Auth0 SAML-implementatie
Dit artikel bevat Auth0-specifieke hulp voor het configureren van Login met SSO via SAML 2.0. Raadpleeg SAML 2.0 Configuratie voor hulp bij het configureren van inloggen met SSO voor een andere IdP.
Configuratie houdt in dat er tegelijkertijd wordt gewerkt binnen de Bitwarden web app en de Auth0 Portal. We raden u aan om beide documenten bij de hand te hebben en de stappen uit te voeren in de volgorde waarin ze zijn beschreven.
tip
Already an SSO expert? Skip the instructions in this article and download screenshots of sample configurations to compare against your own.
Log in op de Bitwarden web app en open de Admin Console met behulp van de product switcher ():
Open het scherm Instellingen → Eenmalige aanmelding van uw organisatie:
Als je dat nog niet hebt gedaan, maak dan een unieke SSO-identifier aan voor je organisatie en selecteer SAML in het keuzemenu Type . Houd dit scherm open voor gemakkelijke referentie.
U kunt de optie Een unieke SP entiteit ID instellen in dit stadium uitschakelen als u dat wilt. Als u dit doet, wordt uw organisatie-ID verwijderd uit uw SP entiteit-ID waarde, maar in bijna alle gevallen is het aan te raden om deze optie aan te laten staan.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Gebruik in de Auth0 Portal het menu Toepassingen om een Reguliere Webtoepassing te maken:
Klik op het tabblad Instellingen en configureer de volgende informatie, waarvan u sommige moet ophalen uit het Bitwarden Single Sign-On scherm:
Auth0-instelling | Beschrijving |
|---|---|
Naam | Geef de applicatie een Bitwarden-specifieke naam. |
Domein | Noteer deze waarde. Je zult het nodig hebben tijdens een latere stap. |
Type toepassing | Selecteer Regelmatige webtoepassing. |
Token Eindpunt Authenticatiemethode | Selecteer Post (HTTP Post), wat overeenkomt met een Binding Type attribuut dat je later zult configureren. |
Toepassing Login URI | Stel dit veld in op de vooraf gegenereerde SP entiteit ID. |
Toegestane terugbel URLS | Stel dit veld in op de vooraf gegenereerde URL van de Assertion Consumer Service (ACS). |
Soorten subsidies
Zorg ervoor dat in het gedeelte Geavanceerde instellingen → Soorten subsidies de volgende soorten subsidies zijn geselecteerd (mogelijk zijn ze al geselecteerd):
Certificaten
Kopieer of download uw ondertekeningscertificaat in de sectie Geavanceerde instellingen → Certificaten. Je hoeft er nu nog niets mee te doen, maar je zult er later wel naar moeten verwijzen.
Eindpunten
U hoeft niets aan te passen in het gedeelte Geavanceerde instellingen → Eindpunten, maar u hebt de SAML-eindpunten nodig om later naar te verwijzen.
tip
In smaller windows, the Endpoints tab can disappear behind the edge of the browser. If you're having trouble finding it, click the Certificates tab and hit the Right Arrow key (→).
Maak regels om het SAML responsgedrag van je applicatie aan te passen. Hoewel Auth0 een aantal opties biedt, wordt in dit gedeelte alleen ingegaan op de opties die specifiek overeenkomen met Bitwarden-opties. Om een aangepaste SAML configuratieregelset te maken, gebruik je het menu Auth Pipeline → Regels op Regels maken:
U kunt het volgende configureren:
Sleutel | Beschrijving |
|---|---|
| Algoritme dat Auth0 zal gebruiken om de SAML-bevestiging of het SAML-antwoord te ondertekenen. Standaard wordt |
| Algoritme dat wordt gebruikt om de digest van de SAML-bevestiging of het SAML-antwoord te berekenen. Standaard is |
| Auth0 ondertekent standaard alleen de SAML-bevestiging. Stel dit in op |
| Standaard is urn |
Implementeer deze regels met behulp van een Script zoals hieronder. Raadpleeg de documentatie van Auth0 voor hulp.
