Auth0 SAML-implementering
Den här artikeln innehåller Auth0-specifik hjälp för att konfigurera inloggning med SSO via SAML 2.0. För hjälp med att konfigurera inloggning med SSO för en annan IdP, se SAML 2.0 Configuration.
Konfiguration innebär att arbeta samtidigt inom Bitwarden-webbappen och Auth0-portalen. När du fortsätter rekommenderar vi att du har både lättillgängliga och att du slutför stegen i den ordning de är dokumenterade.
tip
Redan en SSO-expert? Hoppa över instruktionerna i den här artikeln och ladda ner skärmdumpar av exempelkonfigurationer för att jämföra med dina egna.
Öppna SSO i webbappen
Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:
Öppna din organisations Inställningar → Enkel inloggningsskärm:
Om du inte redan har gjort det, skapa en unik SSO-identifierare för din organisation och välj SAML från rullgardinsmenyn Typ. Håll den här skärmen öppen för enkel referens.
Du kan stänga av alternativet Ange ett unikt SP-enhets-ID i detta skede om du vill. Om du gör det kommer ditt organisations-ID att tas bort från ditt SP-enhets-ID-värde, men i nästan alla fall rekommenderas det att du låter det här alternativet vara aktiverat.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Skapa en Auth0-applikation
I Auth0-portalen använder du menyn Program för att skapa en vanlig webbapplikation:
Klicka på fliken Inställningar och konfigurera följande information, varav en del måste hämtas från Bitwarden Single Sign-On-skärmen:
Auth0-inställning | Beskrivning |
|---|---|
Namn | Ge applikationen ett Bitwarden-specifikt namn. |
Domän | Notera detta värde. Du kommer att behöva det i ett senare steg. |
Applikationstyp | Välj Vanlig webbapplikation. |
Token Endpoint Authentication Method | Välj Client Secret (Post), som mappas till ett bindningstyp-attribut som du konfigurerar senare. |
Application Login URI | Ställ in det här fältet till det förgenererade SP Entity ID. |
Tillåtna återuppringningsadresser | Ställ in det här fältet till den förgenererade webbadressen för Assertion Consumer Service (ACS). |
Bidragstyper
I avsnittet Avancerade inställningar → Bidragstyper, se till att följande bidragstyper är valda (de kan vara förvalda):
Certifikat
I avsnittet Avancerade inställningar → Certifikat, kopiera eller ladda ner ditt signeringscertifikat. Du behöver inte göra något med det ännu, men du måste referera till det senare.
Slutpunkter
Du behöver inte redigera någonting i avsnittet Avancerade inställningar → Slutpunkter, men du behöver SAML-slutpunkterna att referera till senare.
tip
In smaller windows, the Endpoints tab can disappear behind the edge of the browser. If you're having trouble finding it, click the Certificates tab and hit the Right Arrow key (→).
Konfigurera Auth0-åtgärder
Skapa åtgärder för att anpassa logiken som Auth0 kommer att använda under flödet efter inloggning och diktera parametrarna för utbytet med Bitwarden. För att skapa den nödvändiga åtgärden:
Navigera till Åtgärder → Bibliotek och välj Skapa åtgärd → Bygg från början.
Ge din handling ett namn som
Bitwarden SSO, välj utlösaren Logga in / Posta inloggning, välj alternativet Nod 18 (rekommenderas) Runtime och välj Skapa.Lägg till följande regel i den integrerade kodredigeraren:
JavaScriptexports.onExecutePostLogin = async (event, api) => { // Modify SAML configuration settings if (event.request.protocol === 'samlp') { api.saml.updateConfiguration({ signatureAlgorithm: "rsa-sha256", digestAlgorithm: "sha256", signResponse: true, nameIdentifierFormat: "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", binding: "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" }); } };Välj Distribuera.
Navigera till Åtgärder → Utlösare och välj utlösaren
efter inloggning.Dra och släpp din nya åtgärd i flödet för inloggning efter inloggning och välj Använd.
