SSO

Configure Unlock 1Password with Microsoft Entra ID as a public client

Learn how to set up 1Password to unlock with Microsoft Entra ID as a public client.

Mit 1Password Business kannst du deinen Teammitgliedern die Single Sign-On-Authentifizierung (SSO) ermöglichen, indem du Microsoft Entra ID (früher Azure AD) mit 1Password über „Entsperren mit SSO“ verbindest.

Entsperren mit SSO beinhaltet keine automatisierte Bereitstellung. Wenn du Nutzer und Gruppen erstellen, Zugriff verwalten und 1Password-Nutzer mit deinem Identitätsanbieter ausschließen möchtest, erfahre mehr darüber, wie du die Bereitstellung mit SCIM automatisierst.

This guide will help you set up a public client, which does not support Conditional Access policies. To use Conditional Access policies, set up a private client instead.

Before you begin

Before you can set up Unlock with SSO, you’ll need to:

  • Be an administrator in your 1Password Business account. Owners currently cannot unlock with SSO.
  • Du hast Berechtigungen als Anwendungsadministrator und Gruppenadministrator in Microsoft Entra ID.

After you have these prerequisites, follow the steps below.

These steps were recorded in April 2023 and may have changed since. Refer to the Microsoft documentation  for the most up-to-date steps.

Step 1: Add the 1Password SSO application to Entra ID

Um loszulegen, melde dich im Microsoft Azure-Portal  bei deinem Konto an und folge dann diesen Schritten:

  1. Search for and select Microsoft Entra ID.
  2. Under Manage, select App registrations then click New registration.
  3. Enter a name for your application.
  4. Select your preferred supported account types.
  5. Leave the Redirect URI field blank. You’ll fill it out later.
  6. Click Register to create the application.

You’ll see the details of the application you just created. Keep this open for the next step.

Schritt 2: Entsperren mit SSO konfigurieren

Wichtig

Die Änderungen, die du unten vornimmst, werden erst gespeichert, wenn du dich erfolgreich bei Microsoft authentifiziert hast. Dies verhindert, dass du dich aus 1Password aussperrst.

2.1: Richte Unlock mit SSO ein

  1. Öffne eine neue Browser-Registerkarte oder ein neues Fenster und melde dich an, bei deinem Konto auf 1Password.com.
  2. Click Policies in the sidebar.
  3. Klicke auf Verwalten unter Identitätsanbieter konfigurieren.
  4. Folge den Anweisungen auf dem Bildschirm, um „Entsperren mit SSO“ einzurichten.

2.2: Konfiguriere die Entra ID-Anwendung

Von der App-Übersichtsseite, zu der du nach Abschluss von Schritt 1 weitergeleitet wirst:

  1. Klicke in der Seitenleiste unter „Verwalten“ auf Authentifizierung.
  2. Under “Platform configurations”, select Add a platform, then choose Single-page application.
  3. Copy and paste the first URI from your Configure Identity Provider page.
  4. Lass das Feld Vorderer Kanal Abmelde-URL leer.
  5. Wähle ID-Token unter „Implizierte Erteilung und hybride Abläufe“ aus.
  6. Klicke auf Konfigurieren.
  7. Select Add a platform again, then choose Mobile and desktop applications.
  8. Copy and paste the second URI from your Configure Identity Provider page into the Custom redirect URIs field.
  9. Leave other redirect URI options deselected.
  10. Klicke auf Konfigurieren.

2.3: API-Berechtigungen konfigurieren

  1. Klicke auf API-Berechtigungen in der Seitenleiste.
  2. Klicke auf Eine Berechtigung hinzufügen.
  3. Klicke auf Microsoft Graph und dann auf Delegierte Berechtigungen.
  4. Wähle unter „OpenId-Berechtigung“ email, openid und profile aus.
  5. Klicke auf Berechtigungen hinzufügen.

Optional: You can click Grant admin consent to give tenant-wide consent for the 1Password application. Otherwise each user will grant consent the first time they use Unlock 1Password with Microsoft. 1Password asks only for read access to the permissions listed above.

Wichtig

Damit sich ein Nutzer mit Microsoft bei 1Password anmelden kann, muss die in Entra ID angegebene E-Mail mit der E-Mail übereinstimmen, die mit seinem 1Password-Konto verknüpft ist. Beachte, dass ihr Nutzer Principal Name unterschiedlich sein kann.

2.4: Erforderliche Ansprüche konfigurieren

1Password erfordert die Ansprüche Betreff, Name und E-Mail von Entra ID. Standardmäßig stellt Entra ID einen Anspruch Betreff bereit, der die Nutzereigenschaften Name und E-Mail automatisch zuordnet. 1Password versucht, Nutzer mit der Eigenschaft Betreff in Entra ID abzugleichen. Wenn dies fehlschlägt, wird auf die Eigenschaft E-Mail zurückgegriffen.

