Google SAML
对应的官方文档地址
本文是专门针对 Google Workspace 用于配置 SAML 2.0 方式的 SSO 登录的帮助。有关其他 IdP 方式配置 SSO 登录的帮助,请参阅 SAML 2.0 配置。
配置需要在 Bitwarden 网页 App 和 Google Workspace 控制台中同时进行。操作过程中,我们建议同时打开这两个界面,并按照文档记录的步骤顺序完成操作。
已经是 SSO 专家了吗?跳过本文中的说明,然后下载示例配置,将里面的屏幕截图与您自己的配置进行比较。
⬇️ 下载示例
在网页 App 中打开 SSO
登录到 Bitwarden 网页 App,然后使用产品切换器打开 Admin Console:
打开组织的设置 → 单点登录界面:
如果还没有为您的组织创建唯一的 SSO 标识符,请创建一个,然后从类型下拉菜单中选择 SAML。保持此界面打开,以方便参考。
如果愿意,您可以在此阶段关闭设置唯一的 SP 实体 ID 选项。这样做会从 SP 实体 ID 值中移除组织 ID,但大多数情况下都建议打开该选项。
还可以选择使用成员解密选项。了解如何开始使用受信任设备 SSO 或 Key Connector。
创建 SAML 应用程序
在 Google Workspace 管理控制台中,从导航中选择 Apps → Web and mobile apps,在 Web and mobile apps 界面,选择 Add App → Add custom SAML app:
应用程序详细信息
在应用程序详细信息界面,为应用程序指定一个唯一的专用于 Bitwarden 的名称,然后选择 Continue 按钮。
Google 身份提供程序详细信息
在 Google 身份提供程序详细信息界面,复制 SSO URL、Entity ID 和 Certificate 以供后续步骤使用:
完成后选择 Continue。
服务提供程序详细信息
在服务提供程序详细信息界面,配置以下字段:
ACS URL
将此字段设置为从 Bitwarden SSO 配置界面中预先生成的断言消费者服务 (ACS) URL。 此自动生成的值可以从组织的设置 → 单点登录界面复制,并且会根据您的设置而有所不同。
Entity ID
将此字段设置为从 Bitwarden SSO 配置界面中预先生成的 SP 实体 ID。 此自动生成的值可以从组织的设置 → 单点登录界面复制,并且会根据您的设置而有所不同。
Start URL
可选。将此字段设置为用户访问 Bitwarden 的登录 URL。
对于云托管客户,其始终为 https://vault.bitwarden.com/#/sso 或 https://vault.bitwarden.eu/#/sso。对于自托管实例,这由您已配置的服务器 URL 决定,例如为 https://your.domain.com/#/sso。
Signed response
如果您希望 Workspace 签名 SAML 响应,请选中此框。如果未选中,Workspace 将仅签名 SAML 断言。
Name ID format
将此字段设置为 Persistent。
Name ID
选择 Workspace 用户属性,以填充 NameID。
完成后选择 Continue。
属性映射
在属性映射界面,选择 Add Mapping 按钮并构建如下的映射:
Primary email
选择 Finish。
开启应用程序
默认,Workspace SAML 应用程序将 OFF for everyone(对所有人关闭)。打开 SAML 应用程序的 User Access(用户访问权限)部分,并根据您的需要,设置为 ON for everyone(对所有人开启)或对特定群组开启:
Save 您的更改。请注意,新的 Workspace 应用程序最多可能需要 24 小时才能传播到用户现有的会话。
返回网页 App
至此,您已经在 Google Workspace 管理控制台中配置好了您所需要的一切。请返回 Bitwarden 网页 App 完成配置。
单点登录界面将配置分为两个部分:
SAML 服务提供程序配置将决定 SAML 请求的格式。
SAML 身份提供程序配置将决定用于 SAML 响应的预期格式。
服务提供程序配置
根据在 Workspace 管理控制台设置期间所选择的选项配置以下字段:
Name ID Format
将此字段设置为在 Workplace 中选择的 NameID 格式。
Outbound Signing Algorithm
Bitwarden 用于签名 SAML 请求的算法。
Signing Behavior
SAML 请求是否/何时将被签名。
Minimum Incoming Signing Algorithm
默认,Workplace 使用 SHA-256 进行签名。请从下拉菜单中选择 sha-256。
Expect signed assertions
Bitwarden 是否要求 SAML 断言被签名。此设置应取消勾选。
Validate Certificates
通过受信任的 CA 使用来自 IdP 的受信任和有效证书时,请选中此框。除非在 Bitwarden SSO 登录 docker 镜像中配置了适当的信任链,否则自签名证书可能会失败。
完成服务提供程序配置部分后,保存您的工作。
身份提供程序配置
身份提供程序配置通常需要您返回 Workplace 管理控制台以获取应用程序的值:
Entity ID
将此字段设置为 Workplace 的 Entity ID,这可以从 Google 身份提供程序详细信息部分或使用 Download Metadata 按钮来获取。
Binding Type
将此字段设置为 HTTP POST 或 Redirect。
Single Sign On Service URL
将此字段设置为 Workplace 的 SSO URL,这可以从 Google 身份提供程序详细信息部分或使用 Download Metadata 按钮来获取。
Single Log Out Service URL
SSO 登录当前还不支持 SLO。该选项计划未来开发,但是您可以根据需要预先配置它。
X509 Public Certificate
黏贴已获取的证书,移除 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----。
证书值区分大小写,多余的空格、回车符和其他多余的字符将导致证书验证失败。
Outbound Signing Algorithm
默认,Google Workspace 将使用 RSA SHA-256 进行签名。从下拉菜单中选择 sha-256。
Disable Outbound Logout Requests
SSO 登录当前还不支持 SLO。该选项计划未来开发。
Want Authentication Requests Signed
Google Workspace 是否要求 SAML 请求被签名。
填写 X509 证书时,请注意到期日期。必须续签证书,以防止向 SSO 最终用户提供的服务中断。如果证书已过期,管理员和所有者账户将始终可以使用电子邮箱地址和主密码登录。
完成身份提供程序配置部分后,保存您的工作。
您可以通过激活单点登录身份验证策略来要求用户使用 SSO 登录。
测试配置
配置完成后,通过导航到 https://vault.bitwarden.com 或 https://vault.bitwarden.eu,输入您的电子邮箱地址,然后选择使用单点登录按钮进行测试:
输入已配置的组织标识符,然后选择登录。如果您的实施已成功配置,您将被重定向到 Google Workspace 的登录界面:
使用您的 Workspace 凭据进行身份验证后,输入您的 Bitwarden 主密码以解密您的密码库!
Bitwarden 不支持未经请求的响应,因此从您的 IdP 发起登录将导致错误。SSO 登录流程必须从 Bitwarden 发起。
最后更新于