Cloudflare Zero Trust SSO 实施

本文是专门针对 Cloudflare Zero Trust 用于配置 SSO 登录的帮助。Cloudflare Zero Trust 是一个基于云的身份和访问管理平台，可与多个身份提供程序 (IdP) 集成。您还可以配置安全访问平台的网关和隧道。

为什么要使用 Cloudflare Zero Trust SSO？

Cloudflare Zero Trust 是一个基于云的代理身份和访问管理平台，可与多个身份提供程序 (IdP) 集成。除了标准 IdP 外，使用 Cloudflare Zero Trust 的好处在于它能够为登录配置多个 IdP。Cloudflare Zero Trust 可以从多个单独的目录或一个目录中的用户集提供对 Bitwarden 的 SSO 访问。

在网页 App 中打开 SSO

登录到 Bitwarden 网页 App，使用产品切换器打开管理控制台：

打开组织的设置 → 单点登录界面：

如果还没有为您的组织创建唯一的 SSO 标识符，请创建一个，然后从类型下拉菜单中选择 SAML。保持此界面打开，以方便参考。

如果愿意，您可以在此阶段关闭设置专属的 SP 实体 ID 选项。这样做会从 SP 实体 ID 值中移除组织 ID，但大多数情况下都建议打开该选项。

创建 Cloudflare Zero Trust 登录方法

创建 Cloufdlare Zero Trust 登录方法：

1、导航至 Cloudflare Zero Trust 然后登录或创建账户。

2、配置一个域名，作为用户访问应用程序或应用程序启动器的 URL，例如 https://my-business.cloudflareaccess.com/。从 Cloudflare Zero Trust 菜单中选择设置 → 自定义页面：

3、导航至设置 → 身份验证 → 添加新内容，开始配置第一种登录方法。

4、选择连接到 Cloudflare Zero Trust 的登录方法。如果您使用的 IdP 不在 IdP 列表中，请使用 SAML 或 OIDC 通用选项。本文将以 Okta 为例：

5、选择所选 IdP 登录方法后，请按照 Cloudflare 提供的产品内指南集成您的 IdP。

创建 Cloudflare Zero Trust 应用程序

配置好 IdP 后，您需要为 Bitwarden 创建一个 Cloudflare Zero Trust 应用程序。在本例中，我们将创建一个 SAML 应用程序：

1、导航至访问权限 → 应用程序 → 添加应用程序，然后选择 SaaS。

2、在下一个界面，添加应用程序名称，如 Bitwarden。然后，选择身份验证协议为 SAML。完成后，选择添加应用程序。

3、在 Bitwarden 网页密码库中，打开您的组织并导航至设置 → 单点登录页面。使用来自网页密码库中的信息填写配置应用程序界面上的信息：

4、向下滚动到身份提供程序菜单。选择您在上一节中配置的 IdP，向后滚动到顶部，然后选择下一步。

5、接下来，创建用户访问应用程序的访问策略。为每个策略填写策略名称、操作和会话持续时间字段。

6、您可以选择指定组策略（访问权限 → 群组）或明确的用户策略规则（如电子邮箱、「mails ending in」、「country」 或 「everyone」）。在下面的示例中，"匿名用户 "组已包含在策略中。还添加了一条附加规则，以包括以所选域名结尾的电子邮件：

7、配置好访问策略后，滚动到顶部并选择下一步。

8、在设置页面，复制以下值并将其输入 Bitwarden 单点登录页面的相应字段：

9、将值输入 Bitwarden 后，在 Bitwarden 单点登录屏幕上选择保存，然后在 Cloudflare 页面上选择完成以保存应用程序。

10、要在 Bitwarden 使用 SSO 登录页面创建书签，请选择添加应用程序 → 书签。检查书签是否在应用程序启动器中可见。

测试配置

配置完成后，通过导航到 https://vault.bitwarden.com 或 https://vault.bitwarden.eu，输入您的电子邮箱地址，选择继续，然后选择企业单点登录按钮来进行测试：

输入已配置的组织标识符，然后选择登录。如果您的实施已成功配置，您将被重定向到 Cloudflare Access 界面，您可以在其中选择登录要使用的 IDP：

选择 IdP 后，系统将引导您进入 IdP 登录页面。输入通过 IdP 登录时使用的信息：

使用 IdP 凭据进行身份验证后，输入您的 Bitwarden 主密码以解密您的密码库！