JumpCloud SAML Implementierung
Dieser Artikel enthält JumpCloud-spezifische Hilfe zur Konfiguration der Zugangsdaten mit SSO über SAML 2.0. Für Hilfe bei der Konfiguration der Zugangsdaten mit SSO für einen anderen IdP, verweisen Sie auf SAML 2.0 Konfiguration.
Die Konfiguration beinhaltet die gleichzeitige Arbeit innerhalb der Bitwarden-Web-App und des JumpCloud-Portals. Während Sie fortfahren, empfehlen wir, beides griffbereit zu haben und die Schritte in der Reihenfolge durchzuführen, in der sie dokumentiert sind.
Tipp
Already an SSO expert? Skip the instructions in this article and download screenshots of sample configurations to compare against your own.
Melden Sie sich bei der Bitwarden-Web-App an und öffnen Sie die Administrator-Konsole mit dem Produktumschalter ():
Öffnen Sie den Einstellungen → Single sign-on Bildschirm Ihrer Organisation:
Wenn Sie es noch nicht getan haben, erstellen Sie einen einzigartigen SSO-Identifikator für Ihre Organisation und wählen Sie SAML aus dem Typ-Dropdown aus. Lassen Sie diesen Bildschirm geöffnet, um leicht darauf zugreifen zu können.
Sie können die Option Legen Sie eine eindeutige SP-Entitäts-ID fest in diesem Stadium ausschalten, wenn Sie möchten. Wenn Sie dies tun, wird Ihre Organisations-ID aus Ihrem SP-Entity-ID-Wert entfernt. In fast allen Fällen wird jedoch empfohlen, diese Option aktiviert zu lassen.
Tipp
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Im JumpCloud Portal wählen Sie Anwendungen aus dem Menü und klicken Sie auf die Schaltfläche Loslegen:
Geben Sie Bitwarden in das Suchfeld ein und wählen Sie die konfigurieren Schaltfläche:
Tipp
If you are more comfortable with SAML, or want more control over things like NameID Format and Signing Algorithms, create a Custom SAML Application instead.
Im Abschnitt Allgemeine Informationen konfigurieren Sie die folgenden Informationen:
Feld | Beschreibung |
|---|---|
Anzeigeetikett | Geben Sie der Anwendung einen Bitwarden-spezifischen Namen. |
Im Abschnitt Konfiguration für Single Sign-On konfigurieren Sie die folgenden Informationen:
Feld | Beschreibung |
|---|---|
IdP-Entitäts-ID | Setzen Sie dieses Feld auf einen einzigartigen, Bitwarden-spezifischen Wert, zum Beispiel, |
SP-Entitäts-ID | Setzen Sie dieses Feld auf die vorab generierte SP Entity ID. Dieser automatisch generierte Wert kann aus den Einstellungen → Single Sign-On der Organisation kopiert werden und variiert je nach Ihrer Konfiguration. |
ACS-URL | Setzen Sie dieses Feld auf die vorab generierte Assertion Consumer Service (ACS) URL. Dieser automatisch generierte Wert kann von der Einstellungen → Single Sign-On Bildschirm der Organisation kopiert werden und variiert je nach Ihrer Konfiguration. |
Benutzerdefinierte SAML-App nur
Wenn Sie eine benutzerdefinierte SAML-Anwendung erstellt haben, müssen Sie auch die folgenden Felder für die Single Sign-On Konfiguration konfigurieren:
Feld | Beschreibung |
|---|---|
SAMLSubject NameID | Geben Sie das JumpCloud-Attribut an, das in SAML-Antworten als NameID gesendet wird. |
SAMLSubject NameID Format | Geben Sie das Format der in SAML-Antworten gesendeten NameID an. |
Signaturalgorithmus | Wählen Sie den Algorithmus aus, der zum Signieren von SAML-Behauptungen oder Antworten verwendet werden soll. |
Unterschriftsbehauptung | Standardmäßig wird JumpCloud die SAML-Antwort signieren. Markieren Sie dieses Kästchen, um die SAML-Behauptung zu unterschreiben. |
URL der Zugangsdaten | Geben Sie die URL an, über die Ihre Benutzer sich über SSO bei Bitwarden mit ihren Zugangsdaten anmelden werden. Für Kunden, die in der Cloud gehostet werden, ist dies |
Im Abschnitt Einmalige Anmeldekonfiguration → Attribute, erstellen Sie die folgenden SP → IdP Attributzuordnungen. Wenn Sie die Bitwarden-Anwendung in JumpCloud ausgewählt haben, sollten diese bereits erstellt worden sein:
Wenn Sie fertig sind, wählen Sie die aktivieren Schaltfläche.
Sobald die Anwendung aktiviert ist, verwenden Sie erneut die SSO Menüoption, um die erstellte Bitwarden Anwendung zu öffnen. Wählen Sie das Dropdown-Menü IDP Zertifikat und Zertifikat herunterladen:
Im JumpCloud Portal wählen Sie Benutzergruppen aus dem Menü:
Erstellen Sie entweder eine Bitwarden-spezifische Benutzergruppe oder öffnen Sie die standardmäßige Benutzergruppe "Alle Benutzer". In beiden Fällen wählen Sie den Tab Anwendungen und aktivieren Sie den Zugriff auf die erstellte Bitwarden SSO-Anwendung für diese Benutzergruppe:
Tipp
Alternatively, you can bind access to user groups directly from the SSO → Bitwarden Application screen.
