" %}
配置单点登录
{% endembed %}
在 Single sign-on 界面,选择 **SAML**。
## SAML 设置
### 基本 SAML 配置
选择 **Edit** 按钮并配置如下字段:
| 字段 | 描述 |
| ------------------------------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Identifier (Entity ID) | 将此字段设置为预先生成的 SP 实体 ID。
此自动生成的值可以从组织的设置 → 单点登录界面复制,并且会根据您的设置而有所不同。
|
| Reply URL (Assertion Consumer Service URL) | 将此字段设置为预先生成的断言消费者服务 (ACS) URL。
此自动生成的值可以从组织的设置 → 单点登录界面复制,并且会根据您的设置而有所不同。
|
| Sign on URL | 将此字段设置为用户访问 Bitwarden 的登录 URL。
对于云托管客户,其始终为
|
### 用户属性 & 声明
Azure 构建的默认声明可能适用于某些配置,但是建议将唯一用户标识符(名称 ID)更改为 user.objectid,以避免在非静态数据(例如电子邮箱或 UPN)发生更改时发生冲突。
选择 **Edit** 按钮然后选择 **Unique User Identifier (Name ID)** 条目以编辑 NameID 声明:
{% embed url="" %}
唯一用户标识符
{% endembed %}
选项包括 Default、Email Address、Persistent、Unspecified 以及 Windows qualified domain name。更多信息,请参阅 [Microsoft Azure 文档](https://docs.microsoft.com/zh-cn/azure/active-directory/develop/active-directory-saml-claims-customization#editing-nameid)。
### SAML 签名证书
从本页面的 **SAML 证书**部分下载 Base64 证书以供[后续步骤中](#identity-provider-configuration)使用。
### 设置您的应用程序
复制或记下此部分中的 **Login URL** 和 **Azure AD Identifier**,以供[后续步骤中](#identity-provider-configuration)使用:
{% embed url="" %}
Azure URL
{% endembed %}
{% hint style="info" %}
如果在 SSO 登录时收到任何密钥错误,请尝试从联邦元数据 XML 文件中复制 X509 证书信息。
{% endhint %}
### 用户和群组
从导航菜单选择 **Users and Groups**:
{% embed url="" %}
分配用户或群组
{% endembed %}
选择 **Add user/group** 按钮,以分配用户或群组级别对 SSO 登录应用程序的访问权限。
## 返回网页 App
至此,您已经在 Azure 门户范围内配置好了您所需要的一切。请返回 Bitwarden 网页 App 完成配置。
单点登录界面将配置分为两个部分:
* **SAML 服务提供程序配置**将决定 SAML 请求的格式。
* **SAML 身份提供程序配置**将决定用于 SAML 响应的预期格式。
### 服务提供程序配置
配置以下字段:
| 字段 | 描述 |
| ---------------------------------- | -------------------------------------------------------------------------------------------------------------------- |
| Name ID Format | 默认,Azure 将使用电子邮箱地址。如果您更改[这个设置](#user-attributes-and-claims),请选择对应的值。否则,请将此字段设置为 **Unspecified** 或 **Email Address**。 |
| Outbound Signing Algorithm | Bitwarden 用于签名 SAML 请求的算法。 |
| Signing Behavior | SAML 请求是否/何时将被签名。 |
| Minimum Incoming Signing Algorithm | 默认,Azure 将使用 RSA SHA-256 签名。请从下拉菜单中选择 `rsa-sha256`。 |
| Want Assertions Signed | Bitwarden 是否要求 SAML 声明被签名 |
| Validate Certificates | 通过受信任的 CA 使用来自 IdP 的受信任和有效证书时,请选中此框。除非在 Bitwarden SSO 登录 docker 镜像中配置了适当的信任链,否则自签名证书可能会失败。 |
完成服务提供程序配置部分后,**保存**您的工作。
### 身份提供程序配置
身份提供程序配置通常需要你返回 Azure 门户以获取应用程序的值:
| 字段 | 描述 |