Bashfunction (user, context, callback) {
context.samlConfiguration.signatureAlgorithm = "rsa-sha256";
context.samlConfiguration.digestAlgorithm = "sha256";
context.samlConfiguration.signResponse = "true";
context.samlConfiguration.nameIdentifierFormat = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
context.samlConfiguration.binding = "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect";
callback(null, user, context);
}Op dit punt heb je alles geconfigureerd wat je nodig hebt binnen de context van de Auth0 Portal. Ga terug naar de Bitwarden web app om de configuratie te voltooien.
Het Single sign-on scherm verdeelt de configuratie in twee secties:
De configuratie van de SAML-serviceprovider bepaalt het formaat van SAML-verzoeken.
De configuratie van de SAML identiteitsprovider bepaalt het formaat dat wordt verwacht voor SAML antwoorden.
Tenzij je aangepaste regels hebt geconfigureerd, is de configuratie van je serviceprovider al voltooid. Als je aangepaste regels hebt geconfigureerd of verdere wijzigingen wilt aanbrengen aan je implementatie, bewerk dan de relevante velden:
Veld | Beschrijving |
|---|---|
Naam ID Formaat | NameID-formaat om op te geven in het SAML-verzoek |
Algoritme voor uitgaande ondertekening | Algoritme dat wordt gebruikt om SAML-verzoeken te ondertekenen, standaard |
Ondertekengedrag | Of/wanneer Bitwarden SAML verzoeken worden ondertekend. Auth0 vereist standaard niet dat verzoeken worden ondertekend. |
Algoritme voor minimale inkomende ondertekening | Het minimale ondertekeningsalgoritme dat Bitwarden accepteert in SAML-reacties. Auth0 ondertekent standaard met |
Ondertekende beweringen | Of Bitwarden SAML-asserties ondertekend wil hebben. Standaard zal Auth0 SAML asserties ondertekenen, dus vink dit vakje aan tenzij je een aangepaste ondertekeningsregel hebt geconfigureerd. |
Certificaten valideren | Vink dit vakje aan bij gebruik van vertrouwde en geldige certificaten van je IdP via een vertrouwde CA. Zelfondertekende certificaten kunnen mislukken tenzij de juiste vertrouwensketens zijn geconfigureerd in het Bitwarden Login met SSO docker image. |
Als je klaar bent met de configuratie van de serviceprovider, sla je je werk op.
Identity provider configuratie vereist vaak dat je terugverwijst naar de Auth0 Portal om applicatiewaarden op te halen:
Veld | Beschrijving |
|---|---|
Entiteit ID | Voer de domeinwaarde van je Auth0-toepassing in (zie hier), voorafgegaan door urn |
Type binding | Selecteer HTTP POST om overeen te komen met de Token Endpoint Authentication Method-waarde die is opgegeven in uw Auth0-toepassing. |
URL voor service voor eenmalige aanmelding | Voer de SAML-protocol URL (zie Endpoints) van uw Auth0-toepassing in. Bijvoorbeeld |
URL voor service voor eenmalig afmelden | Inloggen met SSO ondersteunt momenteel geen SLO. Deze optie is gepland voor toekomstige ontwikkeling, maar u kunt deze desgewenst vooraf configureren. |
X509 publiek certificaat | Plak het opgehaalde ondertekeningscertificaat en verwijder
en
|
Algoritme voor uitgaande ondertekening | Auth0 ondertekent standaard met |
Uitgaande afmeldverzoeken uitschakelen | Inloggen met SSO ondersteunt momenteel geen SLO. Deze optie is gepland voor toekomstige ontwikkeling. |
Authenticatieverzoeken ondertekend willen hebben | Of Auth0 verwacht dat SAML verzoeken worden ondertekend. |
noot
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
Sla uw werk op wanneer u klaar bent met de configuratie van de identity provider.
tip
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Zodra je configuratie voltooid is, kun je deze testen door te navigeren naar https://vault.bitwarden.com, je e-mailadres in te voeren, Doorgaan te selecteren en de knop Enterprise Single-On te selecteren:
Voer de geconfigureerde organisatie-ID in en selecteer Aanmelden. Als uw implementatie succesvol is geconfigureerd, wordt u doorgestuurd naar het Auth0 aanmeldscherm:
Nadat u zich hebt geverifieerd met uw Auth0-gegevens, voert u uw Bitwarden-hoofdwachtwoord in om uw kluis te ontsleutelen!
noot
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.