# Cloudflare Zero Trust SSO-implementatie

Dit artikel bevat **Cloudflare Zero Trust-specifieke** hulp voor het configureren van inloggen met SSO. Cloudflare Zero Trust is een cloudgebaseerd identiteits- en toegangsbeheerplatform dat kan integreren met meerdere identiteitsproviders (IdP's). Je kunt ook gateways en tunneling configureren voor beveiligde toegang tot het platform.

> [!NOTE] CFZT prerequisite information
> Cloudflare Zero Trust can be configured with any IdP that operates using SAML 2.0 or OIDC SSO configurations. If you are not familiar with these configurations, refer to these articles:
> 
> - [SAML 2.0 Configuration](https://bitwarden.com/nl-nl/help/configure-sso-saml/)
> - [OIDC Configuration](https://bitwarden.com/nl-nl/help/configure-sso-oidc/)

## Waarom Cloudflare Zero Trust met SSO gebruiken?

Cloudflare Zero Trust is een cloudgebaseerd proxy identiteits- en toegangsbeheerplatform dat kan integreren met meerdere identiteitsproviders (IdP's). Het voordeel van het gebruik van Cloudflare Zero Trust naast uw standaard IdP is de mogelijkheid om meerdere IdP's te configureren voor aanmelding. Cloudflare Zero Trust kan SSO-toegang bieden tot Bitwarden vanuit meerdere afzonderlijke organisaties, of sets van gebruikers binnen een organisatie.

## Open SSO in de webapp

> [!NOTE] Bitwarden requires SAML 2.0
> Cloudflare will only support SAML via the Access Application Gateway. This means that the **SAML 2.0** must be selected in the Bitwarden configuration. OIDC authentication can still be configured from the IdP and Cloudflare.

Log in op de Bitwarden web app en open de Admin Console met behulp van de product switcher ([filter]):

![Product switcher](https://bitwarden.com/assets/2uxBDdQa6lu0IgIEfcwMPP/e3de3361749b6496155e25edcfdcf08b/2024-12-02_11-19-56.png)

Open het scherm **Instellingen** → **Eenmalige aanmelding** van uw organisatie:

![SAML 2.0 configuratie ](https://bitwarden.com/assets/20720mRAluo6crSdTiYJrn/1175889d7f6ab42fe7614f34cdd1dcdd/2024-12-04_09-41-15.png)

Als je dat nog niet hebt gedaan, maak dan een unieke **SSO-identifier**aan voor je organisatie en selecteer **SAML**in het keuzemenu **Type**. Houd dit scherm open voor gemakkelijke referentie.

U kunt de optie **Een unieke SP entiteit ID instellen**in dit stadium uitschakelen als u dat wilt. Als u dit doet, wordt uw organisatie-ID verwijderd uit uw SP entiteit-ID waarde, maar in bijna alle gevallen is het aan te raden om deze optie aan te laten staan.

> [!TIP] Self-hosting, use alternative Member Decryption Options.
> Er zijn alternatieve **ontcijferingsopties voor leden**. Leer hoe u aan de slag kunt met [SSO met vertrouwde apparaten](https://bitwarden.com/nl-nl/help/about-trusted-devices/) of [Key Connector](https://bitwarden.com/nl-nl/help/about-key-connector/).

## Maak een Cloudflare Zero Trust aanmeldingsmethode

Om een Cloufdlare Zero Trust aanmeldingsmethode aan te maken:

1. Navigeer naar [Cloudflare Zero Trust](https://dash.cloudflare.com/login) en log in of maak een account aan.
2. Configureer een domein, dat zal fungeren als de URL die door je gebruikers wordt gebruikt om toegang te krijgen tot je applicaties of **App Launcher**, bijvoorbeeld `https://my-business.cloudflareaccess.com/.` Selecteer in het Cloudflare Zero Trust menu **Instellingen**→**Algemeen**→**Teamdomein**:

![Team domain setting](https://bitwarden.com/assets/4lN2NFw46RAynArFfiW3kD/6dfd8ef5b844347a60f9e230b9736450/2024-12-16_15-43-43.png)
3. Begin met het configureren van de eerste aanmeldingsmethode door te navigeren naar **Instellingen**→ **Authenticatie**→ **Nieuwe toevoegen.**
4. Selecteer de aanmeldingsmethode om verbinding te maken met Cloudflare Zero Trust. Als de IdP die je gebruikt niet voorkomt op de IdP-lijst, gebruik dan de SAML of OIDC generieke opties. In dit artikel wordt Okta als voorbeeld gebruikt:

![Cloudflare Zero Trust IdP list ](https://bitwarden.com/assets/5Zk3txh2X9fhcPVpMZVJPC/18ad36aaf277af50df063c96f89804e8/Screen_Shot_2022-10-11_at_4.17.21_PM.png)
5. Na het selecteren van de door u gekozen IdP aanmeldingsmethode volgt u de in-product handleiding van Cloudflare voor het integreren van uw IdP.

> [!NOTE] Disable support groups cfzt
> If the IdP you are using has a **support groups** feature, this option must be **disabled**. Bitwarden does not support group based claims, enabling this option will result in an XML element error on the Bitwarden end.

