Cloudflare Zero Trust SSO-implementering
Den här artikeln innehåller Cloudflare Zero Trust-specifik hjälp för att konfigurera inloggning med SSO. Cloudflare Zero Trust är en molnbaserad identitets- och åtkomsthanteringsplattform som kan integreras med flera identitetsleverantörer (IdPs). Du kan också konfigurera gateways och tunnling för säker åtkomst till plattformen.
note
Cloudflare Zero Trust can be configured with any IdP that operates using SAML 2.0 or OIDC SSO configurations. If you are not familiar with these configurations, refer to these articles:
Varför använda Cloudflare Zero Trust med SSO?
Cloudflare Zero Trust är en molnbaserad proxy-identitets- och åtkomsthanteringsplattform som kan integreras med flera identitetsleverantörer (IdPs). Fördelen med att använda Cloudflare Zero Trust utöver din vanliga IdP är dess förmåga att konfigurera flera IdP:er för inloggning. Cloudflare Zero Trust kan ge SSO-åtkomst till Bitwarden från flera separata kataloger, eller uppsättningar av användare i en katalog.
Öppna SSO i webbappen
note
Cloudflare will only support SAML via the Access Application Gateway. This means that the SAML 2.0 must be selected in the Bitwarden configuration. OIDC authentication can still be configured from the IdP and Cloudflare.
Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:
Öppna din organisations Inställningar → Enkel inloggningsskärm:
Om du inte redan har gjort det, skapa en unik SSO-identifierare för din organisation och välj SAML från rullgardinsmenyn Typ. Håll den här skärmen öppen för enkel referens.
Du kan stänga av alternativet Ange ett unikt SP-enhets-ID i detta skede om du vill. Om du gör det kommer ditt organisations-ID att tas bort från ditt SP-enhets-ID-värde, men i nästan alla fall rekommenderas det att du låter det här alternativet vara aktiverat.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Skapa en Cloudflare Zero Trust-inloggningsmetod
Skapa en Cloufdlare Zero Trust-inloggningsmetod:
Navigera till Cloudflare Zero Trust och logga in eller skapa ett konto.
Konfigurera en domän som fungerar som webbadressen som används av dina användare för att komma åt dina applikationer eller appstartare, till exempel
https://my-business.cloudflareaccess.com/. Från Cloudflare Zero Trust-menyn väljer du Inställningar → Anpassade sidor:
Team domain setting Börja konfigurera den första inloggningsmetoden genom att navigera till Inställningar → Autentisering → Lägg till ny.
Välj inloggningsmetod för att ansluta till Cloudflare Zero Trust. Om det IdP du använder inte finns på IdP-listan, använd de generiska SAML- eller OIDC-alternativen. I den här artikeln kommer Okta att användas som ett exempel:
Cloudflare Zero Trust IdP list note
Google Workspace users should select the generic SAML setup during this step. The Google Workspace login method may result in errors.
När du har valt din valda IdP-inloggningsmetod följer du produktguiden från Cloudflare för att integrera din IdP.
note
If the IdP you are using has a support groups feature, this option must be disabled. Bitwarden does not support group based claims, enabling this option will result in an XML element error on the Bitwarden end.
Skapa en Cloudflare Zero Trust-applikation
Efter att en IdP har konfigurerats måste du skapa en Cloudflare Zero Trust-applikation för Bitwarden. I det här exemplet skapar vi en SAML-applikation:
1. Navigera till Access → Applikationer → Lägg till ett program och välj sedan SaaS.
2. På följande skärm lägger du till ett programnamn som Bitwarden. Välj sedan autentiseringsprotokollet, SAML. När du är klar väljer du Lägg till applikation.
3. Öppna din organisation i Bitwardens webbvalv och navigera till skärmen Inställningar → Enkel inloggning. Använd information från webbvalvet för att fylla i information på skärmen Konfigurera app:
Nyckel | Beskrivning |
|---|---|
Ansökan | Gå in i |
Enhets-ID | Kopiera SP-enhets-ID från Bitwarden Single Sign-On-sidan till detta fält. |
Assertion Consumer Service URL | Kopiera webbadressen för Assertion Konsumenttjänst (ACS) från Bitwarden Single Sign-On-sidan till det här fältet. |
Namn ID-format | Välj E-post från rullgardinsmenyn. |
note
For the generic OIDC configuration, the Auth URL, Token URL, and Certificate URL can be located with the well-known URL.
4. Rulla ned till menyn Identitetsleverantörer. Välj den/de IdP som du konfigurerade i föregående avsnitt, bläddra tillbaka till toppen och välj Nästa.
5. Skapa sedan åtkomstpolicyer för användaråtkomst till programmet. Fyll i fälten Policynamn, Åtgärd och Sessionslängd för varje policy.
6. Du kan välja att tilldela en grupppolicy (Åtkomst → Grupper) eller explicita användarpolicyregler (som e-postmeddelanden, "e-postmeddelanden som slutar på", "land" eller "alla"). I följande exempel har gruppen "Anon-användare" inkluderats i policyn. En ytterligare regel har också lagts till för att inkludera e-postmeddelanden som slutar på den valda domänen:
note
You can also apply user access through the App Launcher for access to the Bitwarden login with SSO shortcut. This can be managed by navigating to Authentication → App Launcher → Manage. The application policies in the above example can be duplicated or generated here.
7. När åtkomstpolicyer har konfigurerats, bläddra till toppen och välj Nästa.
8. När du är på inställningsskärmen, kopiera följande värden och skriv in dem i deras respektive fält på Bitwarden Single Sign-On-sidan:
Nyckel | Beskrivning |
|---|---|
SSO-slutpunkt | SSO-slutpunkten dirigerar vart din SaaS-applikation kommer att skicka inloggningsförfrågningar. Detta värde kommer att matas in i fältet för enkel inloggningstjänstens URL i Bitwarden. |
Access Entity ID eller Emittent | Access Entity ID eller Emittent är den unika identifieraren för din SaaS-applikation. Detta kommer värde kommer att anges i Entity ID-fältet på Bitwarden. |
Offentlig nyckel | Den offentliga nyckeln är det offentliga åtkomstcertifikatet som kommer att användas för att verifiera din identitet. Detta värde kommer att anges i fältet X509 Public Certificate på Bitwarden. |
9. Efter att värdena har angetts i Bitwarden, välj Spara på Bitwarden Single Sign-On-skärmen och välj Klar på Cloudflare-sidan för att spara applikationen.
10. För att skapa ett bokmärke till Bitwarden-inloggningsskärmen med SSO, välj Lägg till ett program → Bokmärke. Kontrollera att bokmärket är synligt i appstartaren.
Testa konfigurationen
När din konfiguration är klar, testa den genom att navigera till https://vault.bitwarden.com eller https://vault.bitwarden.eu, ange din e-postadress och välja knappen Använd enkel inloggning:
Ange den konfigurerade organisationsidentifieraren och välj Logga in. Om din implementering har konfigurerats framgångsrikt kommer du att omdirigeras till en Cloudflare Access-skärm, där du kan välja IdP att logga in med:
När du har valt din IdP kommer du att dirigeras till din IdP-inloggningssida. Ange informationen som används för att logga in via din IdP:
När du har autentiserat med dina IdP-uppgifter, ange dina Bitwarden-uppgifter för att dekryptera ditt valv!