Ping Identity SAML 实施
最后更新于
这有帮助吗?
最后更新于
这有帮助吗?
对应的官方文档地址
本文是专门针对 Ping Identity 用于配置 SAML 2.0 方式的 SSO 登录的帮助。有关其他 IdP 方式配置 SSO 登录的帮助,请参阅 SAML 2.0 配置。
配置需要在 Bitwarden 网页 App 和 Ping Identity 管理门户网站中同时进行。在您继续进行操作时,我们建议您准备好这两样东西,并按照文档中的顺序完成这些步骤。
登录到 Bitwarden 网页 App,使用产品切换器打开管理控制台:
打开组织的设置 → 单点登录界面:
如果还没有为您的组织创建唯一的 SSO 标识符,请创建一个,然后从类型下拉菜单中选择 SAML。保持此界面打开,以方便参考。
如果愿意,您可以在此阶段关闭设置专属的 SP 实体 ID 选项。这样做会从 SP 实体 ID 值中移除组织 ID,但大多数情况下都建议打开该选项。
您可以选择性使用成员解密选项。了解如何开始使用受信任设备 SSO 和 Key Connector。
在 Ping Identity 管理员门户中,选择 Application 和屏幕上方的 ✚图标以打开 Add Application 界面:
1、在 Application Name 字段中输入 Bitwarden 专用名称。可根据需要添加所需的详细说明。
2、选择 SAML Application 选项,完成后再选择 Configure。
3、在 SAML Configuration 界面上选择 Manually Enter。使用 Bitwarden 单点登录界面上的信息配置以下字段:
ACS URL
将此字段设置为预先生成的断言消费者服务 (ACS) URL。
此自动生成的值可以从组织的设置 → 单点登录界面复制,并根据设置而有所不同。
Entity ID
将此字段设置为预先生成的 SP 实体 ID。
此自动生成的值可以从组织的设置 → 单点登录界面复制,并根据设置而有所不同。
选择 Save 以继续。
至此,您已经在 Ping Identity 管理员门户范围内配置好了您所需要的一切。返回 Bitwarden 网页 App 来完成配置。
单点登录界面将配置分为两个部分:
SAML 服务提供程序配置将决定 SAML 请求的格式。
SAML 身份提供程序配置将决定用于 SAML 响应的预期格式。
根据 Ping Identity 应用程序 Configuration 页面提供的信息配置以下字段:
Name ID Format
将该字段设置为 Ping Identity 应用程序配置中指定的 Subject Name ID Format。
Outbound Signing Algorithm
Bitwarden 用于签名 SAML 请求的算法。
Signing Behavior
SAML 请求是否/何时将被签名。
Minimum Incoming Signing Algorithm
默认情况,Ping Identity 将使用 RSA SHA-256 签名。请从下拉列表中选择 sha-256。
Expect signed assertions
Bitwarden 是否要求 SAML 声明被签名。此设置应为未选中。
Validate Certificates
通过受信任的 CA 使用来自 IdP 的受信任和有效证书时,请选中此复选框。除非在 Bitwarden SSO 登录 docker 镜像中配置了适当的信任链,否则自签名证书可能会失败。
完成服务提供程序配置部分后,Save(保存)您的工作。
身份提供程序配置通常需要您返回 Ping Identity Configuration 界面以获取应用程序的值:
Entity ID
设置为从 Ping Identity Configuration 界面获取到的 Entity ID。
Binding Type
设置为 HTTP POST 或 Redirect。
Single Sign On Service URL
设置为从 Ping Identity Configuration 界面获取到的 Single Sign-on Service URL。
Single Log Out Service URL
SSO 登录当前不支持 SLO。该选项计划用于将来的开发,但如果您需要,可以将其预先配置。
X509 Public Certificate
粘贴从应用程序界面获取的签名证书。移除 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----。
证书值区分大小写,多余的空格、回车符和其他多余的字符将导致证书验证失败。
Outbound Signing Algorithm
默认,Ping Identity 将使用 RSA SHA-256 签名。请从下拉列表中选择 sha-256。
Disable Outbound Logout Requests
SSO 登录当前不支持 SLO。该选项计划用于将来的开发。
Want Authentication Requests Signed
Ping Identity 是否要求 SAML 请求被签名。
填写 X509 证书时,请注意到期日期。必须续签证书,以防止向 SSO 最终用户提供的服务中断。如果证书已过期,管理员和所有者账户将始终可以使用电子邮箱地址和主密码登录。
完成身份提供程序配置部分后,Save(保存)您的工作。
您可以通过激活单点登录身份验证策略来要求用户使用 SSO 登录。请注意,这需要先激活单一组织政策。了解更多。
配置完成后,通过导航到 https://vault.bitwarden.com 或 https://vault.bitwarden.eu,输入您的电子邮箱地址,选择继续,然后选择企业单点登录按钮来进行测试:
输入已配置的组织标识符,然后选择登录。如果您的实施已成功配置,您将被重定向到 Ping Identity 登录界面:
使用 Ping 凭据进行身份验证后,输入您的 Bitwarden 主密码以解密您的密码库!
Bitwarden 不支持非请求响应,因此从您的 IdP 发起登录会导致错误。SSO 登录流程必须从 Bitwarden 发起。
培训您的组织成员如何使用 SSO 登录。