Login.
Geef in het URL-veld de URL naar uw Bitwarden-client op, zoals
https://vault.bitwarden.com/#/loginofuw-zelf-gehosteURL.com.
Selecteer Gereed en keer terug naar het applicaties dashboard en bewerk de nieuw aangemaakte app.
Personen en groepen toewijzen aan de applicatie. Je kunt ook een logo aan de applicatie toewijzen voor herkenning door de eindgebruiker. Het Bitwarden-logo is hier verkrijgbaar.
Zodra dit proces is voltooid, hebben toegewezen personen en groepen een Bitwardenbladwijzerapplicatie op hun Okta-dashboard die hen rechtstreeks koppelt aan de inlogpagina voor de Bitwarden webkluis.