Auth0 SAML Implementierung
Dieser Artikel enthält Auth0-spezifische Hilfe zur Konfiguration der Zugangsdaten mit SSO über SAML 2.0. Für Hilfe bei der Konfiguration der Zugangsdaten mit SSO für einen anderen IdP, verweisen Sie auf SAML 2.0 Konfiguration.
Die Konfiguration beinhaltet die gleichzeitige Arbeit innerhalb der Bitwarden-Web-App und des Auth0-Portals. Während Sie fortfahren, empfehlen wir, beides griffbereit zu haben und die Schritte in der Reihenfolge durchzuführen, in der sie dokumentiert sind.
Tipp
Already an SSO expert? Skip the instructions in this article and download screenshots of sample configurations to compare against your own.
Melden Sie sich bei der Bitwarden-Web-App an und öffnen Sie die Administrator-Konsole mit dem Produktumschalter ():
Öffnen Sie die Einstellungen Ihrer Organisation → Einmaliges Anmelden Bildschirm:
Wenn Sie es noch nicht getan haben, erstellen Sie einen einzigartigen SSO-Identifikator für Ihre Organisation und wählen Sie SAML aus dem Typ-Dropdown aus. Lassen Sie diesen Bildschirm geöffnet, um leicht darauf zugreifen zu können.
Sie können die Option Legen Sie eine eindeutige SP-Entitäts-ID fest in diesem Stadium ausschalten, wenn Sie möchten. Wenn Sie dies tun, wird Ihre Organisations-ID aus Ihrem SP-Entity-ID-Wert entfernt. In fast allen Fällen wird jedoch empfohlen, diese Option aktiviert zu lassen.
Tipp
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Im Auth0 Portal verwenden Sie das Anwendungen-Menü, um eine Reguläre Webanwendung zu erstellen:
Klicken Sie auf den Einstellungen Tab und konfigurieren Sie die folgenden Informationen, einige davon müssen Sie vom Bitwarden Single Sign-On Bildschirm abrufen:
Auth0 Einstellungen | Beschreibung |
|---|---|
Name | Geben Sie der Anwendung einen Bitwarden-spezifischen Namen. |
Domain | Nehmen Sie diese Notiz von diesem Wert. Sie werden es in einem späteren Schritt benötigen. |
Anwendungstyp | Wählen Sie Reguläre Webanwendung. |
Token-Endpunkt-Authentifizierungsmethode | Wählen Sie Post (HTTP Post), das einer Typ Bindung zugeordnet wird, die Sie später konfigurieren werden. |
Anwendungs-Zugangsdaten URI | Setzen Sie dieses Feld auf die vorab generierte SP Entity ID. |
Erlaubte Callback-URLs | Setzen Sie dieses Feld auf die vorab generierte Assertion Consumer Service (ACS) URL. |
Zuschusstypen
Im Abschnitt Erweiterte Einstellungen → Genehmigungsarten, stellen Sie sicher, dass die folgenden Genehmigungsarten ausgewählt sind (sie könnten bereits vorausgewählt sein):
Zertifikate
Im Abschnitt Erweiterte Einstellungen → Zertifikate, kopieren oder laden Sie Ihr Signaturzertifikat hoch. Sie müssen noch nichts damit machen, aber Sie werden es später referenzieren müssen.
Endpunkte
Sie müssen nichts in dem Abschnitt Erweiterte Einstellungen → Endpunkte bearbeiten, aber Sie werden die SAML-Endpunkte benötigen, um sie später zu referenzieren.
Tipp
In smaller windows, the Endpoints tab can disappear behind the edge of the browser. If you're having trouble finding it, click the Certificates tab and hit the Right Arrow key (→).
Erstellen Sie Regeln, um das SAML-Antwortverhalten Ihrer Anwendung anzupassen. Während Auth0 eine Nummer von Optionen bietet, wird sich dieser Abschnitt nur auf diejenigen konzentrieren, die speziell auf Bitwarden Optionen abgestimmt sind. Um eine benutzerdefinierte SAML-Konfigurationsregelsatz zu erstellen, verwenden Sie das Auth Pipeline → Regeln Menü um Regeln zu erstellen:
Sie können eine der folgenden Optionen konfigurieren:
Schlüssel | Beschreibung |
|---|---|
| Algorithmus, den Auth0 zur Signatur der SAML-Behauptung oder Antwort verwenden wird. Standardmäßig wird |
| Algorithmus zur Berechnung des Digests einer SAML-Behauptung oder Antwort. Standardmäßig, |
| Standardmäßig wird Auth0 nur die SAML-Behauptung signieren. Setzen Sie dies auf |
| Standardmäßig, |
Setzen Sie diese Regeln mit einem Skript um, wie dem untenstehenden. Für Hilfe, siehe Auth0's Dokumentation.