När du konfigurerar ovanstående åtgärd kan du anpassa något av följande attribut för att passa dina behov:
Nyckel | Beskrivning |
|---|---|
| Algoritmen Auth0 kommer att använda för att signera SAML-påståendet eller svaret. Detta värde bör sättas till |
| Algoritm som används för att beräkna sammandrag av SAML-påstående eller svar. Ställ in på |
| Som standard kommer Auth0 endast att signera SAML-påståendet. Ställ in detta på |
| Som standard är |
Migrera från regler till åtgärder
Den 18 november 2024 kommer Auth0 att fasa ut regler. Om du för närvarande använder en regel som beskrivs i en tidigare version av det här dokumentet kan du använda knappen Migrera till åtgärd på skärmen Auth0 Rules för att göra processen enklare. Om du gör så här:
Stäng inte av den redan existerande regeln.
Lägg till den nya åtgärden i din trigger efter
inloggningenligt beskrivningen ovan i steg 5 och 6.
Tillbaka till webbappen
Vid det här laget har du konfigurerat allt du behöver inom ramen för Auth0-portalen. Gå tillbaka till Bitwarden-webbappen för att slutföra konfigurationen.
Skärmen för enkel inloggning delar upp konfigurationen i två sektioner:
SAML-tjänsteleverantörens konfiguration avgör formatet för SAML-förfrågningar.
Konfiguration av SAML-identitetsleverantör avgör vilket format som kan förväntas för SAML-svar.
Tjänsteleverantörens konfiguration
Om du inte har konfigurerat anpassade regler kommer konfigurationen av din tjänsteleverantör redan att vara klar. Om du har konfigurerat anpassade regler eller vill göra ytterligare ändringar i din implementering, redigera de relevanta fälten:
Fält | Beskrivning |
|---|---|
Namn ID-format | NameID Format att specificera i SAML-begäran ( |
Algoritm för utgående signering | Algoritm som används för att signera SAML-förfrågningar, som standard |
Signeringsbeteende | Om/när Bitwarden SAML-förfrågningar kommer att undertecknas. Som standard kommer Auth0 inte att kräva att förfrågningar signeras. |
Minsta algoritm för inkommande signering | Den lägsta signeringsalgoritmen som Bitwarden accepterar i SAML-svar. Välj |
Vill ha påståenden undertecknade | Om Bitwarden vill ha SAML-påståenden undertecknade. Som standard kommer Auth0 att signera SAML-påståenden, så markera den här rutan om du inte har konfigurerat en anpassad signeringsregel. |
Validera certifikat | Markera den här rutan när du använder betrodda och giltiga certifikat från din IdP genom en betrodd CA. Självsignerade certifikat kan misslyckas om inte korrekta förtroendekedjor är konfigurerade i Bitwarden Login with SSO docker-bilden. |
När du är klar med tjänsteleverantörens konfiguration, spara ditt arbete.
Identitetsleverantörskonfiguration
Identitetsleverantörskonfiguration kräver ofta att du går tillbaka till Auth0-portalen för att hämta applikationsvärden:
Fält | Beskrivning |
|---|---|
Enhets-ID | Ange domänvärdet för din Auth0-applikation (se här), med prefixet |
Bindningstyp | Välj HTTP POST för att matcha värdet för Token Endpoint Authentication Method som anges i din Auth0-applikation. |
Webbadress till tjänst för enkel inloggning | Ange SAML Protocol URL (se Endpoints) för din Auth0-applikation. Till exempel |
Webbadress för enkel utloggning | Inloggning med SSO stöder för närvarande inte SLO. Det här alternativet är planerat för framtida utveckling, men du kan förkonfigurera det om du vill. |
X509 Offentligt certifikat | Klistra in det hämtade signeringscertifikatet, ta bort
och
|
Algoritm för utgående signering | Välj |
Inaktivera utgående utloggningsförfrågningar | Inloggning med SSO stöder för närvarande inte SLO. Detta alternativ är planerat för framtida utveckling. |
Vill ha signerade förfrågningar om autentisering | Om Auth0 förväntar sig att SAML-förfrågningar ska signeras. |
note
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
När du är klar med identitetsleverantörens konfiguration, spara ditt arbete.
tip
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Testa konfigurationen
När din konfiguration är klar, testa den genom att navigera till https://vault.bitwarden.com, ange din e-postadress och välja knappen Använd enkel inloggning:
Ange den konfigurerade organisationsidentifieraren och välj Logga in. Om din implementering är framgångsrikt konfigurerad kommer du att omdirigeras till Auth0-inloggningsskärmen:
När du har autentiserat med dina Auth0-uppgifter, ange ditt Bitwarden-huvudlösenord för att dekryptera ditt valv!
note
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.