SAML 2.0-konfiguration
Steg 1: Ställ in en SSO-identifierare
Användare som autentiserar sin identitet med SSO kommer att behöva ange en SSO-identifierare som anger organisationen (och därför SSO-integrationen) att autentisera mot. Så här ställer du in en unik SSO-identifierare:
Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:
Product switcher Navigera till Inställningar → Enkel inloggning och ange en unik SSO-identifierare för din organisation:
Enter an identifier Fortsätt till steg 2: Aktivera inloggning med SSO.
tip
You will need to share this value with users once the configuration is ready to be used.
Steg 2: Aktivera inloggning med SSO
När du har din SSO-identifierare kan du fortsätta med att aktivera och konfigurera din integration. Så här aktiverar du inloggning med SSO:
Markera kryssrutan Tillåt SSO-autentisering i Inställningar → Enkel inloggning:
SAML 2.0 configuration Från rullgardinsmenyn Typ väljer du alternativet SAML 2.0. Om du tänker använda OIDC istället, växla över till OIDC Configuration Guide.
Du kan stänga av alternativet Ange ett unikt SP-enhets-ID i detta skede om du vill. Om du gör det kommer ditt organisations-ID att tas bort från ditt SP-enhets-ID-värde, men i nästan alla fall rekommenderas det att du låter det här alternativet vara aktiverat.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Steg 3: Konfiguration
Från och med denna tidpunkt kommer implementeringen att variera från leverantör till leverantör. Hoppa till en av våra specifika implementeringsguider för hjälp med att slutföra konfigurationsprocessen:
Leverantör | Guide |
|---|---|
AD FS | |
Auth0 | |
AWS | |
Azurblå | |
Duo | |
JumpCloud | |
Nyckelmantel | |
Okta | |
OneLogin | |
PingFederate |
Referensmaterial för konfiguration
Följande avsnitt kommer att definiera fält som är tillgängliga under konfigurationen av enkel inloggning, agnostiskt vilken IdP du integrerar med. Fält som måste konfigureras kommer att markeras (obligatoriskt).
tip
Unless you are comfortable with SAML 2.0, we recommend using one of the above implementation guides instead of the following generic material.
Skärmen för enkel inloggning delar upp konfigurationen i två sektioner:
SAML Service Provider Configuration kommer att avgöra formatet för SAML-förfrågningar.
SAML Identity Provider Configuration kommer att avgöra vilket format som kan förväntas för SAML-svar.
Konfiguration av tjänsteleverantör
Fält | Beskrivning |
|---|---|
SP Entity ID | (Automatiskt genererad) Bitwardens slutpunkt för autentiseringsbegäranden. Detta automatiskt genererade värde kan kopieras från organisationens Inställningar → Enkel inloggningsskärm och kommer att variera beroende på dina inställningar. |
SAML 2.0 Metadata URL | (Automatiskt genererad) Metadata-URL för Bitwarden-slutpunkten. Detta automatiskt genererade värde kan kopieras från organisationens Inställningar → Enkel inloggningsskärm och kommer att variera beroende på dina inställningar. |
Assertion Consumer Service (ACS) URL | (Automatiskt genererad) Plats dit SAML-påståendet skickas från IdP. Detta automatiskt genererade värde kan kopieras från organisationens Inställningar → Enkel inloggningsskärm och kommer att variera beroende på dina inställningar. |
Namn ID-format | Format Bitwarden kommer att begära SAML-påståendet. Måste gjutas som ett snöre. Alternativen inkluderar: |
Algoritm för utgående signering | Algoritmen Bitwarden kommer att använda för att signera SAML-förfrågningar. Alternativen inkluderar: |
Signeringsbeteende | Om/när SAML-förfrågningar kommer att undertecknas. Alternativen inkluderar: |
Minsta algoritm för inkommande signering | Minsta styrka för algoritmen som Bitwarden accepterar i SAML-svar. |
Räkna med undertecknade påståenden | Markera den här kryssrutan om Bitwarden ska förvänta sig att svar från IdP ska signeras. |
Validera certifikat | Markera den här rutan när du använder betrodda och giltiga certifikat från din IdP genom en betrodd CA. Självsignerade certifikat kan misslyckas om inte korrekta förtroendekedjor är konfigurerade i Bitwarden-inloggningen med SSO docker-bild. |
Identitetsleverantörskonfiguration
Fält | Beskrivning |
|---|---|
Enhets-ID | (Obligatoriskt) Adress eller URL till din identitetsserver eller IdP Entity ID. Det här fältet är skiftlägeskänsligt och måste matcha IdP-värdet exakt. |
Bindningstyp | Metod som används av IdP för att svara på Bitwarden SAML-förfrågningar. Alternativen inkluderar: |
Webbadress till tjänst för enkel inloggning | (Obligatoriskt om enhets-ID inte är en URL) SSO-URL utfärdad av din IdP. |
Webbadress till tjänsten för enkel utloggning | Inloggning med SSO stöder för närvarande inte SLO. Det här alternativet är planerat för framtida användning, men vi rekommenderar starkt att du förkonfigurerar det här fältet. |
X509 Offentligt certifikat | (Obligatoriskt) X.509 Base-64-kodat certifikatorgan. Inkludera inte
och
rader eller delar av det CER/PEM-formaterade certifikatet. |
Algoritm för utgående signering | Algoritmen som din IdP kommer att använda för att signera SAML-svar/påståenden. Alternativen inkluderar: |
Tillåt utgående utloggningsförfrågningar | Inloggning med SSO stöder för närvarande inte SLO. Det här alternativet är planerat för framtida användning, men vi rekommenderar starkt att du förkonfigurerar det här fältet. |
Signera autentiseringsförfrågningar | Markera den här kryssrutan om din IdP ska förvänta sig att SAML-förfrågningar från Bitwarden ska signeras. |
note
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
SAML-attribut och anspråk
En e-postadress krävs för kontoadministration, som kan skickas som något av attributen eller anspråken i följande tabell.
En unik användaridentifierare rekommenderas också starkt. Om frånvarande kommer e-post att användas i dess ställe för att länka användaren.
Attribut/anspråk listas i prioritetsordning för matchning, inklusive reservalternativ där tillämpligt:
Värde | Anspråk/attribut | Reservanspråk/attribut |
|---|---|---|
Unikt ID | NameID (när det inte är övergående) | |
E-post | E-post | Preferred_Username |
Namn | Namn | Förnamn + " " + Efternamn (se nedan) |
Förnamn | urn:oid:2.5.4.42 | |
Efternamn | urn:oid:2.5.4.4 |