Teams und Unternehmen

Entsperren von 1Password mit SSO unter Verwendung von OpenID Connect konfigurieren

Erfahre mehr darüber, wie du 1Password zum Entsperren mit SSO unter Verwendung von OpenID Connect (OIDC) einrichtest.

Mit 1Password Business kannst du deinen Teammitgliedern Single Sign-On (SSO) Authentifizierung ermöglichen, indem du deinen Identitätsanbieter unter Verwendung von „Entsperren mit SSO“ und OpenID Connect (OIDC) mit 1Password verbindest.

Entsperren mit SSO beinhaltet keine automatische Bereitstellung. Wenn du Nutzer und Gruppen erstellen, Zugriff verwalten und 1Password-Nutzer mit deinem Identitätsanbieter ausschließen möchtest, erfahre mehr darüber, wie du Bereitstellung mit SCIM automatisierst.

Before you begin

Bevor du beginnst, überprüfe die Überlegungen und Anforderungen zum Entsperren mit SSO.

Schritt 1: Füge deinem Identitätsanbieter eine 1Password-Anwendung hinzu

Bevor du Unlock with SSO in 1Password einrichten kannst, musst du eine App-Integration bei deinem Identitätsanbieter erstellen. Einige potenzielle Identitätsanbieter, die du verwenden kannst, sind:

das Duo-Logo Duo das OneLogin-Logo OneLogin das Ping Identität-Logo Ping

Wenn dein Identitätsanbieter nicht aufgeführt ist, ziehe die Dokumentation des Anbieters zu Rate, um zu erfahren, wie du eine OpenID Connect-App-Integration erstellen kannst. 1Password unterstützt nur mit OpenID Connectkonforme Identitätsanbieter. ADFS (Active Directory Federation Services) wird zurzeit nur mit Entra ID unterstützt.

Wenn dein Identitätsanbieter dich bittet, die Weiterleitung-URIs deiner Anwendung einzugeben, fahre mit Schritt 2 fort.

Schritt 2: Entsperren mit SSO konfigurieren

Wichtig

Die Änderungen, die du unten vornimmst, werden erst gespeichert, wenn du dich erfolgreich bei deinem Identitätsanbieter authentifiziert hast. Dies verhindert, dass du den Zugriff auf 1Password verlierst.

  1. Öffne eine neue Browser-Registerkarte oder ein neues Fenster und melde dich an, bei deinem Konto auf 1Password.com.
  2. Select Policies in sidebar, then select Manage policies under Configure Identity Provider.
  3. Select Other from the list of identity providers and select Next.
  4. Wähle deinen Identitätsanbieter aus und fülle dann die Felder mit dessen Konfigurationsinformationen aus.

    If your identity provider isn't listed, select Other.

  5. Select Next and copy the redirect URIs to the OIDC app integration you created in step 1.

    Wenn du Hilfe benötigst, um herauszufinden, wo du die URIs in deinem Identitätsanbieter eingibst, ziehe die Dokumentation deines Identitätsanbieters zu Rate.

2.1: Erforderliche Anwendungsbereiche und Ansprüche konfigurieren

1Password erfordert Anspüche zu Betreff, Name und E-Mail von deinem Identitätsanbieter. Wenn sich ein Teammitglied zum ersten Mal mit SSO anmeldet, muss seine 1Password-E-Mail mit dem Anspruch E-Mail aus seiner Anmeldung übereinstimmen. 1Password speichert den Anspruch Betreff, um zukünftige Anmeldungen vom Identitätsanbieter demselben Teammitglied in 1Password zuzuordnen.

Wichtig

Der Anspruch Betreff sollte ein eindeutiger Wert sein, der sich bei deinem Identitätsanbieter niemals ändert.

1Password fordert während der Authentifizierungsanfrage auch die Anwendungsbereiche E-Mail, Profile und OpenID an. Es wird erwartet, dass dein Identitätsanbieter diese Anwendungsbereiche interpretiert.

Für Details zur Konfiguration von Anwendungsbereichen und Ansprüchen ziehe die Dokumentation deines Identitätsanbieters zu Rate. Erfahre mehr über OpenID Connect-Implementierung.

2.2: Teste die Verbindung

Go back to the Configure Identity Provider page you had open at the end of step 2.1 and follow these steps:

  1. Wähle Weiter aus.
  2. Select Test Connection. You’ll be directed to your identity provider to sign in, then returned to 1Password. This verifies connectivity between 1Password and your identity provider.
  3. Nachdem du die Verbindung getestet hast, wähle Speichern aus.

