bridge-y
commented
11 months ago -
2つのフロントエンド実装がある
- Bitwarden と同じ認証フロー(e-mail入力 → 遷移後のパスワードを入力する画面でSSOのボタンが表示される)
- デフォルトのURLを
/ssoに変更
SSOを利用してログインするか、という問いの画面が表示される。
「キャンセル」をクリックすると、通常の認証フロー(e-mail入力→パスワード入力)となる。
-
SSO を有効にしていても、マスターパスワードの設定は必要
-
SSO(IdP 側)で2FAを有効にしていても、VaultWarden側で2FAを設定できてしまう。
- SSOで2FAを有効、かつ、SSOを必須にしている場合は、管理者ページや環境変数でVaultWardenの2FAを無効にしてよさそう。
- SSO 必須:
SSO_ONLY=trueとする。(下記の "SSO 関連の環境変数" を参照)
-
Dockerfile のビルドに時間がかかる
- 自分の環境では30分くらい
-
リポジトリでは Keycloak をつかって SSO をテストしているが、authentik でも SSO が動作することを確認できた
-
モバイルアプリ(Android)で SSO でログインできることを確認できた。
SSO 関連の環境変数
vaultwarden/.env.template at 09a399f8c5badb3200759622a543fcb106840404 · Timshel/vaultwarden
## SSO settings (OpenID Connect)
## Controls whether users can login using an OpenID Connect identity provider
# SSO_ENABLED=true
## Prevent users from logging in directly without going through SSO
# SSO_ONLY=false
## Auto accept organization invitation, if set to false you will need
## - to let user log using email+Master password (SSO_ONLY=false)
## - use a patched frontend to allow the invitation to be preserved across the sso redirection
# SSO_ACCEPTALL_INVITES=false
## Base URL of the OIDC server (auto-discovery is used)
# SSO_AUTHORITY=https://auth.example.com
## Set your Client ID and Client Key
# SSO_CLIENT_ID=11111
# SSO_CLIENT_SECRET=AAAAAAAAAAAAAAAAAAAAAAAA
## Optional SSO public key for JWT validation
# SSO_KEY_FILEPATH=%DATA_FOLDER%/sso_key.pub.pem
概要
VaultWarden は Bitwarden をセルフホストしやすいように Rust で実装した OSS。
Bitwarden のすべての機能を実装しているわけではない。
出典: Home · dani-garcia/vaultwarden Wiki の Missing features より。
SSO を望む声は一定数あり、issue やプルリクエストが見受けられる。
上記プルリクエストの実装をローカル環境で試してみる。