Duo SAML implementatie
Dit artikel bevat Duo-specifieke hulp voor het configureren van login met SSO via SAML 2.0. Raadpleeg SAML 2.0 Configuratie voor hulp bij het configureren van login met SSO voor een andere IdP.
Bij de configuratie wordt gelijktijdig gewerkt tussen de Bitwarden webapp en het Duo Admin Portaal. We raden u aan om beide documenten bij de hand te hebben en de stappen uit te voeren in de volgorde waarin ze zijn beschreven.
tip
Already an SSO expert? Skip the instructions in this article and download screenshots of sample configurations to compare against your own.
waarschuwing
This article assumes that you have already set up Duo with an Identity Provider. If you haven't, see Duo's documentation for details.
Log in op de Bitwarden web app en open de Admin Console met behulp van de product switcher ():
Open het scherm Instellingen → Eenmalige aanmelding van uw organisatie:
Als je dat nog niet hebt gedaan, maak dan een unieke SSO-identifier aan voor je organisatie en selecteer SAML in het keuzemenu Type . Houd dit scherm open voor gemakkelijke referentie.
U kunt de optie Een unieke SP entiteit ID instellen in dit stadium uitschakelen als u dat wilt. Als u dit doet, wordt uw organisatie-ID verwijderd uit uw SP entiteit-ID waarde, maar in bijna alle gevallen is het aan te raden om deze optie aan te laten staan.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Raadpleeg voordat u verdergaat de documentatie van Duo om te controleren of Duo Single Sign-On is geconfigureerd met uw SAML-identiteitsprovider voor verificatie.
Navigeer in het Duo Admin Portal naar het scherm Toepassingen en selecteer Bescherm een toepassing. Voer Bitwarden in de zoekbalk in en selecteer Configureren voor de Bitwarden 2FA met SSO gehost door Duo toepassing:
Selecteer Activeren en Setup starten voor de nieuw aangemaakte applicatie:
Voltooi de volgende stappen en configuraties in het scherm Applicatieconfiguratie, waarvan u sommige moet ophalen uit het Bitwarden single sign-on scherm:
Je hoeft niets te bewerken in het gedeelte Metadata, maar je zult deze waarden later wel moeten gebruiken:
Selecteer de knop Certificaat downloaden om uw X.509-certificaat te downloaden, omdat u dit later in de configuratie moet gebruiken.
Veld | Beschrijving |
|---|---|
Entiteit ID | Stel dit veld in op de vooraf gegenereerde SP entiteit ID. Deze automatisch gegenereerde waarde kan worden gekopieerd vanuit het Instellingen → Enkelvoudige aanmelding scherm van de organisatie en zal variëren afhankelijk van je instelling. |
URL Assertion Consumentenservice (ACS) | Stel dit veld in op de vooraf gegenereerde URL van de Assertion Consumer Service (ACS). |
Aanmeldings-URL serviceprovider | Stel dit veld in op de aanmeldings-URL van waaruit gebruikers toegang krijgen tot Bitwarden. |
Veld | Beschrijving |
|---|---|
Formaat NameID | Stel dit veld in op de SAML NameID-indeling zodat Duo deze kan verzenden in SAML-reacties. |
NameID attribuut | Stel dit veld in op het Duo-attribuut dat de NameID in reacties zal invullen. |
Handtekening algoritme | Stel dit veld in op het coderingsalgoritme dat moet worden gebruikt voor SAML-bevestigingen en -reacties. |
Opties voor ondertekening | Selecteer of u een antwoord wilt ondertekenen, een bewering wilt ondertekenen of beide. |
Kenmerken kaart | Gebruik deze velden om IdP-attributen toe te wijzen aan SAML-responsattributen. Ongeacht welk NameID attribuut je hebt geconfigureerd, koppel het IdP |
Sla je wijzigingen op als je klaar bent met het configureren van deze velden.
