OneLogin SAML-implementering
Den här artikeln innehåller OneLogin-specifik hjälp för att konfigurera inloggning med SSO via SAML 2.0. För hjälp med att konfigurera inloggning med SSO för en annan IdP, se SAML 2.0 Configuration.
Konfiguration innebär att arbeta samtidigt inom Bitwarden-webbappen och OneLogin-portalen. När du fortsätter rekommenderar vi att du har både lättillgängliga och att du slutför stegen i den ordning de är dokumenterade.
tip
Already an SSO expert? Skip the instructions in this article and download screenshots of sample configurations to compare against your own.
Öppna SSO i webbappen
Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:
Öppna din organisations Inställningar → Enkel inloggningsskärm:
Om du inte redan har gjort det, skapa en unik SSO-identifierare för din organisation och välj SAML från rullgardinsmenyn Typ. Håll den här skärmen öppen för enkel referens.
Du kan stänga av alternativet Ange ett unikt SP-enhets-ID i detta skede om du vill. Om du gör det kommer ditt organisations-ID att tas bort från ditt SP-enhets-ID-värde, men i nästan alla fall rekommenderas det att du låter det här alternativet vara aktiverat.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Skapa en OneLogin-app
I OneLogin-portalen, navigera till applikationsskärmen och välj knappen Lägg till app:
I sökfältet skriver du saml test connector och väljer SAML Test Connector (Advanced)-appen:
Ge din applikation ett Bitwarden-specifikt visningsnamn och välj knappen Spara.
Konfiguration
Välj Konfiguration från navigeringen till vänster och konfigurera följande information, varav en del måste hämtas från skärmen för enkel inloggning:
Applikationsinställning | Beskrivning |
|---|---|
Målgrupp (EntityID) | Ställ in det här fältet till det förgenererade SP Entity ID. Detta automatiskt genererade värde kan kopieras från organisationens Inställningar → Enkel inloggningsskärm och kommer att variera beroende på dina inställningar. |
Mottagare | Ställ in det här fältet till samma förgenererade SP Entity ID som används för inställningen Målgrupp (Entity ID). |
ACS (Consumer) URL Validator | Trots att du är markerad som Krävd av OneLogin, behöver du faktiskt inte ange information i detta fält för att integrera med Bitwarden. Hoppa till nästa fält, ACS (Consumer) URL. |
ACS (Consumer) URL | Ställ in det här fältet till den förgenererade webbadressen för Assertion Consumer Service (ACS). Detta automatiskt genererade värde kan kopieras från organisationens Inställningar → Enkel inloggningsskärm och kommer att variera beroende på dina inställningar. |
SAML-initiator | Välj Tjänsteleverantör. Inloggning med SSO stöder för närvarande inte IdP-initierade SAML-påståenden. |
SAML nameID Format | Ställ in det här fältet på SAML NameID Format som du vill använda för SAML-påståenden. |
SAML-signaturelement | Som standard kommer OneLogin att signera SAML-svaret. Du kan ställa in detta på Assertion eller Both |
Välj knappen Spara för att avsluta dina konfigurationsinställningar.
Parametrar
Välj Parametrar från navigeringen till vänster och använd ikonen Lägg till för att skapa följande anpassade parametrar:
Fältnamn | Värde |
|---|---|
e-post | E-post |
förnamn | Förnamn |
efternamn | Efternamn |
Välj knappen Spara för att avsluta dina anpassade parametrar.
SSO
Välj SSO från navigeringen till vänster och gör följande:
Välj länken Visa detaljer under ditt X.509-certifikat:
View your Cert På certifikatskärmen laddar du ner eller kopierar ditt X.509 PEM-certifikat, eftersom du kommer att behöva använda det senare. När du har kopierat, återgå till huvudskärmen för SSO.
Ställ in din SAML-signaturalgoritm.
Notera din Emittent-URL och SAML 2.0 Endpoint (HTTP). Du kommer att behöva använda dessa värden inom kort.
