Implémentation de SAML AWS
Cet article contient de l'aide spécifique à AWS pour configurer l'identifiant avec SSO via SAML 2.0. Pour obtenir de l'aide pour configurer l'identifiant avec SSO pour un autre IdP, reportez-vous à Configuration SAML 2.0.
La configuration implique de travailler simultanément dans l'application web Bitwarden et la console AWS. Au fur et à mesure que vous avancez, nous vous recommandons d'avoir les deux facilement disponibles et de compléter les étapes dans l'ordre où elles sont documentées.
pointe
Already an SSO expert? Skip the instructions in this article and download screenshots of sample configurations to compare against your own.
Connectez-vous à l'application web Bitwarden et ouvrez la console Admin en utilisant le sélecteur de produit ():
Ouvrez l'écran Paramètres → Authentification unique de votre organisation :
Si vous ne l'avez pas déjà fait, créez un identifiant SSO unique pour votre organisation et sélectionnez SAML dans le menu déroulant Saisir . Gardez cet écran ouvert pour une référence facile.
Vous pouvez désactiver l'option Définir un ID d'entité SP unique à ce stade si vous le souhaitez. En faisant cela, votre ID d'organisation sera supprimé de la valeur de votre ID d'entité SP, cependant dans presque tous les cas, il est recommandé de laisser cette option activée.
pointe
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Dans la console AWS, naviguez jusqu'à AWS SSO, sélectionnez Applications dans la navigation, et sélectionnez le bouton Ajouter une nouvelle application :
Sous la barre de recherche, sélectionnez l'option Ajouter une application SAML 2.0 personnalisée :
Donnez à l'application un Nom d'affichage unique et spécifique à Bitwarden.
Vous aurez besoin des informations de cette section pour une étape de configuration ultérieure. Copiez l'URL de connexion AWS SSO et l'URL de l'émetteur AWS SSO, et téléchargez le certificat AWS SSO :
Dans le champ URL de démarrage de l'application, spécifiez l'URL d'identifiant à partir de laquelle les utilisateurs accéderont à Bitwarden. Pour les clients hébergés dans le cloud, c'est toujours https://vault.bitwarden.com/#/sso. Pour les instances auto-hébergées, cela est déterminé par votre URL de serveur configurée, par exemple https://votre.domaine/#/sso.
Dans la section des métadonnées de l'application, sélectionnez l'option pour entrer manuellement les valeurs des métadonnées :
Configurez les champs suivants :
Champ | Description |
|---|---|
URL de l'application ACS | Définissez ce champ sur l'URL du Service de Consommation d'Assertion (ACS) pré-générée. |
Audience de l'application SAML | Définissez ce champ sur l'ID d'entité SP pré-généré. |
Lorsque vous avez terminé, sélectionnez Enregistrer les modifications.
Naviguez vers l'onglet Mappages d'attributs et configurez les mappages suivants:
Attribut d'utilisateur dans l'application | Se traduit par cette valeur de chaîne ou attribut d'utilisateur dans AWS SSO | Format |
|---|---|---|
Sujet |
| adresse électronique |
courriel |
| Non spécifié |
Naviguez vers l'onglet Utilisateurs assignés et sélectionnez le bouton Assigner des utilisateurs :
Vous pouvez attribuer des utilisateurs à l'application individuellement, ou par Groupe.
À ce stade, vous avez configuré tout ce dont vous avez besoin dans le contexte de la console AWS. Retournez à l'application web Bitwarden pour terminer la configuration.
L'écran de connexion unique sépare la configuration en deux sections :
La configuration du fournisseur de services SAML déterminera le format des requêtes SAML.
La configuration du fournisseur d'identité SAML déterminera le format attendu pour les réponses SAML.
La configuration du fournisseur de services devrait déjà être terminée, cependant, vous pouvez choisir d'éditer l'un des champs suivants :
Champ | Description |
|---|---|
Format d'identifiant de nom | Définir sur Adresse de courriel. |
Algorithme de Signature Sortant | L'algorithme que Bitwarden utilisera pour signer les requêtes SAML. |
Comportement de signature | Si/quand les demandes SAML seront signées. |
Algorithme de Signature Minimum Entrant | Par défaut, AWS SSO signera avec SHA-256. À moins que vous n'ayez changé cela, sélectionnez |
Voulez des Assertions Signées | Que Bitwarden s'attend à ce que les assertions SAML soient signées. |
Valider les Certificats | Cochez cette case lorsque vous chantez des certificats de confiance et valides de votre IdP via une CA de confiance. Les certificats auto-signés peuvent échouer à moins que des chaînes de confiance appropriées ne soient configurées dans l'image Docker de Bitwarden Identifiant avec SSO. |
Lorsque vous avez terminé avec la configuration du fournisseur de services, Enregistrez votre travail.
La configuration du fournisseur d'Identité nécessitera souvent que vous vous référiez à la Console AWS pour récupérer les valeurs de l'application :
Champ | Description |
|---|---|
ID de l'entité | Entrez l'URL de l'émetteur AWS SSO, récupérée dans la section métadonnées AWS SSO dans la console AWS. Ce champ est sensible à la casse. |
Type de Reliure | Définir sur HTTP POST ou Redirection. |
URL du service de connexion unique | Entrez l'URL de connexion AWS SSO, récupérée dans la section métadonnées AWS SSO dans la console AWS. |
URL du service de déconnexion unique | L'identifiant avec SSO ne prend actuellement pas en charge SLO. Cette option est prévue pour un développement futur, cependant vous pouvez la pré-configurer avec l'URL de déconnexion AWS SSO récupérée dans la section métadonnées AWS SSO de la console AWS. |
Certificat Public X509 | Collez le certificat téléchargé, en supprimant
et
|
Algorithme de Signature Sortant | Par défaut, AWS SSO signera avec |
Désactiver les demandes de déconnexion sortantes | La connexion avec SSO actuellement ne supporte pas SLO. Cette option est prévue pour un développement futur. |
Voulez-vous que les demandes d'authentification soient signées | Que AWS SSO s'attend à ce que les demandes SAML soient signées. |
note
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
Lorsque vous avez terminé avec la configuration du fournisseur d'identité, Enregistrez votre travail.
pointe
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Une fois votre configuration terminée, testez-la en vous rendant sur https://vault.bitwarden.com, en entrant votre adresse de courriel, en sélectionnant Continuer, et en sélectionnant le bouton Connexion unique de l'Entreprise :
Entrez l'identifiant de l'organisation configuré et sélectionnez Se connecter. Si votre mise en œuvre est correctement configurée, vous serez redirigé vers l'écran d'identifiant AWS SSO :
Après vous être authentifié avec vos identifiants AWS, entrez votre mot de passe principal Bitwarden pour déchiffrer votre coffre !
note
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.