Bitwarden 贡献文档
⮐ Bitwarden Contributing Documentation我的博客联系我
  • 关于
  • 入门
    • 概述
    • 工具
    • 服务器
      • 设置指南
      • 高级服务器设置
      • 数据库
        • MSSQL
        • 实体框架
      • 事件日志
      • Ingress 隧道
      • SCIM
      • 自托管指南
      • 系统管理门户
      • 单点登录 (SSO)
        • 本地 IdP
        • Okta
      • 故障排除
      • 用户机密
      • 公共 API
    • 网页客户端
      • 网页密码库
        • WebAuthn
      • 浏览器端
        • 生物识别解锁
        • Firefox 隐私模式
      • 桌面端
        • Mac App Store Dev
        • Microsoft Store
        • Native Messaging Test Runner
        • 更新测试
      • CLI
      • 故障排除
    • 移动端
      • Android
        • F-Droid
      • iOS
      • .NET MAUI (legacy)
        • Android
        • iOS
        • watchOS
    • SDK
      • 内部 SDK
      • Secrets Manager
        • Integrations
          • Kubernetes
    • 业务 App
      • 目录连接器
        • JumpCloud
        • OpenLDAP Docker 服务器
      • Key Connector
      • Splunk App
  • 贡献
    • 贡献
    • 代码样式
      • =Android & Kotlin
      • Angular & TypeScript
      • C#
      • =Rust
      • T-SQL
      • =Swift
      • Tailwind
    • 数据库迁移
      • 进化数据库设计
    • 提交签名
    • 拉取请求
      • =贡献审查程序
      • 分支
      • 代码审查
      • UI 审查 - Chromatic
    • 无障碍
    • 依赖管理
    • 功能标记
    • 模板存储库
    • 测试
      • =数据库集成测试
      • 负载测试
      • 单元测试
        • 命名约定
        • 测试结构
    • 修改用户机密
  • 架构
    • 架构
    • 架构决策记录 (ADR)
      • 0001 - Angular Reactive Forms
      • 0002 - Public API for modules
      • 0003 - Adopt Observable Data Services for Angular
      • 0004 - Refactor State Service
      • 0005 - Refactor Api Service
      • 0006 - Clients: Use Jest Mocks
      • 0007 - Manifest V3 sync Observables
      • 0008 - Server: Adopt CQRS
      • 0009 - Composition over inheritance
      • 0010 - Angular Modules
      • 0011 - Scalable Angular Clients folder structure
      • 0012 - Angular Filename convention
      • 0013 - Avoid layered folder structure for request/response models
      • 0014 - Adopt Typescript Strict flag
      • 0015 - Short Lived Browser Services
      • 0016 - Move Decryption and Encryption to Views
      • 0017 - Use Swift to build watchOS app
      • 0018 - Feature management
      • 0019 - Adoption of Web Push
      • 0020 - Observability with OpenTelemetry
      • 0021 - Logging to Standard Output
      • =0022 - Authorization
      • =0023 - Identifying Integrated Clients
    • 移动客户端架构
      • =Android
      • =iOS
        • =推送通知故障排除提示
      • =.NET MAUI (legacy)
        • =概述
        • watchOS
    • =SDK 架构
      • =数据模型
      • =依赖
      • Password Manager
        • Web
          • =互操作性
      • =Secrets Manager
      • =服务器绑定
      • =版本控制和破坏性更改
    • 网络客户端架构
      • 概述
      • 数据模型
      • 表示层
        • Angular
        • CLI
      • =依赖注入
      • 服务层
        • Vision
        • 实现
    • 服务器架构
    • 深度剖析
      • 身份验证
        • 双重身份验证
      • =授权
      • =浏览器自动填充
        • 收集页面详细信息
        • 生成并执行填充脚本
        • 表单提交检测
        • Shadow DOM
        • =内联自动填充菜单
      • Captcha
      • =只读数据库副本
      • 事件日志
      • =FIDO2 和通行密钥
        • =凭据
        • =操作
        • =命名惯例
        • =实现
          • =提供程序
            • =浏览器扩展
          • =依赖方
            • =用于解密的通行密钥
        • =术语表
      • 推送通知
        • 移动端推送通知
        • 其他客户端推送通知
      • =SSH 密钥和代理
        • =SSH 代理
      • =状态提供程序框架
        • =派生状态
    • =安全
      • =定义
      • =原则
        • =P01 - 锁定的密码库是安全的
        • =P02 - 半受损设备密码库的有限安全性
        • =P03 - 完全损坏的系统没有安全性
        • =P04 - 控制密码库数据的访问权限
        • =P05 - 将安全漏洞的影响降至最低
      • =要求
由 GitBook 提供支持
在本页
  • 先决条件
  • 配置 IdP
  • 配置 Bitwarden
  • 更新 IdP 配置
  • 用户
  • SAML 配置
  • 故障排除
  • Bitwarden 服务器显示 "unknown userId" 错误
  1. 入门
  2. 服务器
  3. 单点登录 (SSO)