## Een Cloudflare Zero Trust-applicatie aanmaken

Nadat een IdP is geconfigureerd, moet je een Cloudflare Zero Trust-toepassing voor Bitwarden maken. **In dit voorbeeld maken we een SAML-applicatie**:

1. Navigeer naar **Toegang**→ **Toepassingen**→ **Een toepassing toevoegen**. 

![CFZT add an application](https://bitwarden.com/assets/70oK8FUQYXpKEvX00NZ9ai/a065258c17b5b01360a6aed574ce2192/2024-07-08_10-46-37.png)

2. Selecteer het type **SaaS**.

3. Open in de Bitwarden-webkluis uw organisatie en navigeer naar het scherm **Instellingen**→ **Single Sign-On**. Gebruik informatie van de webkluis om informatie in te vullen op het scherm **Configureer app**:

| **Sleutel** | **Beschrijving** |
|------|------|
| **Toepassing** | `Bitwarden` komt binnen. |
| **Entiteit ID** | Kopieer de **SP entiteit ID**van de Bitwarden Single Sign-On pagina naar dit veld. |
| **URL voor bevestiging Consumentenservice** | Kopieer de URL van de **Assertion consumer service (ACS)**van de Bitwarden Single Sign-On pagina naar dit veld. |
| **Naam ID Formaat** | Selecteer **E-mail**in het vervolgkeuzemenu. |

> [!NOTE] CFZT OIDC
> For the generic OIDC configuration, the Auth URL, Token URL, and Certificate URL can be located with the well-known URL.

4. Scroll omlaag naar het menu **Identity providers**. Selecteer de IdP(s) die u in de vorige sectie hebt geconfigureerd, scroll terug naar boven en selecteer **Volgende.**

5. Maak vervolgens een toegangsbeleid voor gebruikerstoegang tot de applicatie. Vul voor elk beleid de velden **Beleidsnaam**, **Actie** en **Sessieduur**in.

6. Je kunt ervoor kiezen om een groepsbeleid**(Toegang**→ **Groepen**) of expliciete regels voor gebruikersbeleid (zoals e-mails, "e-mails eindigend op", "land" of "iedereen") toe te wijzen. In het volgende voorbeeld is de groep "Anon Users" opgenomen in het beleid. Er is ook een extra regel toegevoegd om e-mails op te nemen die eindigen op het gekozen domein:

![CFZT app policy](https://bitwarden.com/assets/2VCZsMzbeUtuO9jx1oh6g7/a1fbe343872934b796ce486cf46835fb/Screen_Shot_2022-10-12_at_10.55.31_AM.png)

> [!NOTE] User access to the app launcher
> You can also apply user access through the **App Launcher**for access to the Bitwarden login with SSO shortcut. This can be managed by navigating to **Authentication**→ **App Launcher**→ **Manage**. The application policies in the above example can be duplicated or generated here.

7. Nadat het toegangsbeleid is geconfigureerd, scrolt u naar boven en selecteert u **Volgende**.

8. Kopieer in het **instellingenscherm** de volgende waarden en voer ze in de respectievelijke velden op de Bitwarden **Single Sign-On**pagina in:

| **Sleutel** | **Beschrijving** |
|------|------|
| **SSO eindpunt** | Het SSO-eindpunt bepaalt waar je SaaS-applicatie aanmeldingsverzoeken naartoe stuurt. Deze waarde wordt ingevoerd in het **Single Sign On Service URL-veld** in Bitwarden. |
| **Toegangsentiteit ID of uitgever** | De Access Entity ID of Issuer is de unieke identificatie van je SaaS-applicatie. Deze waarde wordt ingevuld in het **Entity ID-veld** op Bitwarden. |
| **Openbare sleutel** | De publieke sleutel is het openbare toegangscertificaat dat zal worden gebruikt om uw identiteit te verifiëren. Deze waarde wordt ingevoerd in het veld **X509 Public Certificate** op Bitwarden. |

9. Nadat de waarden zijn ingevoerd in Bitwarden, selecteert u **Opslaan**op het Bitwarden Single Sign-On-scherm en selecteert u **Gereed**op de Cloudflare-pagina om de toepassing op te slaan. 

10. Om een bladwijzer te maken naar het Bitwarden login met SSO scherm, selecteert u **Een toepassing toevoegen**→ **Bladwijzer**. Controleer of de bladwijzer zichtbaar is in de **App launcher**.

## De configuratie testen

Zodra uw configuratie voltooid is, kunt u deze testen door te navigeren naar https://vault.bitwarden.com, uw e-mailadres in te voeren, **Doorgaan**te selecteren en de knop **Enterprise single sign-on**te selecteren.

![Enterprise single sign on en hoofdwachtwoord ](https://bitwarden.com/assets/3BdlHeogd42LEoG06qROyQ/c68021df4bf45d72e9d37b1fbf5a6040/login.png)

Voer de geconfigureerde organisatie-ID in en selecteer **Aanmelden**. Als uw implementatie succesvol is geconfigureerd, wordt u omgeleid naar een Cloudflare Access-scherm, waar u de IdP kunt selecteren waarmee u wilt inloggen:

![Cloudflare IdP selection](https://bitwarden.com/assets/5SyHu8lc0ZJqjpL4hF53ie/b0d661e6772b58f681c47b7b01ebbaa0/Screen_Shot_2022-10-12_at_5.15.39_PM__2_.png)

Nadat u uw IdP hebt geselecteerd, wordt u doorgestuurd naar de inlogpagina van uw IdP. Voer de gegevens in die zijn gebruikt om in te loggen via uw IdP:

![CFZT IdP login](https://bitwarden.com/assets/7Avc5GWZaeGSk59v3rZ531/3be901d4f137012ef6d1e3cb13d9a4eb/Screen_Shot_2022-10-13_at_4.45.02_PM.png)

Nadat u zich hebt geverifieerd met uw IdP-referenties, voert u uw Bitwarden-hoofdwachtwoord in om uw kluis te ontsleutelen!