本記事では、OneLogin から Bitwarden へのSAML シングルサインオン(SSO)の設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスプラン が SSO, Advanced, Professional または旧ライセンスプラン Starter, Enterprise, Unlimited のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- Bitwardenの Enterprise に契約していること
- Bitwardenの 管理者権限 をお持ちであること
SAML連携の設定
1. Bitwarden側の設定(前半)
- Bitwardenに管理者でログインし、[Admin Console]をクリックします
- 設定 > [Claimed domains]をクリックします
- ドメインクレームを実施するために、[新しいドメイン]をクリックします。
ドメインクレームを実施しない場合、ログインの際に任意のSSO 識別子を入力する必要があります
- [確認]をクリックします
- 利用しているドメインを入力します
- [次へ]をクリックします
- 利用しているDNS プロバイダーにTXT レコードを登録後、[Claim domain]をクリックします
- ステータスが Claimed になったことを確認します
- 設定 >[シングルサインオン(SSO)]をクリックします
-
SSO 認証を許可する を有効化します
- 任意の SSO 識別子 を入力します
例)pentio-dev-sso
-
メンバー復号オプション を設定します
例1)マスターパスワード
*シングルサインオン時に毎回マスターパスワードの入力が必要です。
例2)信頼できるデバイス
*信頼できるデバイスからのシングルサインオン時はマスターパスワードを必要としません。メンバーがアカウントを作成し最初にログインしたデバイスが信頼デバイスとなります。新しいデバイスは既存の信頼済みデバイスまたは管理者による承認が必要です。このオプションを使用すると、単一組織ポリシー、SSO必須ポリシー、アカウント回復管理ポリシーが有効となります。
- タイプを SAML 2.0 に設定します
-
SP エンティティ ID と Assertion Consumer Service (ACS) URL をクリップボードへコピーします
-
名前IDの形式 に Email Address を選択します
2. OneLogin側の設定
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
Bitwarden と検索し、該当コネクタを選択します
- [Save]をクリックします
-
Configuration タブに移動し、EntityID に1. Bitwarden側の設定(前半)の手順14でコピーした EntityID を貼り付けます
-
ACS に1. Bitwarden側の設定(前半)の手順14でコピーした Assertion Consumer Service (ACS) URL を貼り付けます
-
SSO タブに移動し、SAML Signature Algorithm を SHA-256 に変更します
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択します
- [Save]をクリックします
-
SSO タブに移動し、Issuer URL と SAML 2.0 Endpoint (HTTP) をクリップボードへコピーします
-
View Details をクリックします
-
X.509 Certificate の内容をクリップボードへコピーします
3. Bitwarden側の設定(後半)
-
エンティティID に2. OneLogin側の設定の手順9でコピーした Issuer URL を入力します
-
バインディングの種類 を HTTP POST に設定します
-
シングルサインオンサービス URL に2. OneLogin側の設定の手順9でコピーした SAML 2.0 Endpoint (HTTP) を入力します
-
X509 公開鍵証明書 に2. OneLogin側の設定の手順13でコピーした X.509 Certificate を入力します
- [保存]をクリックします
SAML連携の設定は以上です。
SAML SSOの動作確認
動作確認を行う際は、ブラウザのシークレットモードやプライベートブラウジングなどを利用し、上記設定を行ったBitwarden管理者としてのログイン済みセッションがないブラウザ環境でご確認ください。
マスターパスワードを使用する場合
*1. Bitwarden側の設定(前半)手順12のメンバー復号オプションで、マスターパスワード を選択した場合の動作確認方法です。
-
Bitwardenのログインページを開きます
- Bitwardenのコネクタが割り当てられたユーザーのメールアドレスを入力し、シングルサインオンを使用するをクリックします
- OneLoginにログインします
- マスターパスワードを入力し、[ロック解除]をクリックします
- ログインできたことを確認します
信頼できるデバイスを使用する場合
初回ログインするデバイス(ブラウザ)を信頼できるデバイスとして登録することができます。新たにデバイスを登録する場合は、他のご登録済みデバイスから承認の操作が必要になります。
*1. Bitwarden側の設定(前半)手順12のメンバー復号オプションで、信頼できるデバイス を選択した場合の動作確認方法です。
-
Bitwardenのログインページを開きます
- Bitwardenのコネクタが割り当てられたユーザーのメールアドレスを入力し、シングルサインオンを使用するをクリックします
- OneLoginにログインします
-
このデバイスを記録する にチェックを入れて、[続ける]をクリックします
*次回ログイン時に同じデバイス(ブラウザ)を使用する場合、デバイスの承認が不要になります。異なるデバイス(ブラウザ)を使う場合、Bitwardenにログイン済みのセッションから承認操作を行う必要があります。
- ログインできたことを確認します
SAML SSOの動作確認は以上です。
SAML SSOの無効化
- Bitwardenに管理者でログインし、[Admin Console]をクリックします
- 設定 > シングルサインオン(SSO) を開き、SSO 認証を許可する を無効化します
- [保存]をクリックします
SAML SSOの無効化は以上です。