Implementación de SAML en Auth0
Este artículo contiene ayuda específica de Auth0 para configurar el inicio de sesión con SSO a través de SAML 2.0. Para obtener ayuda para configurar el inicio de sesión con SSO para otro IdP, consulte Configuración de SAML 2.0.
La configuración implica trabajar simultáneamente dentro de la aplicación web de Bitwarden y el Portal de Auth0. A medida que avanza, recomendamos tener ambos fácilmente disponibles y completar los pasos en el orden en que están documentados.
consejo
¿Ya eres un experto en SSO? Omite las instrucciones en este artículo y descarga capturas de pantalla de configuraciones de muestra para comparar con las tuyas.
tipo: activo-hipervínculo id: 773hQzr7eXdIfIxVW0jX9N
Inicia sesión en la aplicación web de Bitwarden y abre la Consola de Administrador utilizando el conmutador de producto ():
Abra la pantalla de Ajustes → Inicio de sesión único de su organización:
Si aún no lo has hecho, crea un identificador SSO único para tu organización y selecciona SAML del menú desplegable de Tipo. Mantén esta pantalla abierta para fácil referencia.
Puedes desactivar la opción Establecer una ID de entidad SP única en esta etapa si lo deseas. Hacerlo eliminará su ID de organización de su valor de ID de entidad SP, sin embargo, en casi todos los casos, se recomienda dejar esta opción activa.
consejo
Hay opciones alternativas de descifrado de miembro. Aprenda cómo comenzar a usar SSO con dispositivos de confianza o Conector de clave.
En el Portal de Auth0, use el menú de Aplicaciones para crear una Aplicación Web Regular:
Haz clic en la pestaña Ajustes y configura la siguiente información, parte de la cual necesitarás recuperar de la pantalla de inicio de sesión único de Bitwarden:
Ajuste de Auth0 | Descripción |
|---|---|
Nombre | Dale a la aplicación un nombre específico de Bitwarden. |
Dominio | Toma nota de este valor. Lo necesitarás durante un paso posterior. |
Tipo de Aplicación | Seleccione Aplicación Web Regular. |
Método de Autenticación del Punto Final del Token | Seleccione Post (HTTP Post), que se mapeará a un atributo de Tipo de Enlace que configurará más tarde. |
URI de inicio de sesión de la aplicación | Establezca este campo en el ID de Entidad SP pre-generado. |
URLS de devolución de llamada permitidos | Establezca este campo en la URL del Servicio de Consumo de Aserciones (ACS) pre-generada. |
Tipos de Subvenciones
En la sección de Ajustes Avanzados → Tipos de Concesión, asegúrate de que los siguientes Tipos de Concesión estén seleccionados (pueden estar preseleccionados):
Certificados
En la sección de Ajustes Avanzados → Certificados, copia o descarga tu certificado de firma. No necesitarás hacer nada con eso por ahora, pero necesitarás referenciarlo más tarde.
Puntos finales
No necesitas editar nada en la sección de Ajustes Avanzados → Puntos finales, pero necesitarás los puntos finales de SAML para referencia posterior.
consejo
En ventanas más pequeñas, la pestaña Endpoints puede desaparecer detrás del borde del navegador. Si tienes problemas para encontrarlo, haz clic en la pestaña Certificados y presiona la tecla de flecha derecha (→).
Crea reglas para personalizar el comportamiento de la respuesta SAML de tu aplicación. Mientras que Auth0 proporciona un número de opciones, esta sección se centrará solo en aquellas que se corresponden específicamente con las opciones de Bitwarden. Para crear un conjunto de reglas de configuración SAML personalizado, use el menú Tubería de Autenticación → Reglas para Crear Reglas:
Puede configurar cualquiera de los siguientes:
Clave | Descripción |
|---|---|
| Algoritmo que Auth0 utilizará para firmar la afirmación o respuesta SAML. Por defecto, se incluirá |
| Algoritmo utilizado para calcular el resumen de la afirmación o respuesta de SAML. Por defecto, |
| Por defecto, Auth0 solo firmará la afirmación SAML. Establezca esto en |
| Por defecto, |
Implementa estas reglas usando un Script como el que se muestra a continuación. Para obtener ayuda, consulte la Documentación de Auth0.
Bashfunction (user, context, callback) {
context.samlConfiguration.signatureAlgorithm = "rsa-sha256";
context.samlConfiguration.digestAlgorithm = "sha256";
context.samlConfiguration.signResponse = "true";
context.samlConfiguration.nameIdentifierFormat = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
context.samlConfiguration.binding = "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect";
callback(null, user, context);
}En este punto, has configurado todo lo que necesitas dentro del contexto del Portal Auth0. Regresa a la aplicación web de Bitwarden para completar la configuración.