Bashfunction (user, context, callback) {
context.samlConfiguration.signatureAlgorithm = "rsa-sha256";
context.samlConfiguration.digestAlgorithm = "sha256";
context.samlConfiguration.signResponse = "true";
context.samlConfiguration.nameIdentifierFormat = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
context.samlConfiguration.binding = "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect";
callback(null, user, context);
}Bis zu diesem Zeitpunkt haben Sie alles, was Sie im Kontext des Auth0-Portals benötigen, konfiguriert. Kehren Sie zur Bitwarden-Webanwendung zurück, um die Konfiguration abzuschließen.
Der Single-Sign-On-Bildschirm teilt die Konfiguration in zwei Abschnitte auf:
Die Konfiguration des SAML-Dienstanbieters bestimmt das Format der SAML-Anfragen.
Durch die Konfiguration des SAML-Identitätsanbieters wird das zu erwartende Format für SAML-Antworten bestimmt.
Sofern Sie keine benutzerdefinierten Regeln eingerichtet haben, ist Ihre Dienstanbieter-Konfiguration bereits abgeschlossen. Wenn Sie benutzerdefinierte Regeln konfiguriert haben oder weitere Änderungen an Ihrer Implementierung vornehmen möchten, bearbeiten Sie die relevanten Felder:
Feld | Beschreibung |
|---|---|
Namens-ID-Format | NameID Format im SAML-Antrag anzugeben ( |
Ausgehendes Signatur-Algorithmus | Algorithmus, der zum Signieren von SAML-Anfragen verwendet wird, standardmäßig |
Unterzeichnungsverhalten | Ob/wann Bitwarden SAML-Anfragen signiert werden. Standardmäßig erfordert Auth0 keine Signatur für Anfragen. |
Mindesteingehender Signaturalgorithmus | Der Mindestsignaturalgorithmus, den Bitwarden in SAML-Antworten akzeptiert. Standardmäßig wird Auth0 mit |
Möchte Behauptungen unterschrieben haben | Ob Bitwarden SAML-Behauptungen signiert haben möchte. Standardmäßig signiert Auth0 SAML-Behauptungen, also markieren Sie dieses Kästchen, es sei denn, Sie haben eine benutzerdefinierte Signaturregel konfiguriert. |
Zertifikate validieren | Markieren Sie dieses Kästchen, wenn Sie vertrauenswürdige und gültige Zertifikate von Ihrem IdP über eine vertrauenswürdige CA verwenden. Selbstsignierte Zertifikate können fehlschlagen, es sei denn, die richtigen Vertrauensketten sind innerhalb des Bitwarden Zugangsdaten mit SSO Docker-Images konfiguriert. |
Wenn Sie mit der Konfiguration des Dienstanbieters fertig sind, speichern Sie Ihre Arbeit.
Die Konfiguration des Identitätsanbieters erfordert oft, dass Sie sich auf das Auth0-Portal beziehen, um Anwendungswerte abzurufen:
Feld | Beschreibung |
|---|---|
Entitäts-ID | Geben Sie den Domain-Wert Ihrer Auth0-Anwendung ein (siehe hier), vorangestellt von |
Bindungsart | Wählen Sie HTTP POST , um den Token-Endpunkt-Authentifizierungsmethode Wert zu entsprechen, der in Ihrer Auth0-Anwendung angegeben ist. |
Einmaliges Anmelden Service URL | Geben Sie die SAML-Protokoll-URL (siehe Endpunkte) Ihrer Auth0-Anwendung ein. Zum Beispiel, |
Einzel Abmelden Service URL | Die Anmeldung mit SSO unterstützt derzeit nicht SLO. Diese Option ist für zukünftige Entwicklungen geplant, jedoch können Sie sie vorab konfigurieren, wenn Sie möchten. |
X509 Öffentliches Zertifikat | Fügen Sie das abgerufene Signaturzertifikat ein und entfernen Sie es.
und
|
Ausgehendes Signaturverfahren | Standardmäßig wird Auth0 mit |
Deaktivieren Sie ausgehende Abmeldeanfragen | Die Anmeldung mit SSO unterstützt derzeit nicht SLO. Diese Option ist für zukünftige Entwicklungen geplant. |
Möchte Authentifizierungsanfragen signiert haben | Ob Auth0 erwartet, dass SAML-Anfragen signiert werden. |
Hinweis
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
Wenn Sie mit der Konfiguration des Identitätsanbieters fertig sind, speichern Sie Ihre Arbeit.
Tipp
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Sobald Ihre Konfiguration abgeschlossen ist, testen Sie diese, indem Sie zu https://vault.bitwarden.com navigieren, Ihre E-Mail-Adresse eingeben, Weiter auswählen und den Enterprise Single-On Button auswählen:
Geben Sie die konfigurierte Organisationskennung ein und wählen Sie Anmelden. Wenn Ihre Implementierung erfolgreich konfiguriert ist, werden Sie zum Auth0 Zugangsdaten-Bildschirm weitergeleitet:
Nachdem Sie sich mit Ihren Auth0-Anmeldeinformationen authentifiziert haben, geben Sie Ihr Bitwarden Master-Passwort ein, um Ihren Tresor zu entschlüsseln!
Hinweis
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.