本地 IdP

上一页单点登录 (SSO)下一页Okta

最后更新于1个月前

对应的

本文将向您展示如何为测试目的设置本地 SSO 身份提供程序 (IdP)。

这里使用

先决条件

  1. Bitwarden 服务器已安装和配置,并运行以下服务器项目:

    • Identity

    • API

    • SSO(位于 server/bitwarden_license/src/Sso)

  2. 本地网络客户端正在运行

配置 IdP

1、打开本地网络密码库然后导航至「组织」→「设置」→「单点登录」

2、勾选「允许 SSO 身份验证」复选框

3、编写并输入一个 SSO 标识符

4、选择「SAML 2.0」作为 SSO 类型。先不要保存或退出此页面,稍后再回来查看

5、打开一个新的终端,导航至服务器存储库中的 dev 文件夹,例如

cd ~/Projects/server/dev

6、打开 .env 文件,根据网络密码库 SSO 配置页面上的「SP 实体 ID」和「断言消费者服务 (ACS) URL」值设置以下环境变量:

IDP_SP_ENTITY_ID=http://localhost:51822/saml2
IDP_SP_ACS_URL=http://localhost:51822/saml2/yourOrgIdHere/Acs

您应该已经在初始服务器设置期间创建了此 .env 文件。如果需要,您可以参考 .env.example 文件。

7、(可选)您可以生成证书来签署 SSO 请求。您可以使用为您选择的操作系统制作的脚本来完成此操作。

# Mac
./create_certificates_mac.sh

# Windows
.\create_certificates_windows.ps1

# Linux
./create_certificates_linux.sh

8、复制提供的 authsources.php.example 文件,其中包含您的 IdP 用户配置。

cp authsources.php.example authsources.php

9、启动 docker 容器:

docker-compose --profile idp up -d

配置 Bitwarden

1、回到打开 SSO 配置页面的窗口

2、在「SAML 身份提供程序配置」(SAML Identity Provider Configuration) 部分填写以下值:

  • 实体 ID:

http://localhost:8090/simplesaml/saml2/idp/metadata.php
  • 单点登录服务 URL:

http://localhost:8090/simplesaml/saml2/idp/SSOService.php
  • X509 公共证书:打开一个新标签页,导航到上述实体 ID URL,即可获得该证书。它将打开(或下载)一个 XML 文件。复制并粘贴 <ds:X509Certificate> 标记之间的值(它看起来应该像一个 B64 编码的字符串)

3、保存 SSO 配置

现在,您的 SSO 已准备就绪!

更新 IdP 配置

用户

要添加或更改用户,只需编辑 authsources.php。您的更改将立即生效,但当前已通过身份验证的用户必须退出登录,其账户更改才能生效。

SAML 配置

要更改实体 ID 或 ACS URL,请编辑 .env 文件,然后重启 Docker 容器:

docker-compose --profile idp up -d

故障排除

Bitwarden 服务器显示 "unknown userId" 错误

authsources.php 中缺少用户的 uid 声明。

将指纹(例如 0BE8A0072214AB37C6928968752F698EEC3A68B5)粘贴到 globalSettings > identityServer > certificateThumbprint 下的 Secrets.json 文件中。按更新您的机密。

默认情况下,该文件配置了两个用户:user1 和 user2,并且都有密码password。您可以按照此格式添加或修改用户,或者仅使用默认值。有关自定义此文件的更多信息,请参阅。

10、您可以通过导航至 ,然后「身份验证」→「测试已配置的身份验证源」→「example-userpass」来测试用户配置。您应该可以使用配置的用户登录了。

要注销用户身份,请访问 然后点击「注销」。或者,您也可以使用私密浏览会话。

官方页面地址
Docker Test SAML 2.0 Identity Provider。
此处
http://localhost:8090/simplesaml
http://localhost:8090/simplesaml/module.php/core/authenticate.php?as=example-userpass
此处所示