stefankittel
Goto Top

Onpremise Bitwarden mit AD-Anbindung und AD-Anmeldung

Hallo,

ich bräuchte mal einen Tipp.

Ich installieren hier gerade zum Test ein Onpremise-Bitwarden bei einem kleinen Kunden in einer VM.
Der Kunde hat ein lokales 2016-AD ohne Exchange. Email gibt es per IMAP. Kein O365.

Eine Enterprise-Lizenz ist vorhanden unt mit dem "Directory-Connector" habe ich die Benutzer und Gruppen zu BW übertragen und diese sind dort zu sehen.
Ich habe den Benutzern dazu manuel fake-Email-Adressen mustermann@bitwarden.firma.de eingetragen.

Nur... Wie melden sich die Benutzer nun an?
Er will ja eine Email-Adresse haben. Eine Anmeldung mit ad\mustermann wäre mir lieber, aber das scheint nicht zu gehen. Oder doch?

Also mit der neuen Email-Adresse. Nun will er das Master-Password.
Das sollen die Benutzer nicht erhalten. Oder verstehe ich hier etwas falsch und das soll jeder wissen?

Alternativ kann ich "Enterprise SSO" auswählen.
Hier will er nun eine SSO Kennung. Um diese eintragen zu können muss ich alle Felder für SAML oder OpenID ausfüllen. Welches nimmt man da für AD? Ich habe keine Anleitung dazu gefunden. Alles nur O365.

Ich habe für ad.firma.de auch mal eine Domänen-Validierung ausgeführt weil das dort als Alternative aufgeführt war. Damit kann ich mich immer noch nicht mit mustermann@ad.firma.de und dem AD-Kennwort anmelden.

Bei den Benutzern steht auch "eingeladen" sehe ich gerade.
Diese Email kann natürlich nicht ankommen.

Jemand einen Tipp für mich?

Stefan

Content-Key: 72197393980

Url: https://administrator.de/contentid/72197393980

Printed on: June 12, 2024 at 18:06 o'clock

Member: manuel-r
Solution manuel-r May 22, 2024 updated at 13:20:15 (UTC)
Goto Top
Hallo

Wie melden sich die Benutzer nun an? Er will ja eine Email-Adresse haben.

Schon mal mit dem UPN probiert?

Damit kann ich mich immer noch nicht mit mustermann@ad.firma.de und dem AD-Kennwort anmelden.

Upps ... hast du.

Bei den Benutzern steht auch "eingeladen" sehe ich gerade. Diese Email kann natürlich nicht ankommen.

Eventuell ist in der Mail die ja nicht ankommen kann ein Einladungslink über den der Benutzer erst aktiviert werden muss?!

Manuel
Member: ludaku
Solution ludaku May 22, 2024 updated at 13:25:05 (UTC)
Goto Top
Moin!

Zitat von @StefanKittel:
Eine Enterprise-Lizenz ist vorhanden unt mit dem "Directory-Connector" habe ich die Benutzer und Gruppen zu BW übertragen und diese sind dort zu sehen.
Ich habe den Benutzern dazu manuel fake-Email-Adressen mustermann@bitwarden.firma.de eingetragen.
Wozu das denn? Wieso nicht einfach über die normale E-Mail?

Also mit der neuen Email-Adresse. Nun will er das Master-Password.
Das sollen die Benutzer nicht erhalten. Oder verstehe ich hier etwas falsch und das soll jeder wissen?
Das Master-Passwort ist nicht für die komplette Installation, sondern per Bitwaren-Nomenklatur, dass persönliche Passwort, was der Benutzer benötigt, um sich anzumelden.

Du könntest, statt der Fake-E-Mail ja einfach die richtige (mustermann@firma.de) angeben. Dann wird er einen Link erhalten um sein Master-PW zu setzen.

Wenn keine separate Anmeldung bzw. kein separates Login gewünscht ist, führt vermutlich kein Weg an der "Enterprise SSO" vorbei. Damit habe ich aber keine Erfahrung.
Member: StefanKittel
StefanKittel May 22, 2024 updated at 15:02:26 (UTC)
Goto Top
Hallo,

ok, es funktioniert anders als gedacht.
Beim anlegen oder imporieren per LDAP von Benutzern bekommen die eine Einladung.
Darin enthalten ist ein Link zum erstellen des Masterkennwortes. Damit muss man sich anmelden.
Mit dem AD-Kennwort könnte es gehen, aber das ist nicht gewünscht. Denn der Admin könnte das AD-Kennwort zurücksetzten, sich anmelden und hätte Zugriff auf alle Kennwörter des Benutzers.

Heist der Benutzer muss dies Kennwort bei der 1. Nutzung immer eingeben.

Das führt mich zu folgenden Frage: Wie kann ich dem Benutzer erleichtern sich das Kennwort zu merken ohne es aufzuschreiben?
Ein Yubikey der immer im PC steckt hilft da auch nicht.

Wie macht Ihr das?

Bitwarden Masterkennwort sicher und einfach?

Stefan