SAML 2.0 配置
对应的官方文档地址
第 1 步:设置组织标识符
使用 SSO 验证身份的用户将被要求输入一个组织标识符,该标识符表明要验证的组织(以及 SSO 集成)。要设置唯一的组织标识符:
1、登录 Bitwarden 网页 App,使用产品切换器打开管理控制台:
2、导航到 设置 → 单点登录,然后为您的组织输入一个唯一的标识符:
3、继续执行步骤 2:启用 SSO 登录。
此配置准备好使用后,您需要将这个值分享给用户。
第 2 步:启用 SSO 登录
拥有 SSO 标识符后,您就可以继续启用和配置您的集成了。要启用 SSO 登录:
1、在 设置 → 单点登录 视图中,勾选允许 SSO 身份验证复选框:
2、从类型下拉菜单中,选择 SAML 2.0 选项。如果您打算改用 OIDC,请切换到 OIDC 配置指南。
如果您愿意,可以在此阶段关闭设置唯一的 SP 实体 ID 选项。这样做将从 SP 实体 ID 值中删除您的组织 ID,但在几乎所有情况下,建议保留此选项。
还有其他成员解密选项。了解受信任的设备 SSO 或 Key Connector 使用入门。
第 3 步:配置
从这里开始,实施将因提供程序而异。跳转到我们的特定实施指南之一,以帮助完成配置过程:
AD FS
Auth0
AWS
Azure
Duo
JumpCloud
Keycloak
Okta
OneLogin
PingFederate
配置参考资料
以下部分将定义在单点登录配置界面的字段,其与您要集成的 IdP 无关。必须配置的字段将被标记(必填)。
除非您对 SAML 2.0 非常熟悉,否则我们建议使用上述实施指南之一,而不是以下的通用素材。
单点登录界面将配置分为两个部分:
SAML 服务提供程序配置将确定 SAML 请求的格式。
SAML 身份提供程序配置将确定 SAML 响应的预期格式。
服务提供程序配置
SP Entity ID
(自动生成)用于身份验证请求的 Bitwarden 端点。
这个自动生成的值可以从组织的设置 → 单点登录页面复制,并基于您的设置而有所不同。
SAML 2.0 Metadata URL
(自动生成)Bitwarden 端点的元数据 URL。
这个自动生成的值可以从组织的设置 → 单点登录页面复制,并基于您的设置而有所不同。
Assertion Consumer Service (ACS) URL
(自动生成)从 IdP 发送 SAML 声明的位置。
这个自动生成的值可以从组织的设置 → 单点登录页面复制,并基于您的设置而有所不同。
Name ID Format
Bitwarden 请求 SAML 声明的格式。选项包括:
-Unspecified (默认)
-Email Address
-X.509 Subject Name
-Windows Domain Qualified Name
-Kerberos Principal Name
-Entity Identifier
-Persistent
-Transient
Outbound Signing Algorithm
Bitwarden 用于签署 SAML 请求的算法。选项包括: -http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 (默认) -http://www.w3.org/2000/09/xmldsig#rsa-sha384 -http://www.w3.org/2000/09/xmldsig#rsa-sha512
Signing Behavior
是否/何时签署 SAML 请求。选项包括: -If IdP Wants Authn Requests Signed (默认) -Always -Never
Minimum Incoming Signing Algorithm
Bitwarden 将在 SAML 响应中接受的算法的最小强度。
Want Assertions Signed
如果 Bitwarden 期望来自 IdP 的响应被签名,请选中此复选框。
Validate Certificates
当使用来自你的 IdP 的通过受信任的 CA 颁发的受信任和有效的证书时,请选中此复选框。自签名证书可能会失败,除非在 Bitwarden SSO 登录 docker 镜像中配置了正确的信任链。
身份提供程序配置
Entity ID
(必填)您的身份服务器或 IdP 实体 ID 的地址或 URL。
Binding Type
IdP 用于响应 Bitwarden SAML 请求的方法。选项包括: -Redirect (推荐) -HTTP POST -Artifact
Single Sign On Service URL
(必填,如果 Entity ID 不是 URL) 您的 IdP 发布的 SSO URL。
Single Log Out Service URL
SSO 登录目前不支持 SLO。该选项计划在未来使用,但我们强烈建议预先配置该字段。
Artifact Resolution Service URL
(必填,如果 Binding Type 是 Artifact)用于工件解析协议(Artifact Resolution Protocol)的 URL。
X509 Public Certificate
(必填)X.509 Base-64 编码的证书的主体部分。不要包括 CER/PEM 格式的证书的 -----BEGIN CERTIFICATE----- 与 -----END CERTIFICATE----- 之间的行或部分。
此字段中额外的空格、回车符和其他无关字符将导致证书验证失败。仅复制证书数据到此字段中。
Outbound Signing Algorithm
您的 IdP 用于签署 SAML 响应/声明的算法。选项包括: -http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 (默认) -http://www.w3.org/2000/09/xmldsig#rsa-sha384 -http://www.w3.org/2000/09/xmldsig#rsa-sha512
Allow Unsolicited Authentication Response
SSO 登录目前不支持未经请求(由 IdP 发起)的 SSO 声明。此复选框计划在未来使用。
Disable Outbound Logout Requests
SSO 登录目前不支持 SLO。该选项计划在未来使用,但我们强烈建议预先配置该字段。
Want Authentication Requests Signed
如果您的 IdP 希望来自 Bitwarden SAML 的请求被签名,请选中此复选框。
SAML 属性和声明
账户布建要求一个电子邮箱地址,它可以作为下表中的任何属性或声明被传递。
还强烈建议使用一个唯一的用户标识符。如果没有,将使用电子邮箱来链接用户。
属性/声明按优先匹配的顺序排列,包括适用的 Fallback:
Unique ID
NameID (when not Transient) urn:oid:0.9.2342.19200300.100.1.1 Sub UID UPN EPPN
Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress urn:oid:0.9.2342.19200300.100.1.3 Mail EmailAddress
Preferred_Username Urn:oid:0.9.2342.19200300.100.1.1 UID
Name
Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name urn:oid:2.16.840.1.113730.3.1.241 urn:oid:2.5.4.3 DisplayName CN
First Name + “ “ + Last Name (see below)
First Name
urn:oid:2.5.4.42 GivenName FirstName FN FName Nickname
Last Name
urn:oid:2.5.4.4 SN Surname LastName
最后更新于