Ping Identity SAML 实施

本文是专门针对 Ping Identity 用于配置 SAML 2.0 方式的 SSO 登录的帮助。有关其他 IdP 方式配置 SSO 登录的帮助,请参阅 SAML 2.0 配置

配置需要在 Bitwarden 网页 App 和 Ping Identity 管理门户网站中同时进行。在您继续进行操作时,我们建议您准备好这两样东西,并按照文档中的顺序完成这些步骤。

在网页 App 中打开 SSO

登录到 Bitwarden 网页 App,使用产品切换器打开管理控制台:

产品切换器

打开组织的设置单点登录界面:

SAML 2.0 配置

如果还没有为您的组织创建唯一的 SSO 标识符,请创建一个,然后从类型下拉菜单中选择 SAML。保持此界面打开,以方便参考。

如果愿意,您可以在此阶段关闭设置专属的 SP 实体 ID 选项。这样做会从 SP 实体 ID 值中移除组织 ID,但大多数情况下都建议打开该选项。

创建 SAML 应用程序

在 Ping Identity 管理员门户中,选择 Application 和屏幕上方的 ✚图标以打开 Add Application 界面:

Ping Identity 添加应用程序

1、在 Application Name 字段中输入 Bitwarden 专用名称。可根据需要添加所需的详细说明。

2、选择 SAML Application 选项,完成后再选择 Configure

3、在 SAML Configuration 界面上选择 Manually Enter。使用 Bitwarden 单点登录界面上的信息配置以下字段:

字段
描述

ACS URL

将此字段设置为预先生成的断言消费者服务 (ACS) URL

此自动生成的值可以从组织的设置单点登录界面复制,并根据设置而有所不同。

Entity ID

将此字段设置为预先生成的 SP 实体 ID

此自动生成的值可以从组织的设置单点登录界面复制,并根据设置而有所不同。

选择 Save 以继续。

返回网页 App

至此,您已经在 Ping Identity 管理员门户范围内配置好了您所需要的一切。返回 Bitwarden 网页 App 来完成配置。

单点登录界面将配置分为两个部分:

  • SAML 服务提供程序配置将决定 SAML 请求的格式。

  • SAML 身份提供程序配置将决定用于 SAML 响应的预期格式。

服务提供程序配置

根据 Ping Identity 应用程序 Configuration 页面提供的信息配置以下字段:

字段
描述

Name ID Format

将该字段设置为 Ping Identity 应用程序配置中指定的 Subject Name ID Format

Outbound Signing Algorithm

Bitwarden 用于签名 SAML 请求的算法。

Signing Behavior

SAML 请求是否/何时将被签名。

Minimum Incoming Signing Algorithm

默认情况,Ping Identity 将使用 RSA SHA-256 签名。请从下拉列表中选择 sha-256

Expect signed assertions

Bitwarden 是否要求 SAML 声明被签名。此设置应为未选中

Validate Certificates

通过受信任的 CA 使用来自 IdP 的受信任和有效证书时,请选中此复选框。除非在 Bitwarden SSO 登录 docker 镜像中配置了适当的信任链,否则自签名证书可能会失败。

完成服务提供程序配置部分后,Save(保存)您的工作。

身份提供程序配置

身份提供程序配置通常需要您返回 Ping Identity Configuration 界面以获取应用程序的值:

字段
描述

Entity ID

设置为从 Ping Identity Configuration 界面获取到的 Entity ID

Binding Type

设置为 HTTP POSTRedirect

Single Sign On Service URL

设置为从 Ping Identity Configuration 界面获取到的 Single Sign-on Service URL。

Single Log Out Service URL

SSO 登录当前不支持 SLO。该选项计划用于将来的开发,但如果您需要,可以将其预先配置。

X509 Public Certificate

粘贴从应用程序界面获取的签名证书。移除 -----BEGIN CERTIFICATE----------END CERTIFICATE-----。 证书值区分大小写,多余的空格、回车符和其他多余的字符将导致证书验证失败

Outbound Signing Algorithm

默认,Ping Identity 将使用 RSA SHA-256 签名。请从下拉列表中选择 sha-256

Disable Outbound Logout Requests

SSO 登录当前不支持 SLO。该选项计划用于将来的开发。

Want Authentication Requests Signed

Ping Identity 是否要求 SAML 请求被签名。

填写 X509 证书时,请注意到期日期。必须续签证书,以防止向 SSO 最终用户提供的服务中断。如果证书已过期,管理员和所有者账户将始终可以使用电子邮箱地址和主密码登录。

完成身份提供程序配置部分后,Save(保存)您的工作。

测试配置

配置完成后,通过导航到 https://vault.bitwarden.comhttps://vault.bitwarden.eu,输入您的电子邮箱地址,选择继续,然后选择企业单点登录按钮来进行测试:

登录选项界面

输入已配置的组织标识符,然后选择登录。如果您的实施已成功配置,您将被重定向到 Ping Identity 登录界面:

Ping Identity SSO

使用 Ping 凭据进行身份验证后,输入您的 Bitwarden 主密码以解密您的密码库!

Bitwarden 不支持非请求响应,因此从您的 IdP 发起登录会导致错误。SSO 登录流程必须从 Bitwarden 发起。

下一步

  1. 培训您的组织成员如何使用 SSO 登录

最后更新于