" %}
创建客户端
{% endembed %}
在 Create Client 界面上,配置以下设置:
| 字段 | 描述 |
| ----------- | ---------------------------------------------------------------------------------------------------------------------------------- |
| Client type | 选择 SAML。 |
| Client ID | 将此字段设置为预先生成的 SP 实体 ID。
此自动生成的值可以从组织的设置 → 单点登录界面复制,并且会根据您的设置而有所不同。
|
| Name | 输入您为 Keycloak 客户端选择的名称。 |
填写完 **General Settings** 页面的必填字段后,单击 **Next**。
在 **Login settings** 页面,填写以下字段:
| 字段 | 描述 |
| ------------------- | --------------------------------------------------------------------------------------------------------------------------------------------- |
| Valid Redirect URLs | 将此字段设置为预先生成的断言消费者服务 (ACS) URL。
此自动生成的值可以从组织的设置 → 单点登录界面复制,并且会根据您的设置而有所不同。
|
选择 **Save**。
选择 Keys 选项卡,将 **Client signature required** 选项切换为 **Off**。
{% embed url="" %}
Keycloak 密钥配置
{% endembed %}
最后,在 Keycloak 主导航上选择 **Realm settings**,然后选择 **Keys** 选项卡。找到 **RS256** 证书并选择 **Certificate**。
{% embed url="" %}
Keycloak RS256 证书
{% endembed %}
[后面的章节](#back-to-the-web-app)将需要此证书的值。
## 返回网页 App
至此,您已经在 Keycloak 门户网站范围内配置好了您所需要的一切。请返回 Bitwarden 网页 App,然后从导航中选择**设置** → **单点登录**。
单点登录界面将配置分为两个部分:
* **SAML 服务提供程序配置**将决定 SAML 请求的格式。
* **SAML 身份提供程序配置**将决定用于 SAML 响应的预期格式。
在 **SAML 服务提供程序配置**部分完成以下字段:
| 字段 | 描述 |
| ---------------------------------- | ----------------------------------------------------------------------------------------------------- |
| Name ID Format | 选择 **Email Address**。 |
| Outbound Signing Algorithm | Bitwarden 用来签署 SAML 请求的算法。 |
| Signing Behavior | SAML 请求是否/何时将被签名。 |
| Minimum Incoming Signing Algorithm | 选择 Keycloak 客户端[被配置为用于](#additional-keycloak-settings)签署 SAML 文档或声明的算法。 |
| Want Assertions Signed | Bitwarden 是否要求 SAML 声明被签名。如果开启,请确保配置了 Keycloak 客户端的 [Sign Assertions](#additional-keycloak-settings)。 |
| Validate Certificates | 通过受信任的 CA 使用来自 IdP 的受信任和有效证书时,请选中此框。除非在 Bitwarden SSO 登录 docker 镜像中配置了适当的信任链,否则自签名证书可能会失败。 |
在 **SAML 身份提供程序配置**部分完成以下字段:
| 字段 | 描述 |
| ----------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Entity ID | 输入之前在客户端上创建的 Keycloak 领域的 URL,例如 `https:///realms//realms//protocol/saml`。 |
| Single Log Out Service URL | SSO 登录当前**不支持** SLO。该选项计划未来开发,但是如果您愿意,可以将其预先配置为您的 **Logout URL**。 |
| X509 Public Certificate | 黏贴已下载的证书,移除 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----。
证书值区分大小写,多余的空格、回车符和其他多余的字符将导致证书验证失败。
|
| Outbound Signing Algorithm | 选择 Keycloak 客户端[被配置为用于](#settings)签署 SAML 文档或声明的算法。 |
| Disable Outbound Logout Requests | SSO 登录当前**不支持** SLO。该选项计划未来开发。 |
| Want Authentication Requests Signed | Keycloak 是否要求 SAML 请求被签名。 |
{% hint style="info" %}
填写 X509 证书时,请注意到期日期。必须续签证书,以防止向 SSO 最终用户提供的服务中断。如果证书已过期,管理员和所有者账户将始终可以使用电子邮箱地址和主密码登录。
{% endhint %}
完成身份提供程序配置部分后,**保存**您的工作。
{% hint style="success" %}
您可以通过激活单点登录身份验证策略来要求用户使用 SSO 登录。请注意,这需要先激活单一组织策略。[了解更多](https://help.ppgg.in/docs/admin-console/oversight-visibility/enterprise-policies)。
{% endhint %}
## 其他 Keycloak 设置
在 Keycloak 客户端设置选项卡上,还有其他配置选项可用:
| 字段 | 描述 |
| ------------------- | --------------------------------------- |
| Sign Documents | 指定 SAML 文档是否应由 Keycloak 领域签署。 |
| Sign Assertions | 指定 SAML 断言是否应由 Keycloak 领域签名。 |
| Signature Algorithm | 如果启用了**签署断言**,请选择要签署的算法(默认为 `sha-256`)。 |
| Name ID Format | 选择 Keycloak 在 SAML 响应中使用的名称 ID 格式。 |
完成设置后,选择**保存**。
## 测试配置
配置完成后,通过导航到 或 [https://vault.bitwarden.eu](https://vault.bitwarden.eu/),输入您的电子邮箱地址,选择**继续**,然后选择**使用单点登录**按钮来进行测试:
{% embed url="" %}
登录选项界面
{% endembed %}
输入[已配置的组织标识符](https://help.ppgg.in/docs/admin-console/login-with-sso/generic-saml#step-1-set-an-organization-identifier),然后选择**登录**。如果您的实施已成功配置,您将被重定向到 Keycloak 登录界面:
{% embed url="" %}
Keycloak 登录界面
{% endembed %}
使用 Keycloak 凭据进行身份验证后,输入您的 Bitwarden 主密码以解密您的密码库!
{% hint style="info" %}
Bitwarden 不支持非请求响应,因此从您的 IdP 发起登录会导致错误。SSO 登录流程必须从 Bitwarden 发起。
{% endhint %}