ADFS SAML-implementering
Den här artikeln innehåller Active Directory Federation Services (AD FS)-specifik hjälp för att konfigurera inloggning med SSO via SAML 2.0. För hjälp med att konfigurera inloggning med SSO för en annan IdP, se SAML 2.0 Configuration.
Konfiguration innebär att man arbetar samtidigt i Bitwarden-webbappen och AD FS Server Manager. När du fortsätter rekommenderar vi att du har både lättillgängliga och att du slutför stegen i den ordning de är dokumenterade.
tip
Already an SSO expert? Skip the instructions in this article and download screenshots of sample configurations to compare against your own.
Öppna SSO i webbappen
Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:
Öppna din organisations Inställningar → Enkel inloggningsskärm:
Om du inte redan har gjort det, skapa en unik SSO-identifierare för din organisation och välj SAML från rullgardinsmenyn Typ. Håll den här skärmen öppen för enkel referens.
Du kan stänga av alternativet Ange ett unikt SP-enhets-ID i detta skede om du vill. Om du gör det kommer ditt organisations-ID att tas bort från ditt SP-enhets-ID-värde, men i nästan alla fall rekommenderas det att du låter det här alternativet vara aktiverat.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Skapa en förtroende parts förtroende
I AD FS Server Manager väljer du Verktyg → AD FS-hantering → Åtgärd → Lägg till förtroendepart. Gör följande val i guiden:
På välkomstskärmen väljer du Claims Aware.
På skärmen Välj datakälla väljer du Ange data om den förtroende parten manuellt.
På skärmen Ange visningsnamn anger du ett Bitwarden-specifikt visningsnamn.
På skärmen Konfigurera URL väljer du Aktivera stöd för SAML 2.0 WebSSO-protokoll.
Ange URL-adressen för Assertion Consumer Service (ACS) i URL-inmatningen för Relying Party SAML 2.0 SSO-tjänstens URL. Detta automatiskt genererade värde kan kopieras från organisationens Inställningar → Enkel inloggningsskärm och kommer att variera beroende på dina inställningar.
På skärmen Välj policy för åtkomstkontroll väljer du den policy som uppfyller dina säkerhetsstandarder.
På skärmen Configure Identifiers lägger du till SP Entity ID som förtroendeidentifierare. Detta automatiskt genererade värde kan kopieras från organisationens Inställningar → Enkel inloggningsskärm och kommer att variera beroende på dina inställningar.
På skärmen Välj policy för åtkomstkontroll väljer du önskad policy (som standard, Tillåt alla).
Granska dina val på skärmen Redo att lägga till förtroende.
Avancerade alternativ
När förtroendet för förtroende har skapats kan du konfigurera dess inställningar ytterligare genom att välja förtroende för förtroende från den vänstra filnavigatorn och välja rätt visningsnamn.
Hash-algoritm
För att ändra algoritmen för säker hash (som standard, SHA-256), navigera till fliken Avancerat:
Slutpunktsbindning
För att ändra slutpunktsbindningen (som standard, POST), navigera till fliken Endpoints och välj den konfigurerade ACS-URL:
Redigera regler för utfärdande av anspråk
Konstruera regler för utfärdande av anspråk för att säkerställa att lämpliga anspråk, inklusive namn-ID, skickas till Bitwarden. Följande flikar illustrerar ett exempel på regeluppsättning:
Rule 1 uses the Claim rule Template Send LDAP Attributes as Claims.
Få certifikat
I den vänstra filnavigatorn väljer du AD FS → Service → Certifikat för att öppna listan med certifikat. Välj tokensigneringscertifikatet, navigera till fliken Detaljer och välj knappen Kopiera till fil... för att exportera det Base-64-kodade tokensigneringscertifikatet:
Du kommer att behöva detta certifikat i ett senare steg.
Hämta federationstjänstidentifierare
I den vänstra filnavigatorn, välj AD FS och från den högra alternativmenyn, välj Redigera Federation Service Properties. I fönstret Federation Service Properties kopierar du Federation Service Identifier:
Du kommer att behöva denna identifierare i ett senare steg.