La pantalla de inicio de sesión único separa la configuración en dos secciones:
La configuración del proveedor de servicios SAML determinará el formato de las solicitudes SAML.
La configuración del proveedor de identidad SAML determinará el formato que se esperará de las respuestas SAML.
A menos que haya configurado reglas personalizadas, su configuración del proveedor de servicios ya estará completa. Si configuraste reglas personalizadas o quieres hacer más cambios en tu implementación, edita los campos relevantes:
Campo | Descripción |
|---|---|
Formato de Identificación de Nombre | Formato de NameID para especificar en la solicitud SAML ( |
Algoritmo de Firma de Salida | Algoritmo utilizado para firmar solicitudes SAML, por defecto |
Comportamiento de Firma | Si/cuando las solicitudes SAML de Bitwarden serán firmadas. Por defecto, Auth0 no requerirá que las solicitudes estén firmadas. |
Algoritmo Mínimo de Firma Entrante | El algoritmo de firma mínimo que Bitwarden aceptará en las respuestas de SAML. Por defecto, Auth0 firmará con |
Quiero Afirmaciones Firmadas | Si Bitwarden quiere firmas de afirmaciones SAML. Por defecto, Auth0 firmará las afirmaciones SAML, así que marque esta casilla a menos que haya configurado una regla de firma personalizada. |
Validar Certificados | Marque esta casilla cuando utilice certificados confiables y válidos de su IdP a través de una CA de confianza. Los certificados autofirmados pueden fallar a menos que se configuren cadenas de confianza adecuadas dentro de la imagen de docker de Bitwarden Inicio de sesión con SSO. |
Cuando termines con la configuración del proveedor de servicios, Guarda tu trabajo.
La configuración del proveedor de Identidad a menudo requerirá que vuelvas al Portal de Auth0 para recuperar los valores de la aplicación:
Campo | Descripción |
|---|---|
ID de la entidad | Ingrese el valor de Dominio de su aplicación Auth0 (ver aquí), precedido por |
Tipo de Encuadernación | Seleccione HTTP POST para coincidir con el valor especificado en su aplicación Auth0 para el Método de Autenticación del Endpoint del Token. |
URL del Servicio de Inicio de Sesión Único | Ingrese la URL del Protocolo SAML (vea Puntos finales) de su aplicación Auth0. Por ejemplo, |
URL del Servicio de Cierre de Sesión Único | Inicie sesión con SSO actualmente no admite SLO. Esta opción está planeada para desarrollo futuro, sin embargo, puedes preconfigurarla si lo deseas. |
Certificado Público X509 | Pega el certificado de firma recuperado, eliminando
y
|
Algoritmo de Firma de Salida | Por defecto, Auth0 firmará con |
Deshabilitar Solicitudes de Cierre de Sesión Salientes | El inicio de sesión con SSO actualmente no admite SLO. Esta opción está planeada para un desarrollo futuro. |
Quiere Solicitudes de Autenticación Firmadas | Si Auth0 espera que las solicitudes SAML estén firmadas. |
nota
Al completar el certificado X509, toma nota de la fecha de vencimiento. Los certificados tendrán que ser renovados para prevenir cualquier interrupción en el servicio a los usuarios finales de SSO. Si un certificado ha caducado, las cuentas de Administrador y Propietario siempre podrán iniciar sesión con la dirección de correo electrónico y la contraseña maestra.
Cuando termines con la configuración del proveedor de identidad, Guarda tu trabajo.
consejo
Puede requerir que los usuarios inicien sesión con SSO activando la política de autenticación de inicio de sesión único. Por favor, tome nota, esto también requerirá la activación de la política de organización única. Más información.
Una vez que tu configuración esté completa, pruébala navegando a https://vault.bitwarden.com, ingresando tu dirección de correo electrónico, seleccionando Continuar, y seleccionando el botón Empresa Único-Inicio:
Ingrese el identificador de organización configurado y seleccione Iniciar sesión. Si su implementación está configurada con éxito, será redirigido a la pantalla de inicio de sesión de Auth0:
¡Después de autenticarte con tus credenciales de Auth0, ingresa tu contraseña maestra de Bitwarden para desencriptar tu caja fuerte!
nota
Bitwarden no admite respuestas no solicitadas, por lo que iniciar el inicio de sesión desde su IdP resultará en un error. El flujo de inicio de sesión de SSO debe iniciarse desde Bitwarden.