Google SAML-implementering
Den här artikeln innehåller Google Workspace-specifik hjälp för att konfigurera inloggning med SSO via SAML 2.0. För hjälp med att konfigurera inloggning med SSO för en annan IdP, se SAML 2.0 Configuration.
Konfiguration innebär att du arbetar samtidigt med webbappen Bitwarden och Google Workspaces administratörskonsol. När du fortsätter rekommenderar vi att du har både lättillgängliga och att du slutför stegen i den ordning de är dokumenterade.
tip
Already an SSO expert? Skip the instructions in this article and download screenshots of sample configurations to compare against your own.
Öppna SSO i webbappen
Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:
Öppna din organisations Inställningar → Enkel inloggningsskärm:
Om du inte redan har gjort det, skapa en unik SSO-identifierare för din organisation och välj SAML från rullgardinsmenyn Typ. Håll den här skärmen öppen för enkel referens.
Du kan stänga av alternativet Ange ett unikt SP-enhets-ID i detta skede om du vill. Om du gör det kommer ditt organisations-ID att tas bort från ditt SP-enhets-ID-värde, men i nästan alla fall rekommenderas det att du låter det här alternativet vara aktiverat.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Skapa en SAML-app
I Google Workspaces administratörskonsol väljer du Appar → Webb- och mobilappar från navigeringen. På skärmen för webb- och mobilappar väljer du Lägg till app → Lägg till anpassad SAML-app:
Appdetaljer
På skärmen för appdetaljer, ge applikationen ett unikt Bitwarden-specifikt namn och välj knappen Fortsätt.
Googles identitetsleverantörsuppgifter
På skärmen Google Identity Provider information, kopiera din SSO URL, Entity ID och Certificate för användning i ett senare steg:
Välj Fortsätt när du är klar.
Tjänsteleverantörsuppgifter
På skärmen Service provider information, konfigurera följande fält:
Fält | Beskrivning |
|---|---|
ACS URL | Ställ in det här fältet till den förgenererade webbadressen för Assertion Consumer Service (ACS). Detta automatiskt genererade värde kan kopieras från organisationens Inställningar → Enkel inloggningsskärm och kommer att variera beroende på dina inställningar. |
Enhets-ID | Ställ in det här fältet till det förgenererade SP Entity ID. Detta automatiskt genererade värde kan kopieras från organisationens Inställningar → Enkel inloggningsskärm och kommer att variera beroende på dina inställningar. |
Start-URL | Alternativt kan du ställa in det här fältet till inloggnings-URL från vilken användare kommer åt Bitwarden. |
Undertecknat svar | Markera den här rutan om du vill att Workspace ska signera SAML-svar. Om det inte är markerat kommer Workspace endast att signera SAML-påståendet. |
Namn-ID-format | Ställ in det här fältet på Beständig. |
Namn ID | Välj användarattributet Workspace för att fylla i NameID. |
Välj Fortsätt när du är klar.
Attributmappning
På skärmen Attributmappning, välj knappen Lägg till mappning och konstruera följande mappning:
Google Directory-attribut | App-attribut |
|---|---|
Primär e-post | e-post |
Välj Slutför.
Slå på appen
Som standard är Workspace SAML-appar AV för alla. Öppna avsnittet Användaråtkomst för SAML-appen och ställ in på PÅ för alla eller för specifika grupper, beroende på dina behov:
Spara dina ändringar. Observera att det kan ta upp till 24 timmar för en ny Workspace-app att spridas till användares befintliga sessioner.
Tillbaka till webbappen
Vid det här laget har du konfigurerat allt du behöver inom ramen för Google Workspaces administratörskonsol. Gå tillbaka till Bitwarden-webbappen för att slutföra konfigurationen.
Skärmen för enkel inloggning delar upp konfigurationen i två sektioner:
SAML-tjänsteleverantörens konfiguration avgör formatet för SAML-förfrågningar.
Konfiguration av SAML-identitetsleverantör avgör vilket format som kan förväntas för SAML-svar.
Tjänsteleverantörens konfiguration
Konfigurera följande fält enligt de val som valts i Workspace-administratörskonsolen under installationen:
Fält | Beskrivning |
|---|---|
Namn ID-format | Ställ in det här fältet till det namn-ID-format som valts i Workspace. |
Algoritm för utgående signering | Algoritmen Bitwarden kommer att använda för att signera SAML-förfrågningar. |
Signeringsbeteende | Om/när SAML-förfrågningar kommer att undertecknas. |
Minsta algoritm för inkommande signering | Som standard signerar Google Workspace med RSA SHA-256. Välj |
Räkna med undertecknade påståenden | Huruvida Bitwarden förväntar sig att SAML-påståenden ska undertecknas. Den här inställningen bör vara avmarkerad. |
Validera certifikat | Markera den här rutan när du använder betrodda och giltiga certifikat från din IdP genom en betrodd CA. Självsignerade certifikat kan misslyckas om inte korrekta förtroendekedjor är konfigurerade med Bitwarden Login med SSO docker-bild. |
När du är klar med tjänsteleverantörens konfiguration, spara ditt arbete.
Identitetsleverantörskonfiguration
Identitetsleverantörskonfiguration kräver ofta att du går tillbaka till Workspaces administratörskonsol för att hämta programvärden:
Fält | Beskrivning |
|---|---|
Enhets-ID | Ställ in det här fältet på Workspaces enhets-ID, hämtat från avsnittet Google Identity Provider information eller med hjälp av knappen Ladda ned metadata. Det här fältet är skiftlägeskänsligt. |
Bindningstyp | Ställ in på HTTP POST eller Redirect. |
Webbadress till tjänst för enkel inloggning | Ställ in det här fältet till Workspaces SSO-URL, hämtad från avsnittet Google Identity Provider information eller med knappen Ladda ned metadata. |
URL för enkel utloggning | Inloggning med SSO stöder för närvarande inte SLO. Det här alternativet är planerat för framtida utveckling, men du kan förkonfigurera det om du vill. |
X509 Offentligt certifikat | Klistra in det hämtade certifikatet, ta bort
och |
Algoritm för utgående signering | Som standard signerar Google Workspace med RSA SHA-256. Välj |
Inaktivera utgående utloggningsförfrågningar | Inloggning med SSO stöder för närvarande inte SLO. Detta alternativ är planerat för framtida utveckling. |
Vill ha signerade förfrågningar om autentisering | Om Google Workspace förväntar sig att SAML-förfrågningar ska signeras. |
note
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
När du är klar med identitetsleverantörens konfiguration, spara ditt arbete.
tip
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Testa konfigurationen
När din konfiguration är klar, testa den genom att navigera till https://vault.bitwarden.com, ange din e-postadress och välja Enterprise Single-On-knappen:
Ange den konfigurerade organisationsidentifieraren och välj Logga in. Om din implementering har konfigurerats framgångsrikt omdirigeras du till inloggningsskärmen för Google Workspace:
När du har autentiserat med dina Workspace-uppgifter, ange ditt Bitwarden-huvudlösenord för att dekryptera ditt valv!
note
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.