BeheerconsoleInloggen met SSO

SAML-implementatie van Keycloak

Dit artikel bevat Keycloak-specifieke hulp voor het configureren van inloggen met SSO via SAML 2.0. Raadpleeg SAML 2.0 Configuratie voor hulp bij het configureren van inloggen met SSO voor een andere IdP.

Bij de configuratie wordt tegelijkertijd gewerkt met de Bitwarden webapp en de Keycloak Portal. We raden u aan om beide documenten bij de hand te hebben en de stappen uit te voeren in de volgorde waarin ze zijn beschreven.

tip

Bent u al een SSO-expert? Sla de instructies in dit artikel over en download schermafbeeldingen van voorbeeldconfiguraties om te vergelijken met je eigen configuratie.

type: asset-hyperlink id: 6SVuB4OSxNq6QzGkuqGUd8

Open SSO in de webapp

Log in op de Bitwarden web app en open de Admin Console met behulp van de product switcher ():

Product switcher
Product switcher

Open het scherm InstellingenEenmalige aanmelding van uw organisatie:

SAML 2.0 configuratie
SAML 2.0 configuratie

Als je dat nog niet hebt gedaan, maak dan een unieke SSO-identifier aan voor je organisatie en selecteer SAML in het keuzemenu Type . Houd dit scherm open voor gemakkelijke referentie.

U kunt de optie Een unieke SP entiteit ID instellen in dit stadium uitschakelen als u dat wilt. Als u dit doet, wordt uw organisatie-ID verwijderd uit uw SP entiteit-ID waarde, maar in bijna alle gevallen is het aan te raden om deze optie aan te laten staan.

tip

Er zijn alternatieve ontcijferingsopties voor leden. Leer hoe u aan de slag kunt met SSO met vertrouwde apparaten of Key Connector.

Keycloak instellen

Log in op Keycloak en selecteer ClientsClient aanmaken.

Een klant maken
Een klant maken

Vul in het scherm Client aanmaken de volgende velden in:

Veld

Beschrijving

Type klant

Selecteer SAML.

Klant-ID

Stel dit veld in op de vooraf gegenereerde SP entiteit ID.

Deze automatisch gegenereerde waarde kan worden gekopieerd vanuit het InstellingenEnkelvoudige aanmelding scherm van de organisatie en zal variëren afhankelijk van je instelling.

Naam

Voer een naam naar keuze in voor de Keycloak-client.

Klik op Volgende wanneer u de verplichte velden op de pagina Algemene instellingen hebt ingevuld.

Vul het volgende veld in op het scherm Aanmeldingsinstellingen:

Veld

Beschrijving

Geldige omleidings-URL's

Stel dit veld in op de vooraf gegenereerde URL van de Assertion Consumer Service (ACS).

Deze automatisch gegenereerde waarde kan worden gekopieerd vanuit het InstellingenEnkelvoudige aanmelding scherm van de organisatie en zal variëren afhankelijk van je instelling.

Selecteer Opslaan.

Selecteer het tabblad Keys en zet de optie Client signature required op Off.

Sleutelhanger sleutels configureren
Sleutelhanger sleutels configureren

Ten slotte selecteer je in de hoofdnavigatie van Keycloak Realm-instellingen en vervolgens het tabblad Keys. Zoek het RS256-certificaat en selecteer Certificaat.

Sleutelhanger RS256 Certificaat
Sleutelhanger RS256 Certificaat

De waarde voor het certificaat is nodig voor het volgende gedeelte.

Terug naar de webapp

Op dit punt heb je alles geconfigureerd wat je nodig hebt binnen de context van het Keycloak Portal. Ga terug naar de Bitwarden web app en selecteer Instellingen Eenmalige aanmelding in de navigatie.

Het Single sign-on scherm verdeelt de configuratie in twee secties:

  • De configuratie van de SAML-serviceprovider bepaalt het formaat van SAML-verzoeken.

  • De configuratie van de SAML identiteitsprovider bepaalt het formaat dat wordt verwacht voor SAML antwoorden.

Vul de volgende velden in de SAML service provider configuratie sectie in:

Veld

Beschrijving

Naam ID-indeling

Selecteer e-mail.

Algoritme voor uitgaande ondertekening

Het algoritme dat Bitwarden gebruikt om SAML-verzoeken te ondertekenen.

Ondertekengedrag

Of/wanneer SAML verzoeken ondertekend zullen worden.

Algoritme voor minimale inkomende ondertekening

Selecteer het algoritme dat de Keycloak client gebruikt om SAML documenten of asserties te ondertekenen.

Ondertekende beweringen

Of Bitwarden verwacht dat SAML-asserties worden ondertekend. Als dit aan staat, zorg er dan voor dat je de Keycloak client configureert om asserties te ondertekenen.