Wenn deine Nutzer eine E-Mail-Eigenschaft haben, die sich von ihrem Nutzer Principal Name (UPN) unterscheidet, musst du einen optionalen upn -Anspruch für das OIDC-ID-Token erstellen. Auch nach dem Hinzufügen eines upn -Anspruchs ist noch ein E-Mail Anspruch erforderlich.

  1. Wähle die App-Registrierung aus, die du früher erstellt hast.
  2. Klicke auf Token-Konfiguration in der Seitenleiste.
  3. Klicke auf Optionale Anspruch hinzufügen.
  4. Wähle ID.
  5. Scrolle nach unten und prüfe UPN, dann klicke auf Hinzufügen.

Erfahre mehr über das Bereitstellen optionaler Ansprüche in Entra ID.

2.5: Teste die Verbindung

Once you’ve configured your settings, go back to the Configure Identity Provider page and test the connection. You’ll be directed to Microsoft to sign in, then redirected to 1Password to sign in. This verifies connectivity between 1Password and Microsoft.

Schritt 3: Bestimme, welche Teammitglieder 1Password mit Microsoft entsperren werden, und setze eine Kulanzfrist

Nachdem du „Entsperren mit SSO“ konfiguriert hast, wirst du zur Einstellungsseite in deinem 1Password-Konto weitergeleitet. Bevor du deine Einstellungen konfigurierst, musst du Gruppen für die Teammitglieder erstellen, die 1Password mit Microsoft entsperren:

  1. Erstelle eine angepasste Gruppe.

    Gib der Gruppe zur Klarheit einen aussagekräftigen Namen wie „Microsoft SSO“.

  2. Füge Teammitglieder der Gruppe hinzu.

    Wenn du planst, weitere Teammitglieder einzuladen, um „Entsperren mit Microsoft“ zu einem späteren Zeitpunk zu testen, erstelle eine neue angepasste Gruppe für jede weitere Gruppe von Testern.

Die Gruppe(n), die du erstellst, müssen nicht dauerhaft sein und du kannst schließlich festlegen, dass dein ganzes Team mit SSO entsperrt, sobald einige Gruppen erfolgreich migriert wurden.

3.1: Entscheide, wer mit Microsoft entsperrt

Wichtig

Nutzer in der Gruppe Eigentümer können nicht mit Microsoft entsperren und melden sich weiterhin mit ihrem Kontopasswort und ihrem Geheimschlüssel bei 1Password an. Das trägt dazu bei, sie davor zu schützen, ausgesperrt zu werden, falls sie keinen Zugriff auf ihre verknüpften Apps und Browser haben und niemand sie wiederherstellen kann.

Erfahre mehr über die Implementierung eines Wiederherstellungsplans für dein Team.

Standardmäßig ist „Personen, die 1Password mit einem Identitätsanbieter entsperren“ auf „Niemand“ gesetzt. Dies ermöglicht es dir, dein Team schrittweise auf die Freischaltung mit Microsoft umzustellen. Um festzulegen, welche Teammitglieder 1Password mit Microsoft entsperren, wähle eine der Optionen:

  • Niemand: Um „Mit Microsoft entsperren“ auszuschalten, wähle Niemand aus.
  • Selected groups (recommended): Only the team members in groups you choose will sign in with Microsoft. Learn how to use custom groups in 1Password Business.
  • Everyone except guests: All team members, except owners and guests, will sign in with Microsoft. All existing users will be prompted to switch to Unlock with Microsoft, and all new users will use their Microsoft username and password when joining 1Password. Guests and owners will sign in with an account password and Secret Key.
  • Everyone (not recommended): Guests and all team members, except owners, will sign in with Microsoft. All existing users will be prompted to switch to Unlock with Microsoft, and all new users will use their Microsoft username and password when joining 1Password.

3.2: Eine Nachfrist festlegen

Teammitglieder, die bereits 1Password-Konten haben, müssen zu „Entsperren mit Microsoft“ wechseln. Gib die Anzahl der Tage an, bevor die Teammitglieder wechseln müssen. Beachte Folgendes, wenn du die Nachfrist festlegst:

  • Standardmäßig ist die Nachfrist auf 5 Tage festgelegt. Sie kann auf 1 bis 30 Tage festgelegt werden.
  • The grace period begins when an administrator adds a group after they choose the Selected groups option or when an administrator configures Unlock with Microsoft for everyone on the team. You’ll see the grace period listed next to each group configured to unlock with Microsoft.
  • Wenn ein Teammitglied zu mehr als einer Gruppe gehört, wird seine Nachfrist durch die erste mit SSO eingerichtete Gruppe bestimmt, auch wenn die Nachfristen für diese Gruppen unterschiedlich sind.
  • If you add a user to a group with an expired grace period, you or another administrator will need to recover their account so they can set up unlock with SSO.
  • If you edit the length of the grace period, it will be prolonged or shortened from the original configuration date. The grace period count doesn’t reset to zero when updated.
  • If you plan to have more team members unlock with Microsoft after initial configuration, it’s best to create a new custom group with its own grace period. This will make sure newly assigned team members won’t need their accounts recovered.