Tillbaka till webbappen
Vid det här laget har du konfigurerat allt du behöver inom ramen för AD FS Server Manager. Gå tillbaka till Bitwarden-webbappen för att slutföra konfigurationen.
Skärmen för enkel inloggning delar upp konfigurationen i två sektioner:
SAML-tjänsteleverantörens konfiguration avgör formatet för SAML-förfrågningar.
Konfiguration av SAML-identitetsleverantör avgör vilket format som kan förväntas för SAML-svar.
Tjänsteleverantörens konfiguration
Konfigurera följande fält i avsnittet om tjänsteleverantörskonfiguration:
Fält | Beskrivning |
|---|---|
Namn ID-format | Välj det utgående namn-ID-format som valts när du konstruerar regler för skadeutgivning (se regel 3). |
Algoritm för utgående signering | Algoritmen Bitwarden kommer att använda för att signera SAML-förfrågningar. |
Signeringsbeteende | Om/när SAML-förfrågningar kommer att undertecknas. |
Minsta algoritm för inkommande signering | Som standard kommer AD FS att signera med SHA-256. Välj SHA-256 från rullgardinsmenyn om du inte har konfigurerat AD FS att använda en annan algoritm. |
Vill ha påståenden undertecknade | Huruvida Bitwarden förväntar sig att SAML-påståenden ska undertecknas. |
Validera certifikat | Markera den här rutan när du använder betrodda och giltiga certifikat från din IdP genom en betrodd CA. Självsignerade certifikat kan misslyckas om inte korrekta förtroendekedjor är konfigurerade i Bitwarden-inloggningen med SSO docker-bild. |
När du är klar med tjänsteleverantörens konfiguration, spara ditt arbete.
Identitetsleverantörskonfiguration
Konfiguration av identitetsleverantör kräver ofta att du går tillbaka till AD FS Server Manager för att hämta värden:
Fält | Beskrivning |
|---|---|
Enhets-ID | Ange den hämtade Federation Service Identifier. Observera att detta kanske inte använder HTTPS. Det här fältet är skiftlägeskänsligt. |
Bindningstyp | Som standard använder AD FS med HTTP POST-slutpunktsbindning. Välj HTTP POST om du inte har konfigurerat AD FS att använda en annan metod. |
Webbadress till tjänst för enkel inloggning | Ange SSO Service Endpoint. Detta värde kan konstrueras på fliken Service → Endpoints i AD FS Manager. Slutpunktsadressen listas som URL-sökväg för SAML2.0/WS-Federation och är vanligtvis ungefär |
X509 Offentligt certifikat | Klistra in det nedladdade certifikatet, ta bort
och
|
Algoritm för utgående signering | Som standard kommer AD FS att signera med SHA-256. Välj SHA-256 från rullgardinsmenyn om du inte har konfigurerat AD FS att använda en annan algoritm. |
Inaktivera utgående utloggningsförfrågningar | Inloggning med SSO stöder för närvarande inte SLO. Detta alternativ är planerat för framtida utveckling. |
Vill ha signerade förfrågningar om autentisering | Om AD FS förväntar sig att SAML-förfrågningar ska signeras. |
note
When completing the X509 certificate, take note of the expiration date. Certificates will have to be renewed in order to prevent any disruptions in service to SSO end users. If a certificate has expired, Admin and Owner accounts will always be able to log in with email address and master password.
När du är klar med identitetsleverantörens konfiguration, spara ditt arbete.
tip
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Testa konfigurationen
När din konfiguration är klar, testa den genom att navigera till https://vault.bitwarden.com, ange din e-postadress och välja knappen Använd enkel inloggning:
Ange den konfigurerade organisationsidentifieraren och välj Logga in. Om din implementering är framgångsrikt konfigurerad kommer du att omdirigeras till AD FS SSO-inloggningsskärmen. När du har autentiserat med dina AD FS-uppgifter, ange ditt Bitwarden-huvudlösenord för att dekryptera ditt valv!
note
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.