JumpCloud SAML-implementering
Den här artikeln innehåller JumpCloud-specifik hjälp för att konfigurera inloggning med SSO via SAML 2.0. För hjälp med att konfigurera inloggning med SSO för en annan IdP, se SAML 2.0 Configuration.
Konfiguration innebär att arbeta samtidigt inom Bitwarden-webbappen och JumpCloud-portalen. När du fortsätter rekommenderar vi att du har både lättillgängliga och att du slutför stegen i den ordning de är dokumenterade.
tip
Already an SSO expert? Skip the instructions in this article and download screenshots of sample configurations to compare against your own.
Öppna SSO i webbappen
Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:
Öppna din organisations Inställningar → Enkel inloggningsskärm:
Om du inte redan har gjort det, skapa en unik SSO-identifierare för din organisation och välj SAML från rullgardinsmenyn Typ. Håll den här skärmen öppen för enkel referens.
Du kan stänga av alternativet Ange ett unikt SP-enhets-ID i detta skede om du vill. Om du gör det kommer ditt organisations-ID att tas bort från ditt SP-enhets-ID-värde, men i nästan alla fall rekommenderas det att du låter det här alternativet vara aktiverat.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Skapa en JumpCloud SAML-applikation
I JumpCloud Portal, välj Applications från menyn och välj knappen Kom igång:
Ange Bitwarden i sökrutan och välj konfigureringsknappen:
tip
If you are more comfortable with SAML, or want more control over things like NameID Format and Signing Algorithms, create a Custom SAML Application instead.
Allmän info
I avsnittet Allmän information konfigurerar du följande information:
Fält | Beskrivning |
|---|---|
Visa etikett | Ge applikationen ett Bitwarden-specifikt namn. |
Konfiguration för enkel inloggning
I avsnittet Konfiguration av enkel inloggning konfigurerar du följande information:
Fält | Beskrivning |
|---|---|
IdP Entity ID | Ställ in det här fältet till ett unikt, Bitwarden-specifikt värde, till exempel |
SP Entity ID | Ställ in det här fältet till det förgenererade SP Entity ID. Detta automatiskt genererade värde kan kopieras från organisationens Inställningar → Enkel inloggningsskärm och kommer att variera beroende på dina inställningar. |
ACS URL | Ställ in det här fältet till den förgenererade webbadressen för Assertion Consumer Service (ACS). Detta automatiskt genererade värde kan kopieras från organisationens Inställningar → Enkel inloggningsskärm och kommer att variera beroende på dina inställningar. |
Endast anpassad SAML-app
Om du skapade en anpassad SAML-applikation måste du också konfigurera följande fält för konfiguration av enkel inloggning:
Fält | Beskrivning |
|---|---|
SAMLSubject NameID | Ange JumpCloud-attributet som ska skickas i SAML-svar som NameID. |
SAMLSubject NameID Format | Ange formatet för NameID som skickas i SAML-svar. |
Signaturalgoritm | Välj den algoritm som ska användas för att signera SAML-påståenden eller svar. |
Tecken påstående | Som standard kommer JumpCloud att signera SAML-svaret. Markera den här rutan för att underteckna SAML-påståendet. |
Inloggnings-URL | Ange webbadressen från vilken dina användare ska logga in på Bitwarden via SSO. För molnbaserade kunder är detta |
Attribut
I avsnittet Konfiguration av enkel inloggning → Attribut, konstruera följande SP → IdP-attributmappningar. Om du valde Bitwarden-applikationen i JumpCloud bör dessa redan vara konstruerade:
När du är klar, välj aktiveringsknappen.
Ladda ner certifikatet
När applikationen är aktiverad, använd SSO-menyalternativet igen för att öppna den skapade Bitwarden-applikationen. Välj rullgardinsmenyn IDP-certifikat och Ladda ner certifikat:
Bind användargrupper
I JumpCloud-portalen väljer du Användargrupper från menyn:
Skapa antingen en Bitwarden-specifik användargrupp eller öppna standardanvändargruppen Alla användare. I båda fallen, välj fliken Applikationer och aktivera åtkomst till den skapade Bitwarden SSO-applikationen för den användargruppen:
tip
Alternatively, you can bind access to user groups directly from the SSO → Bitwarden Application screen.