| ----------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Entity ID | 输入从 Azure 门户的[设置您的应用程序](#set-up-your-application)部分获取到的 **Azure AD Identifier**。 |
| Binding Type | 设置为 **HTTP POST** 或 **Redirect**。 |
| Single Sign On Service URL | 输入从 Azure 门户的[设置您的应用程序](#set-up-your-application)部分获取到的 **Login URL**。 |
| Single Log Out Service URL | SSO 登录当前**不支持** SLO。该选项计划未来开发,但是如果您愿意,可以将其预先配置为您的 **Logout URL**。 |
| X509 Public Certificate | 黏贴已下载的证书,移除 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-----。
证书值区分大小写,多余的空格、回车符和其他多余的字符将导致证书验证失败。
|
| Outbound Signing Algorithm | 默认,Azure 将使用 RSA SHA-256 签名。请从下拉列表中选择 `rsa-sha256`。 |
| Disable Outbound Logout Requests | SSO 登录当前**不支持** SLO。该选项计划未来开发该选项计划用于将来的开发。 |
| Want Authentication Requests Signed | Azure 是否要求 SAML 请求被签名。 |
{% hint style="info" %}
填写 X509 证书时,请注意到期日期。必须续签证书,以防止向 SSO 最终用户提供的服务中断。如果证书已过期,管理员和所有者账户将始终可以使用电子邮箱地址和主密码登录。
{% endhint %}
完成身份提供程序配置部分后,**保存**您的工作。
{% hint style="success" %}
您可以通过激活单点登录身份验证策略来要求用户使用 SSO 登录。请注意,这需要先激活单一组织策略。[了解更多](https://help.ppgg.in/docs/admin-console/oversight-visibility/enterprise-policies)。
{% endhint %}
## 测试配置
配置完成后,通过导航到 或 [https://vault.bitwarden.eu](https://vault.bitwarden.eu/),输入您的电子邮箱地址,选择**继续**,然后选择**使用单点登录**按钮来进行测试:
{% embed url="" %}
登录选项界面
{% endembed %}
输入[已配置的组织标识符](https://help.ppgg.in/docs/admin-console/login-with-sso/generic-saml#step-1-set-an-organization-identifier),然后选择**登录**。如果您的实施已成功配置,您将被重定向到 Microsoft 的登录界面:
{% embed url="" %}
Azure 登录界面
{% endembed %}
使用您的 Azure 凭据进行身份验证后,输入您的 Bitwarden 主密码来解密您的密码库!
{% hint style="info" %}
Bitwarden 不支持非请求响应,因此从您的 IdP 发起登录会导致错误。SSO 登录流程必须从 Bitwarden 发起。Entra ID SAML 管理员可以为用户设置一个企业应用程序,将其引导到 Bitwarden SSO 登录页面:
1. 通过导航到当前的 Bitwarden 企业应用程序,选择 **Properties** 并将 **Visible to users** 选项设置为 **No**,禁用 **All Applications** 页面中现有的 Bitwarden 按钮。
2. 通过导航到 **Enterprise applications** 然后选择 **New application** 来创建新的应用程序注册。
3. 选择 **Create your own application**。
4. 为应用程序提供一个名称,如 **Bitwarden**,然后选择 **Integrate any other application you don't find in the gallery (Non-gallery)**。完成后,选择 **Create**。
5. 应用程序创建完成后,导航至导航菜单上的 **Single sign-on**,选择 **Linked**。
6. 向应用程序添加以下设置:
1. 将 **Sign on URL** 设置为 Bitwarden 客户端登录页面,例如 `https://vault.bitwarden.com/#/sso`。然后,选择 **Save**。
2. 您可以在 **Properties** 中更改用于最终用户识别的 Logo。Bitwarden Logo 可以从[此处](https://github.com/bitwarden/brand)获取。
完成此过程后,分配的用户将拥有一个直接链接到 Bitwarden SSO 登录页面的 Bitwarden 应用程序。
{% endhint %}