SAML 2.0 配置
对应的官方文档地址
第 1 步:设置组织标识符
使用 SSO 验证身份的用户将被要求输入一个组织标识符,该标识符表明要验证的组织(以及 SSO 集成)。要设置唯一的组织标识符:
1、登录到 Bitwarden 网页密码库然后使用产品切换器 (☷) 打开管理控制台:
2、打导航到 设置 → 单点登录,然后为您的组织输入一个唯一的标识符:
3、继续执行步骤 2:启用 SSO 登录。
此配置准备好使用后,您需要将这个值分享给用户。
第 2 步:启用 SSO 登录
拥有 SSO 标识符后,您可以继续启用和配置集成。要启用 SSO 登录:
1、在 设置 → 单点登录 视图中,勾选允许 SSO 身份验证复选框:
2、从类型下拉菜单中,选择 SAML 2.0 选项。如果您打算改用 OIDC,请切换到 OIDC 配置指南。
如果您愿意,可以在此阶段关闭设置唯一的 SP 实体 ID 选项。这样做将从 SP 实体 ID 值中删除您的组织 ID,但在几乎所有情况下,建议保留此选项。
还有其他成员解密选项。了解如何开始将 SSO 与受信任的设备或 Key Connector 结合使用。
第 3 步:配置
从这里开始,实施将因提供程序而异。跳转到我们的特定实施指南之一,以帮助完成配置过程:
| 提供程序 | 指南 |
|---|---|
AD FS | |
Auth0 | |
AWS | |
Azure | |
Duo | |
JumpCloud | |
Keycloak | |
Okta | |
OneLogin | |
PingFederate |
配置参考资料
以下部分将定义在单点登录配置界面的字段,其与您要集成的 IdP 无关。必须配置的字段将被标记(必填)。
除非您对 SAML 2.0 非常熟悉,否则我们建议使用上述实施指南之一,而不是以下的通用素材。
单点登录界面将配置分为两个部分:
SAML 服务提供程序配置将确定 SAML 请求的格式。
SAML 身份提供程序配置将确定 SAML 响应的预期格式。
服务提供程序配置
| 字段 | 描述 |
|---|---|
SP Entity ID | (自动生成)用于身份验证请求的 Bitwarden 端点。对于云托管客户,其始终为 |
SAML 2.0 Metadata URL | (自动生成)Bitwarden 端点的元数据 URL。对于云托管客户,其始终为 |
Assertion Consumer Service (ACS) URL | (自动生成)从 IdP 发送 SAML 声明的位置。对于云托管客户,其始终为 |
Name ID Format | Bitwarden 请求 SAML 声明的格式。选项包括: -Unspecified (默认) -Email Address -X.509 Subject Name -Windows Domain Qualified Name -Kerberos Principal Name -Entity Identifier -Persistent -Transient |
Outbound Signing Algorithm | |
Signing Behavior | 是否/何时签署 SAML 请求。选项包括: -If IdP Wants Authn Requests Signed (默认) -Always -Never |
Minimum Incoming Signing Algorithm | Bitwarden 将在 SAML 响应中接受的算法的最小强度。 |
Want Assertions Signed | 如果 Bitwarden 期望来自 IdP 的响应被签名,请选中此复选框。 |
Validate Certificates | 当使用来自你的 IdP 的通过受信任的 CA 颁发的受信任和有效的证书时,请选中此复选框。自签名证书可能会失败,除非在 Bitwarden SSO 登录 docker 镜像中配置了正确的信任链。 |
身份提供程序配置
| 字段 | 描述 |
|---|---|
Entity ID | (必填)您的身份服务器或 IdP 实体 ID 的地址或 URL。 |
Binding Type | IdP 用于响应 Bitwarden SAML 请求的方法。选项包括: -Redirect (推荐) -HTTP POST -Artifact |
Single Sign On Service URL | (必填,如果 Entity ID 不是 URL) 您的 IdP 发布的 SSO URL。 |
Single Log Out Service URL | SSO 登录目前不支持 SLO。该选项计划在未来使用,但我们强烈建议预先配置该字段。 |
Artifact Resolution Service URL | (必填,如果 Binding Type 是 Artifact)用于工件解析协议(Artifact Resolution Protocol)的 URL。 |
X509 Public Certificate | (必填)X.509 Base-64 编码的证书的主体部分。不要包括 CER/PEM 格式的证书的 此字段中额外的空格、回车符和其他无关字符将导致证书验证失败。仅复制证书数据到此字段中。 |
Outbound Signing Algorithm | |
Allow Unsolicited Authentication Response | SSO 登录目前不支持未经请求(由 IdP 发起)的 SSO 声明。此复选框计划在未来使用。 |
Disable Outbound Logout Requests | SSO 登录目前不支持 SLO。该选项计划在未来使用,但我们强烈建议预先配置该字段。 |
Want Authentication Requests Signed | 如果您的 IdP 希望来自 Bitwarden SAML 的请求被签名,请选中此复选框。 |
SAML 属性和声明
帐户布建要求一个电子邮件地址,它可以作为下表中的任何属性或声明被传递。
还强烈建议使用一个唯一的用户标识符。如果没有,将使用电子邮件来链接用户。
属性/声明按优先匹配的顺序排列,包括适用的 Fallback:
| 值 | 声明/属性 | Fallback 声明/属性 |
|---|---|---|
Unique ID | NameID (when not Transient) urn:oid:0.9.2342.19200300.100.1.1 Sub UID UPN EPPN | |
Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress urn:oid:0.9.2342.19200300.100.1.3 Mail EmailAddress | Preferred_Username Urn:oid:0.9.2342.19200300.100.1.1 UID | |
Name | Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name urn:oid:2.16.840.1.113730.3.1.241 urn:oid:2.5.4.3 DisplayName CN | First Name + “ “ + Last Name (see below) |
First Name | urn:oid:2.5.4.42 GivenName FirstName FN FName Nickname | |
Last Name | urn:oid:2.5.4.4 SN Surname LastName |
最后更新于