ADFS SAML 实施
最后更新于
最后更新于
对应的
本文是专门针对 Active Directory Federation Services (AD FS) 用于配置 SAML 2.0 方式的 SSO 登录的帮助。有关其他 IdP 方式配置 SSO 登录的帮助,请参阅 。
配置需要在 Bitwarden 网页 App 和 AD FS 服务器管理器中同时进行。在您继续进行操作时,我们建议您准备好这两样东西,并按照文档中的顺序完成这些步骤。
已经是 SSO 专家?跳过本文中的说明,然后下载示例配置,将里面的屏幕截图与您自己的配置进行比较。
⬇️
登录到 Bitwarden 网页 App,使用产品切换器打开管理控制台:
打开组织的设置 → 单点登录界面:
如果还没有为您的组织创建唯一的 SSO 标识符,请创建一个,然后从类型下拉菜单中选择 SAML。保持此界面打开,以方便参考。
如果愿意,您可以在此阶段关闭设置专属的 SP 实体 ID 选项。这样做会从 SP 实体 ID 值中移除组织 ID,但大多数情况下都建议打开该选项。
在 AD FS 服务器管理器中,选择 Tools → AD FS Management → Action → Add Relying Party Trust。在向导中,进行如下的选择:
1、在 Welcome(欢迎)界面,选择 Claims Aware。
2、在 Select Data Source(选择数据来源)界面,选择 Enter data about the relying party manually。
3、在 Specify Display Name(指定显示名称)界面,输入一个专用于 Bitwarden 的显示名称。
4、在 Configure URL(配置 URL)界面,选择 Enable support for SAML 2.0 WebSSO protocol。
在 Relying party SAML 2.0 SSO service URL 输入框中,输入从 Bitwarden SSO 配置界面获取到的断言消费者服务(ACS)URL。这个自动生成的值可以从组织的设置 → 单点登录界面中复制,并根据您的设置而有所不同。。
5、在 Choose Access Control Policy 界面,选择符合安全标准的策略。
6、在 Configure Identifiers 界面,添加 SP 实体 ID 作为依赖方信任标识符。这个自动生成的值可以从组织的设置 → 单点登录界面中复制,并根据您的设置而有所不同。
7、在 Choose Access Control Policy 界面,选择所需的策略(默认为 Permit Everyone)。
8、在 Ready to Add Trust 界面,查看您的选择。
创建依赖方信任后,您可以通过从左侧文件导航器中选择 Relying Party Trusts 并选择正确的显示名称来进一步配置其设置。
要更改 Secure hash algorithm(默认为 SHA-256),请导航到 Advanced 选项卡:
要更改端点 Binding(默认为 POST),请导航到 Endpoints 选项卡并选择已配置的 ACS URL:
构建声明颁发规则以确保将适当的声明(包括 Name ID)传递给 Bitwarden。以下选项卡演示了示例规则集:
在左侧的文件导航器中,选择 AD FS → Service → Certificates 打开证书列表。选择 Token-signing 证书,导航到其 Details 选项卡,然后选择 Copy to File… 按钮以导出 Base-64 编码的令牌签名证书:
在左侧的文件导航器中,选择 AD FS,然后从右侧的选项菜单中选择 Edit Federation Service Properties。在 Federation Service Properties(联合服务属性)窗口中,复制 Federation Service Identifier:
至此,您已经在 AD FS 服务器管理器范围内配置好了所需要的一切。回到 Bitwarden 网页 App 以完成配置。
单点登录界面将配置分为两个部分:
SAML 服务提供程序配置将决定 SAML 请求的格式。
SAML 身份提供程序配置将决定用于 SAML 响应的预期格式。
在服务提供程序配置部分,配置以下字段:
Name ID Format
Outbound Signing Algorithm
Bitwarden 用来签署 SAML 请求的算法。
Signing Behavior
SAML 请求是否/何时将被签名。
Minimum Incoming Signing Algorithm
Want Assertions Signed
Bitwarden 是否要求 SAML 声明被签名。
Validate Certificates
通过受信任的 CA 使用来自 IdP 的受信任和有效证书时,请选中此框。除非在 Bitwarden SSO 登录 docker 镜像中配置了适当的信任链,否则自签名证书可能会失败。
完成服务提供程序配置部分后,Save(保存)您的工作。
身份提供程序配置通常需要您返回 AD FS 服务器管理器以获取相应的值:
Entity ID
Binding Type
Single Sign On Service URL
输入 SSO 服务端点。该值可以从 AD FS 管理器的 Service → Endpoints 选项卡中获取,默认情况下应以 http:// 开头并以 /adfs/services/ls 结尾。
Artifact Resolution Service URL
X509 Public Certificate
黏贴已下载的证书,移除 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----。
多余的空格、回车符和其他多余的字符将导致证书验证失败。
Outbound Signing Algorithm
Disable Outbound Logout Requests
SSO 登录当前不支持 SLO。该选项计划用于将来的开发。
Want Authentication Requests Signed
AD FS 是否要求 SAML 请求被签名。
完成身份提供程序配置部分后,Save(保存)您的工作。
使用 AD FS 凭据进行身份验证后,输入您的 Bitwarden 主密码以解密您的密码库!
您可以选择性使用成员解密选项。了解如何开始使用 和 。
在您将需要此证书。
在您将需要此标识符。
选择构建时选择的 Outgoing Name ID Format(请参阅规则 3)。
默认,AD FS 将使用 SHA-256 签名。从下拉列表中选择 SHA-256,除非您已。
输入获取到的 (联合服务标识符)。请注意,这可能不使用 HTTPS。
默认,AD FS 使用 HTTP POST 端点绑定。除非您已,否则请选择 HTTP POST。
仅当您选择 Artifact 作为您的信赖方信任的时才使用此字段。
默认情,AD FS 将使用 SHA-256 签名。从下拉列表中选择 SHA-256,除非您已。
您可以通过激活单点登录身份验证策略来要求用户使用 SSO 登录。请注意,这需要先激活单一组织策略。。
配置完成后,通过导航到 或 ,输入您的电子邮箱地址,选择继续,然后选择企业单点登录按钮来进行测试:
输入,然后选择登录。如果您的实施已成功配置,您将被重定向到 AD FS SSO 的登录界面。