Wichtig

If a team member doesn’t migrate to Unlock with Microsoft before the end of the grace period, they’ll be signed out of all their devices and must contact an administrator to recover their account.

Optional: Füge 1Password zur Microsoft My Apps-Seite hinzu

Du kannst 1Password zur Seite Meine Apps hinzufügen, damit dein Team schnell eure Anmeldeadresse von dort aus öffnen kann:

  1. Melde dich im Microsoft Azure-Portal an. 
  2. Click Microsoft Entra ID, then select App registrations in the sidebar.
  3. Click the 1Password SSO app registration.
  4. Choose Branding & Properties from the sidebar.
  5. Enter your team’s sign-in address in the “Home page URL” field.
  6. Return to Microsoft Entra ID, then choose Enterprise applications in the sidebar.
  7. Click the app you just configured.
  8. Choose Properties under Manage in the sidebar, then make sure Visible to users? is set to Yes.

Manage settings

To manage your settings, sign in to your account on 1Password.com, then click Policies and choose Manage under Configure Identity Provider.

Konfiguration

To change your configuration with Entra ID, click Edit Configuration, then follow the onscreen instructions to set up Unlock with SSO. You can only set up one identity provider to unlock with SSO.

You can only save an identity provider configuration after you've successfully tested the connection. Changes won't be saved if you can't successfully authenticate with Microsoft. This prevents locking yourself out of 1Password.

Personenzuweisungen und Biometrie

Click Edit at the bottom of the settings page to change which users are assigned to unlock 1Password with Microsoft.

  • To specify which team members will unlock 1Password with Microsoft, select No one, Selected groups, Everyone except guests, or Everyone.

    "Selected groups" is recommended. Learn how to use custom groups in 1Password Business. To turn off Unlock with Microsoft, select No one.

  • Gib die Anzahl der Tage an, bevor Teammitglieder zum Entsperren mit Microsoft wechseln müssen.

    Die Standard-Nachfrist beträgt 5 Tage. Wenn ein Teammitglied nicht vor Ablauf der Nachfrist zu „Entsperren mit Microsoft “migriert, muss es seinen Administrator kontaktieren, um sein Konto wiederherzustellen.

  • Um Teammitgliedern das Entsperren mit Touch ID, Face ID, Windows Hello und anderen biometrischen Merkmalen zu ermöglichen, wähle die Option Zulassen, dass Personen 1Password mit biometrischen Merkmalen entsperren. Gib die Anzahl der Tage oder Wochen an, bevor du erneut aufgefordert wirst, dich bei Microsoft anzumelden.

    Wenn biometrisches Entsperren eingeschaltet ist, haben deine Teammitglieder bis zum angegebenen Zeitraum offline Zugriff auf 1Password. Nach Ablauf des Zeitraums ist der Zugriff auf den Tresor nur noch online möglich.

Click Review Changes to verify your choices, then click Save.

Next steps

Um „Entsperren mit Microsoft“ selbst zu verwenden, starte mit 1Password mit Microsoft entsperren als Teammitglied.

Erfahre mehr darüber, wie du 1Password mit Microsoft entsperren auf allen deinen Geräten verwendest und über verknüpfen von zusätzlichen Apps und Browsern mit deinem Konto.

Tipp

Wenn dein IT-Team eine Richtlinie hat, die Browserdaten beim Schließen eines Browsers löscht, schließe die Anmeldeadresse deines Teams von dieser Richtlinie aus, um sicherzustellen, dass deine Teammitglieder den Zugriff auf ihre verknüpften Browser nicht verlieren.

You can also encourage your team to link other apps and browsers to their accounts, like the 1Password desktop app, after they sign up or switch to unlock with SSO.

Unterstützung erhalten

Du kannst deine Anwendungs-ID und die URL des OpenID-Konfigurationsdokuments auf der Übersichtsseite der Anwendung finden, die du in Schritt 1 erstellt hast.

Wenn ein Teammitglied von einer Gruppe, die mit Microsoft entsperrt, zu einer wechselt, die dies nicht tut, wird es aufgefordert, ein Passwort für sein Konto zu erstellen und sein Emergency Kit herunterzuladen.

If you or one of your users see “400: invalid User Info endpoint or request” when you test the connection to Entra ID or link an app or browser for the first time, make sure the user’s DisplayName, GivenName, or FamilyName in Entra ID doesn’t contain any of the following characters: <>%\"\\;[]{}

Unterstützung erhalten, wenn du zu einem neuen Identitätsanbieter wechseln musst, nachdem du „Entsperren mit SSO“ eingerichtet hast.

Mehr erfahren

Veröffentlicht: