AWS SAML-implementering
Den här artikeln innehåller AWS IAM Identity Center-specifik hjälp för att konfigurera inloggning med SSO via SAML 2.0. För hjälp med att konfigurera inloggning med SSO för en annan IdP, se SAML 2.0 Configuration.
Konfiguration innebär att arbeta samtidigt inom Bitwarden-webbappen och AWS-konsolen. När du fortsätter rekommenderar vi att du har både lättillgängliga och att du slutför stegen i den ordning de är dokumenterade.
tip
Already an SSO expert? Skip the instructions in this article and download screenshots of sample configurations to compare against your own.
Öppna SSO i webbappen
Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:
Öppna din organisations Inställningar → Enkel inloggningsskärm:
Om du inte redan har gjort det, skapa en unik SSO-identifierare för din organisation och välj SAML från rullgardinsmenyn Typ. Håll den här skärmen öppen för enkel referens.
Du kan stänga av alternativet Ange ett unikt SP-enhets-ID i detta skede om du vill. Om du gör det kommer ditt organisations-ID att tas bort från ditt SP-enhets-ID-värde, men i nästan alla fall rekommenderas det att du låter det här alternativet vara aktiverat.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Skapa en applikation
I AWS-konsolen, navigera till IAM Identity Center, välj Application assignments → Applications från navigeringen och välj knappen Lägg till applikation:
På skärmen Välj programtyp väljer du Jag har ett program jag vill konfigurera och SAML 2.0.
Konfigurera applikation
På skärmen Konfigurera applikation:
Ge applikationen ett unikt, Bitwarden-specifikt visningsnamn.
Kopiera IAM Identity Centers inloggnings-URL och IAM Identity Center-utfärdarens URL och ladda ner IAM Identity Center-certifikatet:
IAM Identity Center metadata I fältet Appens start-URL anger du inloggnings-URL från vilken användare kommer åt Bitwarden. För molnbaserade kunder är detta alltid
https://vault.bitwarden.com/#/ssoellerhttps://vault.bitwarden.eu/#/sso. För egenvärdiga instanser bestäms detta av din konfigurerade server-URL, till exempelhttps://din.domän/#/sso:
IAM Identity Center application properties I avsnittet Programmetadata väljer du alternativet att manuellt skriva in dina metadatavärden:
Enter metadata values I det avsnittet konfigurerar du följande fält:
Fält | Beskrivning |
|---|---|
Applikations ACS URL | Ställ in det här fältet till den förgenererade webbadressen för Assertion Consumer Service (ACS). |
Application SAML-publik | Ställ in det här fältet till det förgenererade SP Entity ID. |
När du är klar väljer du Skicka.
Attributmappningar
När applikationen har skapats öppnar du den igen från skärmen Applikationer → Applikationer. Använd rullgardinsmenyn Åtgärder för att redigera attributmappningar:
Konfigurera följande mappningar och spara ändringar:
Användarattribut i applikationen | Mappar till detta strängvärde eller användarattribut i IAM Identity Center | Formatera |
|---|---|---|
Ämne |
| e-postadress |
e-post |
| Ospecificerad |
Tilldelade användare
Från din applikation, scrolla ned till avsnittet Tilldelade användare och grupper och välj knappen Tilldela användare och grupper:
Tilldela användare och grupper till applikationen.
Tillbaka till webbappen
Vid det här laget har du konfigurerat allt du behöver inom ramen för AWS-konsolen. Gå tillbaka till Bitwarden-webbappen för att slutföra konfigurationen.
Skärmen för enkel inloggning delar upp konfigurationen i två sektioner:
SAML-tjänsteleverantörens konfiguration avgör formatet för SAML-förfrågningar.
Konfiguration av SAML-identitetsleverantör avgör vilket format som kan förväntas för SAML-svar.
Tjänsteleverantörens konfiguration
Tjänsteleverantörens konfiguration bör redan vara klar, men du kan välja att redigera något av följande fält:
Fält | Beskrivning |
|---|---|
Namn ID-format | Ställ in på e-postadress. |
Algoritm för utgående signering | Algoritmen Bitwarden kommer att använda för att signera SAML-förfrågningar. |
Signeringsbeteende | Om/när SAML-förfrågningar kommer att undertecknas. |
Minsta algoritm för inkommande signering | Som standard signerar IAM Identity Center med SHA-256. Om du inte har ändrat detta, välj |
Vill ha påståenden undertecknade | Huruvida Bitwarden förväntar sig att SAML-påståenden ska undertecknas. |
Validera certifikat | Markera den här rutan när du sjunger betrodda och giltiga certifikat från din IdP genom en betrodd CA. Självsignerade certifikat kan misslyckas om inte korrekta förtroendekedjor är konfigurerade i Bitwarden Login with SSO docker-bilden. |
När du är klar med tjänsteleverantörens konfiguration, spara ditt arbete.
Identitetsleverantörskonfiguration
Identitetsleverantörskonfiguration kräver ofta att du går tillbaka till AWS-konsolen för att hämta applikationsvärden:
Fält | Beskrivning |
|---|---|
Enhets-ID | Ange IAM Identity Center-utfärdarens URL, hämtad från IAM Identity Center-metadataavsnittet för din applikation i AWS-konsolen. Det här fältet är skiftlägeskänsligt. |
Bindningstyp | Ställ in på HTTP POST eller Redirect. |
Webbadress till tjänst för enkel inloggning | Ange IAM Identity Center-inloggnings-URL, hämtad från IAM Identity Center-metadataavsnittet för din applikation i AWS-konsolen. |
Webbadress för enkel utloggning | Inloggning med SSO stöder för närvarande inte SLO. Det här alternativet är planerat för framtida utveckling, men du kan förkonfigurera det med IAM Identity Centers utloggnings-URL som hämtas från IAM Identity Centers metadatasektion för din applikation i AWS-konsolen. |
X509 Offentligt certifikat | Klistra in det nedladdade certifikatet och ta bort:
och
|
Algoritm för utgående signering | Som standard kommer IAM Identity Center att signera med |
Inaktivera utgående utloggningsförfrågningar | Inloggning med SSO stöder för närvarande inte SLO. Detta alternativ är planerat för framtida utveckling. |
Vill ha signerade förfrågningar om autentisering | Om IAM Identity Center förväntar sig att SAML-förfrågningar ska signeras. |
note
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
När du är klar med identitetsleverantörens konfiguration, spara ditt arbete.
tip
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Testa konfigurationen
När din konfiguration är klar, testa den genom att navigera till https://vault.bitwarden.com, ange din e-postadress och välja knappen Använd enkel inloggning:
Ange den konfigurerade organisationsidentifieraren och välj Logga in. Om din implementering har konfigurerats framgångsrikt omdirigeras du till inloggningsskärmen för IAM Identity Center:
När du har autentiserat med dina IAM Identity Center-uppgifter, ange ditt Bitwarden-huvudlösenord för att dekryptera ditt valv!
note
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.