Duo SAML-implementering
Den här artikeln innehåller Duo-specifik hjälp för att konfigurera inloggning med SSO via SAML 2.0 För hjälp med att konfigurera inloggning med SSO för en annan IdP, se SAML 2.0 Configuration.
Konfiguration innebär att arbeta samtidigt mellan Bitwardens webbapp och Duo Admin Portal. När du fortsätter rekommenderar vi att du har både lättillgängliga och att du slutför stegen i den ordning de är dokumenterade.
tip
Already an SSO expert? Skip the instructions in this article and download screenshots of sample configurations to compare against your own.
Öppna SSO i webbappen
warning
This article assumes that you have already set up Duo with an Identity Provider. If you haven't, see Duo's documentation for details.
Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:
Öppna din organisations Inställningar → Enkel inloggningsskärm:
Om du inte redan har gjort det, skapa en unik SSO-identifierare för din organisation och välj SAML från rullgardinsmenyn Typ. Håll den här skärmen öppen för enkel referens.
Du kan stänga av alternativet Ange ett unikt SP-enhets-ID i detta skede om du vill. Om du gör det kommer ditt organisations-ID att tas bort från ditt SP-enhets-ID-värde, men i nästan alla fall rekommenderas det att du låter det här alternativet vara aktiverat.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Skydda en applikation
Innan du fortsätter, se Duos dokumentation för att verifiera att Duo Single Sign-On har konfigurerats med din SAML-identitetsleverantör för autentisering.
I Duo Admin Portal, navigera till skärmen Applikationer och välj Skydda ett program. Ange Bitwarden i sökfältet och välj Konfigurera för Bitwarden 2FA med SSO värd av Duo-applikationen:
Välj Aktivera och starta installationen för det nyskapade programmet:
Slutför följande steg och konfigurationer på applikationskonfigurationsskärmen, av vilka några måste du hämta från Bitwardens enkel inloggningsskärm:
Metadata
Du behöver inte redigera någonting i avsnittet Metadata, men du kommer att behöva använda dessa värden senare:
Nedladdningar
Välj knappen Ladda ner certifikat för att ladda ner ditt X.509-certifikat, eftersom du kommer att behöva använda det senare i konfigurationen.
Tjänsteleverantör
Fält | Beskrivning |
|---|---|
Enhets-ID | Ställ in det här fältet till det förgenererade SP Entity ID. Detta automatiskt genererade värde kan kopieras från organisationens Inställningar → Enkel inloggningsskärm och kommer att variera beroende på dina inställningar. |
Assertion Consumer Service (ACS) URL | Ställ in det här fältet till den förgenererade webbadressen för Assertion Consumer Service (ACS). |
Tjänsteleverantörens inloggningsadress | Ställ in det här fältet till inloggningsadressen från vilken användare kommer åt Bitwarden. |
SAML-svar
Fält | Beskrivning |
|---|---|
NameID-format | Ställ in det här fältet på SAML NameID-formatet för Duo att skicka in SAML-svar. |
NameID-attribut | Ställ in det här fältet på Duo-attributet som kommer att fylla i NameID i svaren. |
Signaturalgoritm | Ställ in det här fältet på den krypteringsalgoritm som ska användas för SAML-påståenden och svar. |
Signeringsalternativ | Välj om du vill Signera svar, Signera påstående eller båda. |
Kartattribut | Använd dessa fält för att mappa IdP-attribut till SAML-svarsattribut. Oavsett vilket NameID-attribut du har konfigurerat, mappa |
När du har konfigurerat dessa fält, spara dina ändringar.
Tillbaka till webbappen
Vid det här laget har du konfigurerat allt du behöver inom ramen för Duo Portal. gå tillbaka till Bitwarden-webbappen för att slutföra konfigurationen.
Skärmen för enkel inloggning delar upp konfigurationen i två sektioner:
SAML-tjänsteleverantörens konfiguration avgör formatet för SAML-förfrågningar.
Konfiguration av SAML-identitetsleverantör avgör vilket format som kan förväntas för SAML-svar.
Tjänsteleverantörens konfiguration
Konfigurera följande fält enligt de val som valts i Duo Admin Portal under programinstallationen:
Fält | Beskrivning |
|---|---|
Namn ID-format | NameID Format att använda i SAML-begäran ( |
Algoritm för utgående signering | Algoritm som används för att signera SAML-förfrågningar, som standard |
Signeringsbeteende | Om/när SAML-förfrågningar kommer att undertecknas. Som standard kräver Duo inte att förfrågningar ska signeras. |
Minsta algoritm för inkommande signering | Den lägsta signeringsalgoritmen som Bitwarden accepterar i SAML-svar. Som standard kommer Duo att signera med |
Vill ha påståenden undertecknade | Om Bitwarden vill ha SAML-påståenden undertecknade. Markera den här rutan om du valde alternativet Signera påståendesignering. |
Validera certifikat | Markera den här rutan när du använder betrodda och giltiga certifikat från din IdP genom en betrodd CA. Självsignerade certifikat kan misslyckas om inte korrekta förtroendekedjor är konfigurerade i Bitwarden Login with SSO docker-bilden. |
När du är klar med tjänsteleverantörens konfiguration, spara ditt arbete.
Identitetsleverantörskonfiguration
Identitetsleverantörskonfiguration kräver ofta att du går tillbaka till Duo Admin Portal för att hämta programvärden:
Fält | Beskrivning |
|---|---|
Enhets-ID | Ange Entity ID-värdet för din Duo-applikation, som kan hämtas från Duo-appens Metadata-avsnitt. Det här fältet är skiftlägeskänsligt. |
Bindningstyp | Ställ in det här fältet till HTTP Post. |
Webbadress till tjänst för enkel inloggning | Ange URL-värdet för enkel inloggning för din Duo-applikation, som kan hämtas från avsnittet Metadata för Duo-appen. |
Webbadress för enkel utloggning | Inloggning med SSO stöder för närvarande inte SLO. Det här alternativet är planerat för framtida utveckling, men du kan förkonfigurera med URL-värdet för enkel utloggning för din Duo-applikation. |
X509 Offentligt certifikat | Klistra in det nedladdade certifikatet, ta bort
och
|
Algoritm för utgående signering | Ställ in det här fältet till den valda SAML-svarsignaturalgoritmen. |
Inaktivera utgående utloggningsförfrågningar | Inloggning med SSO stöder för närvarande inte SLO. Detta alternativ är planerat för framtida utveckling. |
Vill ha signerade förfrågningar om autentisering | Om Duo förväntar sig att SAML-förfrågningar ska undertecknas. |
note
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
När du är klar med identitetsleverantörens konfiguration, spara ditt arbete.
tip
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Testa konfigurationen
När din konfiguration är klar, testa den genom att navigera till https://vault.bitwarden.com, ange din e-postadress och välj knappen Använd enkel inloggning:
Ange den konfigurerade organisationsidentifieraren och välj Logga in. Om din implementering är framgångsrikt konfigurerad kommer du att omdirigeras till din käll-IDP:s inloggningsskärm.
När du har autentiserat med din IdP-inloggning och Duo Two-factor, ange ditt Bitwarden-huvudlösenord för att dekryptera ditt valv!
note
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.