Schritt 3: Bestimme, welche Teammitglieder 1Password mit SSO entsperren werden, und setze eine Kulanzfrist

Wichtig

Vorhandene Teammitglieder müssen sich mit ihrem Kontopasswort und ihrem Geheimschlüssel bei 1Password anmelden, bevor sie zu „Entsperren mit SSO“ wechseln. Wenn dein Unternehmen Emergency Kits ausgeschaltet hat oder eine Richtlinie zum Löschen des Browser-Caches hat, könnte dies dazu führen, dass Massen- Wiederherstellungen für Nutzer erforderlich sind, die ihre Anmeldedaten nicht haben.

Team members will be prompted to sign in with SSO during the recovery process.

Nachdem du „Entsperren mit SSO“ konfiguriert hast, wirst du zur Seite „Einstellungen“ in deinem 1Password-Konto weitergeleitet. Bevor du deine Einstellungen konfigurierst, musst du Gruppen für die Teammitglieder erstellen, die 1Password mit deinem Identitätsanbieter entsperren:

  1. Erstelle eine angepasste Gruppe.

    Gib der Gruppe zur Klarheit einen aussagekräftigen Namen, wie „Dein Identitätsanbieter SSO“.

  2. Füge Teammitglieder der Gruppe hinzu.

    Wenn du planst, zu einem späteren Zeitpunkt weitere Teammitglieder einzuladen, um „Entsperren mit deinem Identitätsanbieter“ zu testen, erstelle eine neue angepasste Gruppe für jede zusätzliche Gruppe von Testern.

The group(s) you create don’t have to be permanent, and you can eventually set your whole team to unlock with SSO after some groups have successfully migrated.

3.1: Wähle, wer mit deinem Identitätsanbieter entsperren wird.

Wichtig

Nutzer in der Eigentümer -Gruppe können nicht mit deinem Identitätsanbieter entsperren und melden sich weiterhin mit ihrem Kontopasswort und Geheimschlüssel bei 1Password an. Dies trägt dazu bei, sie davor zu schützen, ausgesperrt zu werden, falls sie keinen Zugriff auf ihre verknüpften Apps und Browser haben und niemand sie wiederherstellen kann.

Erfahre mehr über die Implementierung eines Wiederherstellungsplans für dein Team.

By default, “People unlocking 1Password with an identity provider” is set to “No one”. This allows you to gradually migrate your team to unlock with your identity provider. To specify which team members will unlock 1Password with your identity provider, select one of the options, depending on how you want to roll out unlock with SSO.

  • Niemand: Um „Entsperren mit deinem Identitätsanbieter“ auszuschalten, wähle Niemand aus.
  • Only groups you select: Only the team members in groups you choose will sign in with your identity provider. Learn how to use custom groups in 1Password Business. If you use this option, keep in mind that:
    • New users who are in a selected group when they join 1Password will use their your identity provider username and password.
    • New users who aren’t in a selected group will create an account with an account password and Secret Key.
    • If you use automated provisioning, group membership can change before someone first signs in. Learn more about interactions between automated provisioning and SSO.
  • Everyone except: groups you exclude: All team members, except owners and groups you choose to exclude, will sign in with your identity provider. If you use this option, keep in mind that:
    • Existing users in this scope will be prompted to switch to Unlock with your identity provider.
    • New users, except those in excluded groups, will use their your identity provider username and password when joining 1Password.
    • Owners will sign in with an account password and Secret Key.
  • Everyone except: guests: All team members, except owners and guests, will sign in with your identity provider. All existing users will be prompted to switch to Unlock with your identity provider, and all new users will use their your identity provider username and password when joining 1Password. Guests and owners will sign in with an account password and Secret Key.
  • Alle: Gäste und alle Teammitglieder, außer Eigentümer, melden sich mit deinem Identitätsanbieter an. Alle bestehenden Nutzer werden aufgefordert, zu „Entsperren mit deinem Identitätsanbieter“ zu wechseln, und alle neuen Nutzer verwenden ihren Nutzernamen und ihr Passwort von deinem Identitätsanbieter, wenn sie 1Password beitreten.

3.2: Eine Nachfrist festlegen

Teammitglieder, die bereits 1Password-Konten haben, müssen zu „Entsperren mit deinem Identitätsanbieter“ wechseln. Gib die Anzahl der Tage an, bevor die Teammitglieder wechseln müssen. Beachte Folgendes, wenn du die Nachfrist festlegst:

  • Standardmäßig ist die Nachfrist auf 5 Tage festgelegt. Sie kann auf 1 bis 30 Tage festgelegt werden.
  • The grace period begins as soon as you define the scope for Unlock with your identity provider. This includes when you add a group to the Only groups you select list or when you apply the requirement to everyone (including “Everyone except” options). You’ll see the grace period listed next to each group configured to unlock with your identity provider.
  • Wenn ein Teammitglied zu mehr als einer Gruppe gehört, wird seine Nachfrist durch die erste mit SSO eingerichtete Gruppe bestimmt, auch wenn die Nachfristen für diese Gruppen unterschiedlich sind.
  • If you add a team member who hasn’t set up unlock with SSO to a group with an expired grace period, you or another administrator will need to recover their account so they can sign in again using SSO.
  • Wenn du die Länge der Nachfrist bearbeitest, wird sie ab dem ursprünglichen Datum verlängert oder verkürzt, das du für das Entsperren der Gruppe mit SSO konfiguriert hast, .
  • Wenn du nach der ersten Einrichtung weitere Teammitglieder zum Entsperren mit deinem Identitätsanbieter konfigurieren musst, erstelle eine neue angepasste Gruppe mit einer aktiven Nachfrist. So wird sichergestellt, dass neu zugewiesene Teammitglieder keine Wiederherstellung ihrer Konten benötigen.