Bis zu diesem Zeitpunkt haben Sie alles, was Sie im Kontext des JumpCloud Portals benötigen, konfiguriert. Kehren Sie zum Bitwarden Web-Tresor zurück, um die Konfiguration abzuschließen.
Der Single-Sign-On-Bildschirm teilt die Konfiguration in zwei Abschnitte auf:
Die Konfiguration des SAML-Dienstanbieters bestimmt das Format der SAML-Anfragen.
Durch die Konfiguration des SAML-Identitätsanbieters wird das zu erwartende Format für SAML-Antworten bestimmt.
Konfigurieren Sie die folgenden Felder entsprechend den in der JumpCloud Portal während der App-Erstellung getroffenen Auswahlmöglichkeiten:
Feld | Beschreibung |
|---|---|
Namens-ID-Format | Wenn Sie eine benutzerdefinierte SAML-Anwendung erstellt haben, stellen Sie dies auf das angegebene SAMLSubject NameID-Format ein. Andernfalls, lassen Sie Unspezifiziert. |
Ausgehendes Signatur-Algorithmus | Der Algorithmus, den Bitwarden zur Signierung von SAML-Anfragen verwenden wird. |
Unterzeichnungsverhalten | Ob/wann SAML-Anfragen signiert werden. Standardmäßig erfordert JumpCloud keine signierten Anfragen. |
Minimales Eingehendes Signatur-Algorithmus | Wenn Sie eine benutzerdefinierte SAML-Anwendung erstellt haben, stellen Sie dies auf den von Ihnen ausgewählten Signaturalgorithmus ein. Andernfalls lassen Sie es als |
Möchte Behauptungen unterschrieben haben | Wenn Sie eine benutzerdefinierte SAML-Anwendung erstellt haben, markieren Sie dieses Kästchen, wenn Sie die Option Sign Assertion in JumpCloud festgelegt haben. Andernfalls, lassen Sie es ungeprüft. |
Zertifikate validieren | Markieren Sie dieses Kästchen, wenn Sie vertrauenswürdige und gültige Zertifikate von Ihrem IdP über eine vertrauenswürdige CA verwenden. Selbstsignierte Zertifikate können fehlschlagen, es sei denn, geeignete Vertrauensketten sind innerhalb des Bitwarden Zugangsdaten mit SSO Docker-Image konfiguriert. |
Wenn Sie mit der Konfiguration des Dienstanbieters fertig sind, speichern Sie Ihre Arbeit.
Die Konfiguration des Identitätsanbieters erfordert oft, dass Sie auf das JumpCloud Portal zurückgreifen, um Anwendungswerte abzurufen:
Feld | Beschreibung |
|---|---|
Entitäts-ID | Geben Sie Ihre JumpCloud IdP Entity ID ein, die Sie vom JumpCloud Single Sign-On Konfigurationsbildschirm abrufen können. Dieses Feld ist Groß- und Kleinschreibungssensitiv. |
Bindungsart | Auf Umleiten einstellen. |
Einmaliges Anmelden Service URL | Geben Sie Ihre JumpCloud IdP URL ein, die Sie vom JumpCloud Single Sign-On Konfigurationsbildschirm abrufen können. |
URL des Einzelabmeldedienstes | Die Anmeldung mit SSO unterstützt derzeit nicht SLO. Diese Option ist für zukünftige Entwicklungen geplant. |
X509 Öffentliches Zertifikat | Fügen Sie das abgerufene Zertifikat ein und entfernen Sie es.
und
|
Ausgehendes Signatur-Algorithmus | Wenn Sie eine benutzerdefinierte SAML-Anwendung erstellt haben, stellen Sie dies auf den von Ihnen ausgewählten Signaturalgorithmus ein. Andernfalls lassen Sie es als |
Deaktivieren Sie ausgehende Abmeldeanfragen | Die Anmeldung mit SSO unterstützt derzeit nicht SLO. Diese Option ist für zukünftige Entwicklungen geplant. |
Möchte Authentifizierungsanfragen signiert haben | Ob JumpCloud erwartet, dass SAML-Anfragen signiert werden. |
Hinweis
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
Wenn Sie mit der Konfiguration des Identitätsanbieters fertig sind, speichern Sie Ihre Arbeit.
Tipp
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Sobald Ihre Konfiguration abgeschlossen ist, testen Sie diese, indem Sie zu https://vault.bitwarden.com navigieren, Ihre E-Mail-Adresse eingeben, Weiter auswählen und den Enterprise Single-On Button auswählen:
Geben Sie die konfigurierte Organisationskennung ein und wählen Sie Anmelden. Wenn Ihre Implementierung erfolgreich konfiguriert ist, werden Sie zum JumpCloud Zugangsdaten-Bildschirm weitergeleitet:
Nachdem Sie sich mit Ihren JumpCloud-Anmeldedaten authentifiziert haben, geben Sie Ihr Bitwarden Master-Passwort ein, um Ihren Tresor zu entschlüsseln!
Hinweis
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.