Tillbaka till webbappen
Vid det här laget har du konfigurerat allt du behöver inom ramen för JumpCloud-portalen. Gå tillbaka till Bitwardens webbvalv för att slutföra konfigurationen.
Skärmen för enkel inloggning delar upp konfigurationen i två sektioner:
SAML-tjänsteleverantörens konfiguration avgör formatet för SAML-förfrågningar.
Konfiguration av SAML-identitetsleverantör avgör vilket format som kan förväntas för SAML-svar.
Tjänsteleverantörens konfiguration
Konfigurera följande fält enligt de val som valts i JumpCloud-portalen när appen skapades:
Fält | Beskrivning |
|---|---|
Namn ID-format | Om du skapade en anpassad SAML-applikation, ställ in detta på vad det angivna SAMLSubject NameID-formatet är. Lämna annars Ospecificerat. |
Algoritm för utgående signering | Algoritmen Bitwarden kommer att använda för att signera SAML-förfrågningar. |
Signeringsbeteende | Om/när SAML-förfrågningar kommer att undertecknas. Som standard kommer JumpCloud inte att kräva att förfrågningar signeras. |
Minsta algoritm för inkommande signering | Om du skapade en anpassad SAML-applikation, ställ in denna på vilken signaturalgoritm du än valde. Annars lämnar du som |
Vill ha påståenden undertecknade | Om du skapade en anpassad SAML-applikation, markera den här rutan om du ställer in alternativet Sign Assertion i JumpCloud. Lämna annars omarkerat. |
Validera certifikat | Markera den här rutan när du använder betrodda och giltiga certifikat från din IdP genom en betrodd CA. Självsignerade certifikat kan misslyckas om inte korrekta förtroendekedjor är konfigurerade i Bitwarden-inloggningen med SSO docker-bild. |
När du är klar med tjänsteleverantörens konfiguration, spara ditt arbete.
Identitetsleverantörskonfiguration
Konfiguration av identitetsleverantör kräver ofta att du går tillbaka till JumpCloud-portalen för att hämta applikationsvärden:
Fält | Beskrivning |
|---|---|
Enhets-ID | Ange ditt JumpCloud IdP Entity ID, som kan hämtas från JumpCloud Single Sign-On Configuration-skärmen. Det här fältet är skiftlägeskänsligt. |
Bindningstyp | Ställ in på omdirigering. |
Webbadress till tjänst för enkel inloggning | Ange din JumpCloud IdP URL, som kan hämtas från JumpCloud Single Sign-On Configuration-skärmen. |
Webbadress för enkel utloggning | Inloggning med SSO stöder för närvarande inte SLO. Detta alternativ är planerat för framtida utveckling. |
X509 Offentligt certifikat | Klistra in det hämtade certifikatet, ta bort
och
|
Algoritm för utgående signering | Om du skapade en anpassad SAML-applikation, ställ in denna på vilken signaturalgoritm du än valde. Annars lämnar du som |
Inaktivera utgående utloggningsförfrågningar | Inloggning med SSO stöder för närvarande inte SLO. Detta alternativ är planerat för framtida utveckling. |
Vill ha signerade förfrågningar om autentisering | Huruvida JumpCloud förväntar sig att SAML-förfrågningar ska signeras. |
note
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
När du är klar med identitetsleverantörens konfiguration, spara ditt arbete.
tip
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Testa konfigurationen
När din konfiguration är klar, testa den genom att navigera till https://vault.bitwarden.com, ange din e-postadress och välja knappen Använd enkel inloggning:
Ange den konfigurerade organisationsidentifieraren och välj Logga in. Om din implementering är framgångsrikt konfigurerad kommer du att omdirigeras till JumpCloud-inloggningsskärmen:
När du har autentiserat med dina JumpCloud-uppgifter, ange ditt Bitwarden-huvudlösenord för att dekryptera ditt valv!
note
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.