Links

SAML 2.0 配置

对应的官方文档地址

第 1 步:设置组织标识符

使用 SSO 验证身份的用户将被要求输入一个组织标识符,该标识符表明要验证的组织(以及 SSO 集成)。要设置唯一的组织标识符:
1、登录到您的网页密码库并打开您的组织。
2、打开设置选项卡然后为您的组织输入一个唯一的标识符
输入一个标识符
3、在退出此页面之前保存您的更改。
此配置准备好使用后,您需要将这个值分享给用户。

第 2 步:启用 SSO 登录

拥有组织标识符后,您可以继续启用和配置集成。要启用 SSO 登录:
1、从组织密码库中,导航到管理选项卡并从左侧菜单中选择单点登录
启用 SSO
2、在单点登录界面,勾选允许 SSO 身份验证复选框。
3、从类型下拉菜单中,选择 SAML 2.0 选项。如果您打算改用 OIDC,请切换到 OIDC 配置指南
如果您是自托管 Bitwarden,您可以选择性使用成员解密选项。此功能默认情况下被禁用,因此现在继续使用主密码解密,并了解如何在配置完成并成功运行后开始使用 Key Connector

第 3 步:配置

从这里开始,实施将因提供程序而异。跳转到我们的特定实施指南之一,以帮助完成配置过程:
提供程序
指南
AD FS
Auth0
AWS
Azure
Duo
Google
JumpCloud
Keycloak
Okta
OneLogin
PingFederate

配置参考资料

以下部分将定义在单点登录配置界面的字段,其与您要集成的 IdP 无关。必须配置的字段将被标记(必填)。
除非您对 SAML 2.0 非常熟悉,否则我们建议使用上述实施指南之一,而不是以下的通用素材。
单点登录界面将配置分为两个部分:
  • SAML 服务提供程序配置将确定 SAML 请求的格式。
  • SAML 身份提供程序配置将确定 SAML 响应的预期格式。

服务提供程序配置

字段
描述
SP Entity ID
自动生成)用于身份验证请求的 Bitwarden 端点。对于云托管客户,其始终为 https://sso.bitwarden.com/saml2。对于自托管实例,这取决于您已配置的服务器 URL,例如 https://your.domain.com/sso/saml2
SAML 2.0 Metadata URL
自动生成)Bitwarden 端点的元数据 URL。对于云托管客户,其始终为 https://sso.bitwarden.com/saml2/your-org-id。对于自托管实例,这取决于您已配置的服务器 URL,例如 https://your.domain.com/sso/saml2/your-org-id
Assertion Consumer Service (ACS) URL
自动生成)从 IdP 发送 SAML 声明的位置。对于云托管客户,其始终为 https://sso.bitwarden.com/saml2/your-org-id/Acs。对于自托管实例,这取决于您已配置的服务器 URL,例如 https://your.domain.com/sso/saml2/your-org-id/Acs
Name ID Format
Bitwarden 请求 SAML 声明的格式。选项包括:
-Unspecified (默认)
-Email Address
-X.509 Subject Name
-Windows Domain Qualified Name
-Kerberos Principal Name
-Entity Identifier
-Persistent
-Transient
Outbound Signing Algorithm
Signing Behavior
是否/何时签署 SAML 请求。选项包括: -If IdP Wants Authn Requests Signed (默认) -Always -Never
Minimum Incoming Signing Algorithm
Bitwarden 将在 SAML 响应中接受的算法的最小强度。
Want Assertions Signed
如果 Bitwarden 期望来自 IdP 的响应被签名,请选中此复选框。
Validate Certificates
当使用来自你的 IdP 的通过受信任的 CA 颁发的受信任和有效的证书时,请选中此复选框。自签名证书可能会失败,除非在 Bitwarden SSO 登录 docker 镜像中配置了正确的信任链。

身份提供程序配置

字段
描述
Entity ID
必填)您的身份服务器或 IdP 实体 ID 的地址或 URL。
Binding Type
IdP 用于响应 Bitwarden SAML 请求的方法。选项包括: -Redirect (推荐) -HTTP POST -Artifact
Single Sign On Service URL
(必填,如果 Entity ID 不是 URL) 您的 IdP 发布的 SSO URL。
Single Log Out Service URL
SSO 登录目前不支持 SLO。该选项计划在未来使用,但我们强烈建议预先配置该字段。
Artifact Resolution Service URL
必填,如果 Binding Type 是 Artifact)用于工件解析协议(Artifact Resolution Protocol)的 URL。
X509 Public Certificate
必填)X.509 Base-64 编码的证书的主体部分。不要包括 CER/PEM 格式的证书的 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 之间的行或部分。
此字段中额外的空格、回车符和其他无关字符将导致证书验证失败。复制证书数据到此字段中。
Outbound Signing Algorithm
Allow Unsolicited Authentication Response
SSO 登录目前不支持未经请求(由 IdP 发起)的 SSO 声明。此复选框计划在未来使用。
Disable Outbound Logout Requests
SSO 登录目前不支持 SLO。该选项计划在未来使用,但我们强烈建议预先配置该字段。
Want Authentication Requests Signed
如果您的 IdP 希望来自 Bitwarden SAML 的请求被签名,请选中此复选框。

SAML 属性和声明

帐户布建要求一个电子邮件地址,它可以作为下表中的任何属性或声明被传递。
还强烈建议使用一个唯一的用户标识符。如果没有,将使用电子邮件来链接用户。
属性/声明按优先匹配的顺序排列,包括适用的 Fallback:
声明/属性
Fallback 声明/属性
Unique ID
NameID (when not Transient) urn:oid:0.9.2342.19200300.100.1.1 Sub UID UPN EPPN
Email
Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress urn:oid:0.9.2342.19200300.100.1.3 Mail EmailAddress
Preferred_Username Urn:oid:0.9.2342.19200300.100.1.1 UID
Name
Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name urn:oid:2.16.840.1.113730.3.1.241 urn:oid:2.5.4.3 DisplayName CN
First Name + “ “ + Last Name (see below)
First Name
urn:oid:2.5.4.42 GivenName FirstName FN FName Nickname
Last Name
urn:oid:2.5.4.4 SN Surname LastName