Tillträde
Välj Access från navigeringen till vänster. I avsnittet Roller, tilldela applikationsåtkomst till alla roller som du vill kunna använda Bitwarden. De flesta implementeringar skapar en Bitwarden-specifik roll och väljer istället att tilldela baserat på en catch-all (till exempel Standard) eller baserat på redan existerande roller.
Tillbaka till webbappen
Vid det här laget har du konfigurerat allt du behöver inom ramen för OneLogin-portalen. Gå tillbaka till Bitwarden-webbappen för att slutföra konfigurationen.
Skärmen för enkel inloggning delar upp konfigurationen i två sektioner:
SAML-tjänsteleverantörens konfiguration avgör formatet för SAML-förfrågningar.
Konfiguration av SAML-identitetsleverantör avgör vilket format som kan förväntas för SAML-svar.
Tjänsteleverantörens konfiguration
Konfigurera följande fält enligt de val som valts i OneLogin-portalen när appen skapades:
Fält | Beskrivning |
|---|---|
Namn ID-format | Ställ in det här fältet till vad du än valde för fältet OneLogin SAML nameID Format under appkonfigurationen. |
Algoritm för utgående signering | Algoritm som används för att signera SAML-förfrågningar, som standard |
Signeringsbeteende | Om/när SAML-förfrågningar kommer att undertecknas. Som standard kommer OneLogin inte att kräva att förfrågningar signeras. |
Minsta algoritm för inkommande signering | Ställ in det här fältet till vad du än valde för SAML-signaturalgoritmen under appkonfigurationen |
Vill ha påståenden undertecknade | Markera den här rutan om du ställer in SAML-signaturelementet i OneLogin till Assertion eller Both under appkonfigurationen. |
Validera certifikat | Markera den här rutan när du använder betrodda och giltiga certifikat från din IdP genom en betrodd CA. Självsignerade certifikat kan misslyckas om inte korrekta förtroendekedjor är konfigurerade i Bitwarden-inloggningen med SSO docker-bild. |
När du är klar med tjänsteleverantörens konfiguration, spara ditt arbete.
Identitetsleverantörskonfiguration
Identitetsleverantörskonfiguration kräver ofta att du går tillbaka till OneLogin-portalen för att hämta applikationsvärden:
Fält | Beskrivning |
|---|---|
Enhets-ID | Ange din OneLogin-utfärdares URL, som kan hämtas från OneLogin-appen SSO-skärmen. Det här fältet är skiftlägeskänsligt. |
Bindningstyp | Ställ in på HTTP Post (som anges i SAML 2.0 Endpoint (HTTP)). |
Webbadress till tjänst för enkel inloggning | Ange din OneLogin SAML 2.0 Endpoint (HTTP), som kan hämtas från OneLogin-appen SSO-skärmen. |
Webbadress för enkel utloggning | Inloggning med SSO stöder för närvarande inte SLO. Det här alternativet är planerat för framtida utveckling, men du kan förkonfigurera det om du vill. |
X509 Offentligt certifikat | Klistra in det hämtade X.509-certifikatet, ta bort
och |
Algoritm för utgående signering | Välj SAML-signaturalgoritmen som valts i OneLogin SSO-konfigurationsavsnittet. |
Inaktivera utgående utloggningsförfrågningar | Inloggning med SSO stöder för närvarande inte SLO. Detta alternativ är planerat för framtida utveckling. |
Vill ha signerade förfrågningar om autentisering | Om OneLogin förväntar sig att SAML-förfrågningar ska signeras. |
note
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
När du är klar med identitetsleverantörens konfiguration, spara ditt arbete.
tip
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Testa konfigurationen
När din konfiguration är klar, testa den genom att navigera till https://vault.bitwarden.com, ange din e-postadress och välja knappen Använd enkel inloggning:
Ange den konfigurerade organisationsidentifieraren och välj Logga in. Om din implementering är framgångsrikt konfigurerad kommer du att omdirigeras till OneLogin-inloggningsskärmen:
När du har autentiserat dig med dina OneLogin-uppgifter, ange ditt Bitwarden-huvudlösenord för att dekryptera ditt valv!
note
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.