SAML 2.0 配置

第 1 步:设置组织标识符

使用 SSO 验证身份的用户将被要求输入一个组织标识符,该标识符表明要验证的组织(以及 SSO 集成)。要设置唯一的组织标识符:

1、登录 Bitwarden 网页 App,使用产品切换器打开管理控制台:

产品切换器

2、导航到 设置 单点登录,然后为您的组织输入一个唯一的标识符

输入标识符

3、继续执行步骤 2:启用 SSO 登录

第 2 步:启用 SSO 登录

拥有 SSO 标识符后,您就可以继续启用和配置您的集成了。要启用 SSO 登录:

1、在 设置 单点登录 视图中,勾选允许 SSO 身份验证复选框:

SAML 2.0 配置

2、从类型下拉菜单中,选择 SAML 2.0 选项。如果您打算改用 OIDC,请切换到 OIDC 配置指南

如果您愿意,可以在此阶段关闭设置唯一的 SP 实体 ID 选项。这样做将从 SP 实体 ID 值中删除您的组织 ID,但在几乎所有情况下,建议保留此选项。

第 3 步:配置

从这里开始,实施将因提供程序而异。跳转到我们的特定实施指南之一,以帮助完成配置过程:

配置参考资料

以下部分将定义在单点登录配置界面的字段,其与您要集成的 IdP 无关。必须配置的字段将被标记(必填)。

单点登录界面将配置分为两个部分:

  • SAML 服务提供程序配置将确定 SAML 请求的格式。

  • SAML 身份提供程序配置将确定 SAML 响应的预期格式。

服务提供程序配置

字段
描述

SP Entity ID

自动生成)用于身份验证请求的 Bitwarden 端点。

这个自动生成的值可以从组织的设置单点登录页面复制,并基于您的设置而有所不同。

SAML 2.0 Metadata URL

自动生成)Bitwarden 端点的元数据 URL。

这个自动生成的值可以从组织的设置单点登录页面复制,并基于您的设置而有所不同。

Assertion Consumer Service (ACS) URL

自动生成)从 IdP 发送 SAML 声明的位置。

这个自动生成的值可以从组织的设置单点登录页面复制,并基于您的设置而有所不同。

Name ID Format

Bitwarden 请求 SAML 声明的格式。选项包括:

-Unspecified (默认)

-Email Address

-X.509 Subject Name

-Windows Domain Qualified Name

-Kerberos Principal Name

-Entity Identifier

-Persistent

-Transient

Outbound Signing Algorithm

Signing Behavior

是否/何时签署 SAML 请求。选项包括: -If IdP Wants Authn Requests Signed (默认) -Always -Never

Minimum Incoming Signing Algorithm

Bitwarden 将在 SAML 响应中接受的算法的最小强度。

Want Assertions Signed

如果 Bitwarden 期望来自 IdP 的响应被签名,请选中此复选框。

Validate Certificates

当使用来自你的 IdP 的通过受信任的 CA 颁发的受信任和有效的证书时,请选中此复选框。自签名证书可能会失败,除非在 Bitwarden SSO 登录 docker 镜像中配置了正确的信任链。

身份提供程序配置

字段
描述

Entity ID

必填)您的身份服务器或 IdP 实体 ID 的地址或 URL。

Binding Type

IdP 用于响应 Bitwarden SAML 请求的方法。选项包括: -Redirect (推荐) -HTTP POST -Artifact

Single Sign On Service URL

(必填,如果 Entity ID 不是 URL) 您的 IdP 发布的 SSO URL。

Single Log Out Service URL

SSO 登录目前不支持 SLO。该选项计划在未来使用,但我们强烈建议预先配置该字段。

Artifact Resolution Service URL

必填,如果 Binding Type 是 Artifact)用于工件解析协议(Artifact Resolution Protocol)的 URL。

X509 Public Certificate

必填)X.509 Base-64 编码的证书的主体部分。不要包括 CER/PEM 格式的证书的 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 之间的行或部分。

此字段中额外的空格、回车符和其他无关字符将导致证书验证失败。复制证书数据到此字段中。

Outbound Signing Algorithm

Allow Unsolicited Authentication Response

SSO 登录目前不支持未经请求(由 IdP 发起)的 SSO 声明。此复选框计划在未来使用。

Disable Outbound Logout Requests

SSO 登录目前不支持 SLO。该选项计划在未来使用,但我们强烈建议预先配置该字段。

Want Authentication Requests Signed

如果您的 IdP 希望来自 Bitwarden SAML 的请求被签名,请选中此复选框。

填写 X509 证书时,请注意到期日期。 证书必须更新,以防止向 SSO 最终用户提供的服务中断。如果证书过期,管理员和所有者账户将始终可以使用电子邮箱地址和主密码登录。

SAML 属性和声明

账户布建要求一个电子邮箱地址,它可以作为下表中的任何属性或声明被传递。

还强烈建议使用一个唯一的用户标识符。如果没有,将使用电子邮箱来链接用户。

属性/声明按优先匹配的顺序排列,包括适用的 Fallback:

声明/属性
Fallback 声明/属性

Unique ID

NameID (when not Transient) urn:oid:0.9.2342.19200300.100.1.1 Sub UID UPN EPPN

Email

Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress urn:oid:0.9.2342.19200300.100.1.3 Mail EmailAddress

Preferred_Username Urn:oid:0.9.2342.19200300.100.1.1 UID

Name

Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name urn:oid:2.16.840.1.113730.3.1.241 urn:oid:2.5.4.3 DisplayName CN

First Name + “ “ + Last Name (see below)

First Name

urn:oid:2.5.4.42 GivenName FirstName FN FName Nickname

Last Name

urn:oid:2.5.4.4 SN Surname LastName

最后更新于