SAML 2.0 配置
最后更新于
最后更新于
对应的官方文档地址
使用 SSO 验证身份的用户将被要求输入一个组织标识符,该标识符表明要验证的组织(以及 SSO 集成)。要设置唯一的组织标识符:
1、登录到 Bitwarden 网页密码库然后使用产品切换器 (☷) 打开管理控制台:
2、打导航到 设置 → 单点登录,然后为您的组织输入一个唯一的标识符:
3、继续执行步骤 2:启用 SSO 登录。
此配置准备好使用后,您需要将这个值分享给用户。
拥有 SSO 标识符后,您可以继续启用和配置集成。要启用 SSO 登录:
1、在 设置 → 单点登录 视图中,勾选允许 SSO 身份验证复选框:
2、从类型下拉菜单中,选择 SAML 2.0 选项。如果您打算改用 OIDC,请切换到 OIDC 配置指南。
如果您愿意,可以在此阶段关闭设置唯一的 SP 实体 ID 选项。这样做将从 SP 实体 ID 值中删除您的组织 ID,但在几乎所有情况下,建议保留此选项。
还有其他成员解密选项。了解如何开始将 SSO 与受信任的设备或 Key Connector 结合使用。
从这里开始,实施将因提供程序而异。跳转到我们的特定实施指南之一,以帮助完成配置过程:
AD FS
Auth0
AWS
Azure
Duo
JumpCloud
Keycloak
Okta
OneLogin
PingFederate
以下部分将定义在单点登录配置界面的字段,其与您要集成的 IdP 无关。必须配置的字段将被标记(必填)。
除非您对 SAML 2.0 非常熟悉,否则我们建议使用上述实施指南之一,而不是以下的通用素材。
单点登录界面将配置分为两个部分:
SAML 服务提供程序配置将确定 SAML 请求的格式。
SAML 身份提供程序配置将确定 SAML 响应的预期格式。
SP Entity ID
(自动生成)用于身份验证请求的 Bitwarden 端点。对于云托管客户,其始终为 https://sso.bitwarden.com/saml2。对于自托管实例,这取决于您已配置的服务器 URL,例如 https://your.domain.com/sso/saml2。
SAML 2.0 Metadata URL
(自动生成)Bitwarden 端点的元数据 URL。对于云托管客户,其始终为 https://sso.bitwarden.com/saml2/your-org-id。对于自托管实例,这取决于您已配置的服务器 URL,例如 https://your.domain.com/sso/saml2/your-org-id。
Assertion Consumer Service (ACS) URL
(自动生成)从 IdP 发送 SAML 声明的位置。对于云托管客户,其始终为 https://sso.bitwarden.com/saml2/your-org-id/Acs。对于自托管实例,这取决于您已配置的服务器 URL,例如 https://your.domain.com/sso/saml2/your-org-id/Acs。
Name ID Format
Bitwarden 请求 SAML 声明的格式。选项包括:
-Unspecified (默认)
-Email Address
-X.509 Subject Name
-Windows Domain Qualified Name
-Kerberos Principal Name
-Entity Identifier
-Persistent
-Transient
Outbound Signing Algorithm
Signing Behavior
是否/何时签署 SAML 请求。选项包括: -If IdP Wants Authn Requests Signed (默认) -Always -Never
Minimum Incoming Signing Algorithm
Bitwarden 将在 SAML 响应中接受的算法的最小强度。
Want Assertions Signed
如果 Bitwarden 期望来自 IdP 的响应被签名,请选中此复选框。
Validate Certificates
当使用来自你的 IdP 的通过受信任的 CA 颁发的受信任和有效的证书时,请选中此复选框。自签名证书可能会失败,除非在 Bitwarden SSO 登录 docker 镜像中配置了正确的信任链。
Entity ID
(必填)您的身份服务器或 IdP 实体 ID 的地址或 URL。
Binding Type
IdP 用于响应 Bitwarden SAML 请求的方法。选项包括: -Redirect (推荐) -HTTP POST -Artifact
Single Sign On Service URL
(必填,如果 Entity ID 不是 URL) 您的 IdP 发布的 SSO URL。
Single Log Out Service URL
SSO 登录目前不支持 SLO。该选项计划在未来使用,但我们强烈建议预先配置该字段。
Artifact Resolution Service URL
(必填,如果 Binding Type 是 Artifact)用于工件解析协议(Artifact Resolution Protocol)的 URL。
X509 Public Certificate
(必填)X.509 Base-64 编码的证书的主体部分。不要包括 CER/PEM 格式的证书的 -----BEGIN CERTIFICATE----- 与 -----END CERTIFICATE----- 之间的行或部分。
此字段中额外的空格、回车符和其他无关字符将导致证书验证失败。仅复制证书数据到此字段中。
Outbound Signing Algorithm
Allow Unsolicited Authentication Response
SSO 登录目前不支持未经请求(由 IdP 发起)的 SSO 声明。此复选框计划在未来使用。
Disable Outbound Logout Requests
SSO 登录目前不支持 SLO。该选项计划在未来使用,但我们强烈建议预先配置该字段。
Want Authentication Requests Signed
如果您的 IdP 希望来自 Bitwarden SAML 的请求被签名,请选中此复选框。
帐户布建要求一个电子邮件地址,它可以作为下表中的任何属性或声明被传递。
还强烈建议使用一个唯一的用户标识符。如果没有,将使用电子邮件来链接用户。
属性/声明按优先匹配的顺序排列,包括适用的 Fallback:
Unique ID
NameID (when not Transient) urn:oid:0.9.2342.19200300.100.1.1 Sub UID UPN EPPN
Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress urn:oid:0.9.2342.19200300.100.1.3 Mail EmailAddress
Preferred_Username Urn:oid:0.9.2342.19200300.100.1.1 UID
Name
Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name urn:oid:2.16.840.1.113730.3.1.241 urn:oid:2.5.4.3 DisplayName CN
First Name + “ “ + Last Name (see below)
First Name
urn:oid:2.5.4.42 GivenName FirstName FN FName Nickname
Last Name
urn:oid:2.5.4.4 SN Surname LastName