Wichtig

Wenn ein Teammitglied nicht vor Ablauf der Nachfrist zu „Entsperren mit deinem Identitätsanbieter“ migriert, kann es sich auf seinen Geräten nicht bei seinem Konto anmelden und muss einen Administrator kontaktieren, um sein Konto wiederherzustellen. Das Teammitglied wird während des Wiederherstellungsprozesses zu „Entsperren mit deinem Identitätsanbieter“ wechseln.

Next steps

To use Unlock with your identity provider yourself, follow the steps to switch to Unlock with SSO. Share the following resources with your team members so they can set up their accounts:

Benutzerhandbuch

Tipp

Wenn dein IT-Team eine Richtlinie hat, die Browserdaten beim Schließen eines Browsers löscht, schließe die Anmeldeadresse deines Teams von dieser Richtlinie aus, um sicherzustellen, dass deine Teammitglieder den Zugriff auf ihre verknüpften Browser nicht verlieren.

You can also encourage your team to link other apps and browsers to their accounts, like the 1Password desktop app, after they sign up or switch to unlock with SSO.

Manage settings

To manage your settings, sign in to your account on 1Password.com, then select Manage policies under Configure Identity Provider.

Tipp

You can add the 1Password logo to the 1Password application in your identity provider to visually identify it.

Konfiguration

To change your configuration with your identity provider, select Edit Configuration, then follow the onscreen instructions to set up Unlock with SSO. You can only set up one identity provider to unlock with SSO. When you’ve finished making changes, select Review Changes, then select Save.

Du kannst eine Identitätsanbieterkonfiguration erst speichern, nachdem du die Verbindung erfolgreich getestet hast. Änderungen werden nicht gespeichert, wenn du dich nicht erfolgreich mit deinem Identitätsanbieter authentifizieren kannst. Dies verhindert, dass du den Zugriff auf 1Password verlierst.

Personenzuweisungen und Biometrie

Select Edit at the bottom of the settings page to change which users are assigned to unlock 1Password with your identity provider. Learn more about best practices for biometrics and offline access

  • To edit who can unlock with your identity provider, choose an option in Who can unlock 1Password with an identity provider.

    For a comparison of scope options and rollout guidance, see Step 3.1 in this article. To turn off Unlock with your identity provider, select No one.

  • To edit the grace period, set the number of days before team members must switch to unlocking with your identity provider.

    For details about how grace periods work and what happens when they expire, see Step 3.2 in this article.

  • Um Teammitgliedern das Entsperren mit Touch ID, Face ID, Windows Hello und anderen biometrischen Merkmalen zu ermöglichen, wähle Zulassen, dass Personen 1Password mit biometrischen Merkmalen entsperren. Gib die Anzahl der Tage oder Wochen an, bevor sie aufgefordert werden, sich erneut bei deinem Identitätsanbieter anzumelden.

    Wenn biometrisches Entsperren eingeschaltet ist, haben deine Teammitglieder bis zum angegebenen Zeitraum offline Zugriff auf 1Password. Nach Ablauf des Zeitraums ist der Zugriff auf den Tresor nur noch online möglich.

Wähle Änderungen überprüfen aus, um deine Auswahl zu verifizieren und wähle dann Speichern aus.

Unterstützung erhalten

Sieh in der Dokumentation deines Identitätsanbieters nach, um deine OpenID Connect bekannte URL zu finden. Sie kann einem der folgenden Formate folgen: YOUR_DOMAIN.identity-provider.com/.well-known/openid-configuration oder YOUR_DOMAIN.identity-provider.com/oauth2/default/.well-known/openid-configuration.

If a team member is moved from a group that unlocks with SSO to one that doesn’t, their account will be taken through the recovery process. They’ll be prompted to create an account password and download their Emergency Kit, then you’ll need to complete their recovery.

If you’re having trouble setting up Unlock with SSO for your organization, learn how to troubleshoot your configuration.

Unterstützung erhalten, wenn du zu einem neuen Identitätsanbieter wechseln musst, nachdem du „Entsperren mit SSO“ eingerichtet hast.

Mehr erfahren


Published: