Keycloak SAML implementering
Den här artikeln innehåller Keycloak-specifik hjälp för att konfigurera inloggning med SSO via SAML 2.0. För hjälp med att konfigurera inloggning med SSO för en annan IdP, se SAML 2.0 Configuration.
Konfiguration innebär att arbeta samtidigt med Bitwarden-webbappen och Keycloak-portalen. När du fortsätter rekommenderar vi att du har både lättillgängliga och att du slutför stegen i den ordning de är dokumenterade.
tip
Already an SSO expert? Skip the instructions in this article and download screenshots of sample configurations to compare against your own.
Öppna SSO i webbappen
Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:
Öppna din organisations Inställningar → Enkel inloggningsskärm:
Om du inte redan har gjort det, skapa en unik SSO-identifierare för din organisation och välj SAML från rullgardinsmenyn Typ. Håll den här skärmen öppen för enkel referens.
Du kan stänga av alternativet Ange ett unikt SP-enhets-ID i detta skede om du vill. Om du gör det kommer ditt organisations-ID att tas bort från ditt SP-enhets-ID-värde, men i nästan alla fall rekommenderas det att du låter det här alternativet vara aktiverat.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Keycloak inställning
Logga in på Keycloak och välj Klienter → Skapa klient.
Fyll i följande fält på skärmen Skapa klient:
Fält | Beskrivning |
|---|---|
Klienttyp | Välj SAML. |
Klient-ID | Ställ in det här fältet till det förgenererade SP Entity ID. Detta automatiskt genererade värde kan kopieras från organisationens Inställningar → Enkel inloggningsskärm och kommer att variera beroende på dina inställningar. |
Namn | Ange ett valfritt namn för Keycloak-klienten. |
När du har fyllt i de obligatoriska fälten på sidan Allmänna inställningar klickar du på Nästa.
På skärmen Inloggningsinställningar fyller du i följande fält:
Fält | Beskrivning |
|---|---|
Giltiga omdirigerings-URI:er | Ställ in det här fältet till den förgenererade webbadressen för Assertion Consumer Service (ACS). Detta automatiskt genererade värde kan kopieras från organisationens Inställningar → Enkel inloggningsskärm och kommer att variera beroende på dina inställningar. |
Välj Spara.
Välj fliken Nycklar och växla alternativet som krävs för klientsignatur till Av.
Slutligen, på Keycloak-huvudnavigeringen, välj Realm-inställningar och sedan fliken Nycklar. Leta upp RS256-certifikatet och välj certifikat.
Värdet för certifikatet kommer att krävas för följande avsnitt.
Tillbaka till webbappen
Vid det här laget har du konfigurerat allt du behöver inom ramen för Keycloak-portalen. Gå tillbaka till Bitwardens webbapp och välj Inställningar → Enkel inloggning från navigeringen.
Skärmen för enkel inloggning delar upp konfigurationen i två sektioner:
SAML-tjänsteleverantörens konfiguration avgör formatet för SAML-förfrågningar.
Konfiguration av SAML-identitetsleverantör avgör vilket format som kan förväntas för SAML-svar.
Fyll i följande fält i avsnittet om konfiguration av SAML-tjänstleverantör:
Fält | Beskrivning |
|---|---|
Namn-ID-format | Välj E-post. |
Algoritm för utgående signering | Algoritmen Bitwarden kommer att använda för att signera SAML-förfrågningar. |
Signeringsbeteende | Om/när SAML-förfrågningar kommer att undertecknas. |
Minsta algoritm för inkommande signering | Välj den algoritm som Keycloak-klienten är konfigurerad att använda för att signera SAML-dokument eller påståenden. |
Vill ha påståenden undertecknade | Huruvida Bitwarden förväntar sig att SAML-påståenden ska undertecknas. Om den är aktiverad, se till att du konfigurerar Keycloak-klienten för att signera påståenden. |
Validera certifikat | Markera den här rutan när du använder betrodda och giltiga certifikat från din IdP genom en betrodd CA. Självsignerade certifikat kan misslyckas om inte korrekta förtroendekedjor är konfigurerade med Bitwarden-inloggningen med SSO docker-bild. |
Fyll i följande fält i avsnittet om konfiguration av SAML-identitetsleverantör:
Fält | Beskrivning |
|---|---|
Enhets-ID | Ange URL:en till Keycloak-riket där klienten skapades, till exempel |
Bindningstyp | Välj Omdirigera. |
Webbadress till tjänsten för enkel inloggning | Ange din huvud-SAML-bearbetnings-URL, till exempel |
Webbadress för enkel utloggning | Inloggning med SSO stöder för närvarande inte SLO. Det här alternativet är planerat för framtida utveckling, men du kan förkonfigurera det med din utloggnings-URL om du vill. |
X509 offentligt certifikat | Ange RS256-certifikatet som kopierades i föregående steg. Certifikatvärdet är skiftlägeskänsligt, extra mellanslag, vagnreturer och andra ovidkommande tecken kommer att göra att certifikatvalideringen misslyckas. |
Algoritm för utgående signering | Välj den algoritm som Keycloak-klienten är konfigurerad att använda för att signera SAML-dokument eller påståenden. |
Inaktivera utgående utloggningsförfrågningar | Inloggning med SSO stöder för närvarande inte SLO. Detta alternativ är planerat för framtida utveckling. |
Vill ha signerade förfrågningar om autentisering | Huruvida Keycloak förväntar sig att SAML-förfrågningar ska signeras. |
note
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
När du är klar med identitetsleverantörens konfiguration, spara ditt arbete.
tip
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Ytterligare Keycloak-inställningar
På fliken Keycloak Client Settings finns ytterligare konfigurationsalternativ tillgängliga:
Fält | Beskrivning |
|---|---|
Signera dokument | Ange om SAML-dokument ska signeras av Keycloak-riket. |
Teckenpåståenden | Ange om SAML-påståenden ska signeras av Keycloak-riket. |
Signaturalgoritm | Om Sign Assertions är aktiverat, välj vilken algoritm du vill signera med ( |
Namn ID-format | Välj namn-ID-format för Keycloak att använda i SAML-svar. |
När du har slutfört forumet väljer du Spara.
Testa konfigurationen
När din konfiguration är klar, testa den genom att navigera till https://vault.bitwarden.com, ange din e-postadress och välja knappen Använd enkel inloggning:
Ange den konfigurerade organisationsidentifieraren och välj Logga in. Om din implementering är framgångsrikt konfigurerad kommer du att omdirigeras till Keycloak-inloggningsskärmen:
När du har autentiserat dig med dina Keycloak-uppgifter, ange ditt Bitwarden-huvudlösenord för att dekryptera ditt valv!
note
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.