Certificaten valideren

Vink dit vakje aan bij gebruik van vertrouwde en geldige certificaten van je IdP via een vertrouwde CA. Zelfondertekende certificaten kunnen mislukken tenzij de juiste vertrouwensketens zijn geconfigureerd met het Bitwarden login met SSO docker image.

Vul de volgende velden in de SAML identity provider configuratiesectie in:

Veld

Beschrijving

Entiteit ID

Voer de URL in van de Keycloak realm waarop de client is aangemaakt, bijvoorbeeld https:///werelden/. Dit veld is hoofdlettergevoelig.

Bindend type

Selecteer Omleiden.

URL voor service voor eenmalige aanmelding

Voer je master SAML-verwerkings-URL in, bijvoorbeeld https:///werelden//protocol/saml.

URL voor service voor eenmalig afmelden

Inloggen met SSO ondersteunt momenteel geen SLO. Deze optie is gepland voor toekomstige ontwikkeling, maar u kunt deze desgewenst vooraf configureren met uw URL voor afmelden .

X509 publiek certificaat

Voer het RS256-certificaat in dat in de vorige stap is gekopieerd.

De certificaatwaarde is hoofdlettergevoelig, extra spaties, carriage returns en andere vreemde tekens zorgen ervoor dat de certificaatvalidatie mislukt.

Algoritme voor uitgaande ondertekening

Selecteer het algoritme dat de Keycloak client gebruikt om SAML documenten of asserties te ondertekenen.

Uitgaande afmeldverzoeken uitschakelen

Inloggen met SSO ondersteunt momenteel geen SLO. Deze optie is gepland voor toekomstige ontwikkeling.

Authenticatieverzoeken ondertekend willen hebben

Of Keycloak verwacht dat SAML verzoeken worden ondertekend.

noot

Let bij het invullen van het X509-certificaat op de vervaldatum. Certificaten zullen vernieuwd moeten worden om onderbrekingen in de dienstverlening aan SSO eindgebruikers te voorkomen. Als een certificaat is verlopen, kunnen de accounts Admin en Eigenaar altijd inloggen met e-mailadres en hoofdwachtwoord.

Als je klaar bent met de configuratie van de identity provider, sla je je werk op.

tip

Je kunt gebruikers verplichten om in te loggen met SSO door het authenticatiebeleid voor eenmalige aanmelding te activeren. Let op, hiervoor moet ook het beleid voor één organisatie worden geactiveerd. Meer informatie.

Extra Keycloak-instellingen

Op hettabblad Keycloak ClientInstellingen zijn extra configuratieopties beschikbaar:

Veld

Beschrijving

Documenten ondertekenen

Geef aan of SAML-documenten ondertekend moeten worden door de Keycloak realm.

Beweringen ondertekenen

Geef aan of SAML-bevestigingen moeten worden ondertekend door de Keycloak realm.

Handtekening algoritme

Als Ondertekenen van beweringen is ingeschakeld, selecteer dan met welk algoritme moet worden ondertekend (standaardsha-256 ).

Naam ID Formaat

Selecteer het Name ID-formaat voor Keycloak om te gebruiken in SAML-reacties.

Als je het forum hebt ingevuld, selecteer je Opslaan.

De configuratie testen

Zodra je configuratie voltooid is, kun je deze testen door te navigeren naar https://vault.bitwarden.com, je e-mailadres in te voeren, Doorgaan te selecteren en de knop Enterprise Single-On te selecteren:

Enterprise single sign on en hoofdwachtwoord
Enterprise single sign on en hoofdwachtwoord

Voer de geconfigureerde organisatie-ID in en selecteer Aanmelden. Als uw implementatie succesvol is geconfigureerd, wordt u doorgestuurd naar het inlogscherm van Keycloak:

Keycloak Inlogscherm
Keycloak Inlogscherm

Nadat u zich hebt geverifieerd met uw Keycloak-referenties, voert u uw Bitwarden-hoofdwachtwoord in om uw kluis te ontsleutelen!

noot

Bitwarden ondersteunt geen ongevraagde antwoorden, dus inloggen vanuit je IdP zal resulteren in een foutmelding. De SSO-aanmeldingsstroom moet worden geïnitieerd vanuit Bitwarden.

Suggest changes to this page

How can we improve this page for you?
For technical, billing, and product questions, please contact support

Wolkenstatus

Status controleren

Vergroot uw kennis op het gebied van cyberbeveiliging.

Meld je aan voor de nieuwsbrief.


© 2024 Bitwarden, Inc. Voorwaarden Privacy Cookie-instellingen Sitemap

Go to EnglishStay Here