Op dit punt hebt u alles geconfigureerd wat u nodig hebt binnen de context van Duo Portal. Ga terug naar de Bitwarden web app om de configuratie te voltooien.
Het Single sign-on scherm verdeelt de configuratie in twee secties:
De configuratie van de SAML-serviceprovider bepaalt het formaat van SAML-verzoeken.
De configuratie van de SAML identiteitsprovider bepaalt het formaat dat wordt verwacht voor SAML antwoorden.
Configureer de volgende velden volgens de keuzes die zijn geselecteerd in het Duo Admin Portal tijdens het instellen van de applicatie:
Veld | Beschrijving |
|---|---|
Naam ID Formaat | NameID-formaat om te gebruiken in het SAML-verzoek |
Algoritme voor uitgaande ondertekening | Algoritme dat wordt gebruikt om SAML-verzoeken te ondertekenen, standaard |
Ondertekengedrag | Of/wanneer SAML verzoeken ondertekend zullen worden. Duo vereist standaard niet dat verzoeken worden ondertekend. |
Algoritme voor minimale inkomende ondertekening | Het minimale ondertekeningsalgoritme dat Bitwarden accepteert in SAML-reacties. Duo ondertekent standaard met |
Ondertekende beweringen | Of Bitwarden SAML-asserties ondertekend wil hebben. Vink dit vakje aan als je de optie Assertie ondertekenen hebt geselecteerd. |
Certificaten valideren | Vink dit vakje aan bij gebruik van vertrouwde en geldige certificaten van je IdP via een vertrouwde CA. Zelfondertekende certificaten kunnen mislukken tenzij de juiste vertrouwensketens zijn geconfigureerd in het Bitwarden Login met SSO docker image. |
Als je klaar bent met de configuratie van de serviceprovider, sla je je werk op.
Identity provider configuratie vereist vaak dat u teruggaat naar het Duo Admin Portal om applicatiewaarden op te halen:
Veld | Beschrijving |
|---|---|
Entiteit ID | Voer de Entity ID-waarde van uw Duo-applicatie in, die u kunt vinden in de sectie Metadata van de Duo-app. Dit veld is hoofdlettergevoelig. |
Type binding | Stel dit veld in op HTTP Post. |
URL voor service voor eenmalige aanmelding | Voer de Single Sign-On URL-waarde van uw Duo-applicatie in, die kan worden opgehaald uit de Duo app Metadata sectie. |
URL voor service voor eenmalig afmelden | Inloggen met SSO ondersteunt momenteel geen SLO. Deze optie is gepland voor toekomstige ontwikkeling, maar u kunt deze vooraf configureren met de Single Log-Out URL-waarde van uw Duo-applicatie. |
X509 publiek certificaat | Plak het gedownloade certificaat, verwijder
en
|
Algoritme voor uitgaande ondertekening | Stel dit veld in op het geselecteerde SAML Response handtekeningalgoritme. |
Uitgaande afmeldverzoeken uitschakelen | Inloggen met SSO ondersteunt momenteel geen SLO. Deze optie is gepland voor toekomstige ontwikkeling. |
Authenticatieverzoeken ondertekend willen hebben | Of Duo verwacht dat SAML verzoeken ondertekend worden. |
noot
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
Sla uw werk op wanneer u klaar bent met de configuratie van de identity provider.
tip
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Zodra je configuratie voltooid is, kun je deze testen door te navigeren naar https://vault.bitwarden.com, je e-mailadres in te voeren, Doorgaan te selecteren en de knop Enterprise Single-On te selecteren:
Voer de geconfigureerde organisatie-ID in en selecteer Aanmelden. Als je implementatie succesvol is geconfigureerd, word je doorgestuurd naar het inlogscherm van je bron IdP.
Nadat u zich hebt geverifieerd met uw IdP login en Duo Two-factor, voert u uw Bitwarden master wachtwoord in om uw kluis te ontsleutelen!
noot
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.