Implementación de SAML en AWS
Este artículo contiene ayuda específica de AWS para configurar el inicio de sesión con SSO a través de SAML 2.0. Para obtener ayuda para configurar el inicio de sesión con SSO para otro IdP, consulte Configuración de SAML 2.0.
La configuración implica trabajar simultáneamente dentro de la aplicación web de Bitwarden y la Consola de AWS. A medida que avanza, recomendamos tener ambos fácilmente disponibles y completar los pasos en el orden en que están documentados.
consejo
Already an SSO expert? Skip the instructions in this article and download screenshots of sample configurations to compare against your own.
Inicia sesión en la aplicación web de Bitwarden y abre la Consola de Administrador utilizando el conmutador de producto ():
Abra la pantalla de Ajustes → Inicio de sesión único de su organización:
Si aún no lo has hecho, crea un identificador SSO único para tu organización y selecciona SAML del menú desplegable de Tipo. Mantén esta pantalla abierta para fácil referencia.
Puedes desactivar la opción Establecer una ID de entidad SP única en esta etapa si lo deseas. Hacerlo eliminará su ID de organización de su valor de ID de entidad SP, sin embargo, en casi todos los casos, se recomienda dejar esta opción activa.
consejo
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
En la Consola de AWS, navega a AWS SSO, selecciona Aplicaciones desde la navegación, y selecciona el botón de Agregar una nueva aplicación:
Debajo de la barra de buscar, selecciona la opción Agregar una aplicación personalizada SAML 2.0:
Dale a la aplicación un Nombre de visualización único y específico de Bitwarden.
Necesitará la información de esta sección para un paso de configuración posterior. Copia la URL de inicio de sesión de AWS SSO y la URL del emisor de AWS SSO, y descarga el certificado de AWS SSO:
En el campo URL de inicio de la aplicación, especifique la URL de inicio de sesión desde la cual los usuarios accederán a Bitwarden. Para los clientes alojados en la nube, siempre es https://vault.bitwarden.com/#/sso. Para instancias autoalojadas, esto está determinado por su URL de servidor configurado, por ejemplo https://su.dominio/#/sso.
En la sección de metadatos de la aplicación, selecciona la opción para ingresar manualmente los valores de metadatos:
Configura los siguientes campos:
Campo | Descripción |
|---|---|
URL de la aplicación ACS | Establezca este campo en la URL del Servicio de Consumo de Afirmaciones (ACS) pre-generada. |
Aplicación de audiencia SAML | Establezca este campo en el ID de Entidad SP pre-generado. |
Cuando hayas terminado, selecciona Guardar cambios.
Navegue a la pestaña Mapeos de atributos y configure los siguientes mapeos:
Atributo de usuario en la aplicación | Se mapea a este valor de cadena o atributo de usuario en AWS SSO | Formato |
|---|---|---|
Asunto |
| dirección de correo electrónico |
correo electrónico |
| No especificado |
Navegue a la pestaña Usuarios asignados y seleccione el botón Asignar usuarios:
Puedes asignar usuarios a la aplicación a nivel individual, o por Grupo.
En este punto, has configurado todo lo que necesitas dentro del contexto de la Consola AWS. Regresa a la aplicación web de Bitwarden para completar la configuración.
La pantalla de inicio de sesión único separa la configuración en dos secciones:
La configuración del proveedor de servicios SAML determinará el formato de las solicitudes SAML.
La configuración del proveedor de identidad SAML determinará el formato que se esperará de las respuestas SAML.
La configuración del proveedor de servicios ya debería estar completa, sin embargo, puedes elegir editar cualquiera de los siguientes campos:
Campo | Descripción |
|---|---|
Formato de Identificación de Nombre | Establecer a Dirección de Correo Electrónico. |
Algoritmo de Firma de Salida | El algoritmo que Bitwarden utilizará para firmar solicitudes SAML. |
Comportamiento de Firma | Si/cuando las solicitudes SAML serán firmadas. |
Algoritmo de Firma de Entrada Mínima | Por defecto, AWS SSO firmará con SHA-256. A menos que haya cambiado esto, seleccione |
Quiero Afirmaciones Firmadas | Si Bitwarden espera que las afirmaciones SAML estén firmadas. |
Validar Certificados | Marque esta casilla cuando cante certificados confiables y válidos de su IdP a través de una CA de confianza. Los certificados autofirmados pueden fallar a menos que se configuren cadenas de confianza adecuadas dentro de la imagen de docker de Bitwarden Inicio de sesión con SSO. |
Cuando termines con la configuración del proveedor de servicios, Guarda tu trabajo.
La configuración del proveedor de Identidad a menudo requerirá que vuelvas a la Consola de AWS para recuperar los valores de la aplicación:
Campo | Descripción |
|---|---|
ID de la entidad | Ingrese la URL del emisor de AWS SSO, recuperada de la sección de metadatos de AWS SSO en la consola de AWS. Este campo distingue entre mayúsculas y minúsculas. |
Tipo de Encuadernación | Establecer a HTTP POST o Redireccionar. |
URL del Servicio de Inicio de Sesión Único | Ingrese la URL de inicio de sesión de AWS SSO, recuperada de la sección de metadatos de AWS SSO en la Consola de AWS. |
URL del Servicio de Cierre de Sesión Único | El inicio de sesión con SSO actualmente no admite SLO. Esta opción está planeada para un desarrollo futuro, sin embargo, puedes preconfigurarla con la URL de cierre de sesión de AWS SSO obtenida de la sección metadatos de AWS SSO en la Consola de AWS. |
Certificado Público X509 | Pega el certificado descargado, eliminando
y
|
Algoritmo de Firma de Salida | Por defecto, AWS SSO firmará con |
Deshabilitar Solicitudes de Cierre de Sesión Salientes | El inicio de sesión con SSO actualmente no admite SLO. Esta opción está planeada para un desarrollo futuro. |
Quiere Solicitudes de Autenticación Firmadas | Si AWS SSO espera que las solicitudes SAML estén firmadas. |
nota
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
Cuando termines con la configuración del proveedor de identidad, Guarda tu trabajo.
consejo
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Una vez que tu configuración esté completa, pruébala navegando a https://vault.bitwarden.com, ingresando tu dirección de correo electrónico, seleccionando Continuar, y seleccionando el botón Empresa Único-Inicio:
Ingrese el identificador de organización configurado y seleccione Iniciar sesión. Si su implementación está configurada con éxito, será redirigido a la pantalla de inicio de sesión de AWS SSO:
¡Después de autenticarte con tus credenciales de AWS, ingresa tu contraseña maestra de Bitwarden para descifrar tu caja fuerte!
nota
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.