Bitwarden - SAML認証

本記事では、OneLoginからBitwardenへのSAML シングルサインオン（SSO）の設定手順をご案内します。

目次

前提条件

SAML連携の設定

1. Bitwarden側の設定（前半）

2. OneLogin側の設定

3. Bitwarden側の設定（後半）

シングルサインオンの動作確認

マスターパスワードを使用する場合

信頼できるデバイスを使用する場合

SAML シングルサインオンの無効化

前提条件

• OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional（新料金体系）のいずれかであること
• OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
• Bitwardenの Enterprise に契約していること
• Bitwardenの 管理者権限 をお持ちであること

SAML連携の設定

1. Bitwarden側の設定（前半）

1. Bitwardenに管理者でログインし、［Admin Console］をクリックします
   
   
    
2. 設定 > ［Claimed domains]をクリックします
   
   
    
3. ドメインクレームを実施するために、［新しいドメイン］をクリックします。
   ドメインクレームを実施しない場合、ログインの際に任意のSSO 識別子を入力する必要があります
   
   
    
4. ［確認］をクリックします
   
   
    
5. 利用しているドメインを入力します
   
   
    
6. ［次へ］をクリックします
   
   
    
7. 利用しているDNS プロバイダーにTXT レコードを登録後、［Claim domain］をクリックします
   
   
    
8. ステータスが Claimed になったことを確認します
   
   
    
9. 設定 >［シングルサインオン(SSO)］をクリックします
   
   
    
10. SSO 認証を許可する を有効化します
    
    
     
11. 任意の SSO 識別子 を入力します
    例）pentio-dev-sso
    
    
     
12. メンバー復号オプション を設定します
    例1）マスターパスワード
    *シングルサインオン時に毎回マスターパスワードの入力が必要です。
    
    
    例2）信頼できるデバイス
    *信頼できるデバイスからのシングルサインオン時はマスターパスワードを必要としません。メンバーがアカウントを作成し最初にログインしたデバイスが信頼デバイスとなります。新しいデバイスは既存の信頼済みデバイスまたは管理者による承認が必要です。このオプションを使用すると、単一組織ポリシー、SSO必須ポリシー、アカウント回復管理ポリシーが有効となります。
    
    
     
13. タイプを SAML 2.0 に設定します
    
    
     
14. SP エンティティ ID と Assertion Consumer Service (ACS) URL をクリップボードへコピーします
    
    
     
15. 名前IDの形式 に Email Address を選択します
    

2. OneLogin側の設定

1. OneLoginに管理者でログインし、［管理］をクリックします
   
   
    
2. Applications メニューから［Applications］を選択します
   
   
    
3. ［Add App］をクリックします
   
   
    
4. 検索欄に【Bitwarden】と入力し、Bitwardenと書かれたコネクタをクリックします
   
   
    
5. ［Save］をクリックします
   
   
    
6. Configuration タブに移動し、EntityID に1. Bitwarden側の設定（前半）の手順14でコピーした EntityID を入力します
   
   
    
7. ACS に1. Bitwarden側の設定（前半）の手順14でコピーした Assertion Consumer Service (ACS) URL を入力します
   
   
    
8. SSO タブに移動し、SAML Signature Algorithm を SHA-256 に変更します
   
   
    
9. Issuer URL と SAML 2.0 Endpoint (HTTP) をクリップボードへコピーします
   
   
    
10. Access タブに移動し、Roles を割り当てます
    
    
     
11. ［Save］をクリックします
    
    
     
12. SSO タブに移動し、View Details をクリックします
    
    
     
13. X.509 Certificate の内容をクリップボードへコピーします
    

3. Bitwarden側の設定（後半）

1. エンティティID に2. OneLogin側の設定の手順9でコピーした Issuer URL を入力します
   
   
    
2. バインディングの種類 を HTTP POST に設定します
   
   
    
3. シングルサインオンサービス URL に2. OneLogin側の設定の手順9でコピーした SAML 2.0 Endpoint (HTTP)  を入力します
   
   
    
4. X509 公開鍵証明書 に2. OneLogin側の設定の手順13でコピーした X.509 Certificate  を入力します
   
   
    
5. ［保存］をクリックします
   

以上でSAML連携の設定は完了です。

シングルサインオンの動作確認

動作確認を行う際は、ブラウザのシークレットモードやプライベートブラウジングなどを利用し、上記設定を行ったBitwarden管理者としてのログイン済みセッションがないブラウザ環境でご確認ください。

マスターパスワードを使用する場合

※ 1. Bitwarden側の設定（前半）手順12のメンバー復号オプションで、マスターパスワード を選択した場合の動作確認方法です

1. Bitwardenのログインページを開きます
   
   
    
2. Bitwardenのコネクタが割り当てられたユーザーのメールアドレスを入力し、シングルサインオンを使用するをクリックします
   
   
    
3. OneLoginにログインします
   
   
    
4. マスターパスワードを入力し、［ロック解除］をクリックします
   
   
    
5. ログインできたことを確認します
   
    

信頼できるデバイスを使用する場合

初回ログインするデバイス（ブラウザ）を信頼できるデバイスとして登録することができます。新たにデバイスを登録する場合は、他のご登録済みデバイスから承認の操作が必要になります。

※ 1. Bitwarden側の設定（前半）手順12のメンバー復号オプションで、信頼できるデバイス を選択した場合の動作確認方法です

1. Bitwardenのログインページを開きます
   
   
    
2. Bitwardenのコネクタが割り当てられたユーザーのメールアドレスを入力し、シングルサインオンを使用するをクリックします
   
   
    
3. OneLoginにログインします
   
   
    
4. このデバイスを記録する にチェックを入れて、［続ける］をクリックします
   ※ 次回ログイン時に同じデバイス（ブラウザ）を使用する場合、デバイスの承認が不要になります。異なるデバイス（ブラウザ）を使う場合、Bitwardenにログイン済みのセッションから承認操作を行う必要があります
   
   
    
5. ログインできたことを確認します
   

以上でシングルサインオンの動作確認は完了です。

SAML シングルサインオンの無効化

1. Bitwardenに管理者でログインし、［Admin Console］をクリックします
   
   
    
2. 設定 > シングルサインオン(SSO) を開き、SSO 認証を許可する を無効化します
   
   
    
3. ［保存］をクリックします
   

以上でSAML連携解除の手順は完了です。