本文是专门针对 Auth0 用于配置 SAML 2.0 方式的 SSO 登录的帮助。有关其他 IdP 方式配置 SSO 登录的帮助，请参阅 SAML 2.0 配置。

配置需要在 Bitwarden 网页密码库和 Auth0 门户网站中同时进行。在您继续进行操作时，我们建议您随时准备好并按照记录的顺序完成步骤。

在网页密码库中打开 SSO

如果你是直接从 SAML 2.0 配置过来的，你应该已经创建了一个组织 ID 并打开了 SSO 配置界面。如果你没有，请参考那篇文章，为 SSO 创建一个组织 ID。

导航到您组织的管理 → 单点登录界面：

你不需要编辑此界面上的任何内容，但要保持打开以方便引用。

创建 Auth0 应用程序

在 Auth0 门户中，使用应用程序菜单来创建一个 Regular Web Application（常规的 Web 应用程序）：

点击 Setting 标签并配置以下信息，其中一些信息您需要从 Bitwarden 业务门户中获取：

Grant Types

在 Advanced Settings → Grant Types 部分，确保选择了以下授权类型（可以预先选择）：

Certificates

在 Advanced Settings → Certificates 部分，复制或下载您的签名证书。你现在还不需要用它做任何事情，但需要稍后引用它。

Endpoints

不需要在 Advanced Settings → Endpoints 部分编辑任何东西，但你需要这个 SAML 端点，以便稍后引用它。

配置 Auth0 规则

创建规则来定制你的应用程序的 SAML 响应行为。虽然 Auth0 提供了多个选项，但这里将只关注那些专门映射到 Bitwarden 的选项。要创建一个自定义 SAML 配置规则集，请使用 Auth Pipeline → Rules 菜单来 Create（创建）规则：

以下任何项目均可配置：

使用像下面这样的 Script（脚本）来实现这些规则。如需帮助，请参阅 Auth0 文档。

function (user, context, callback) {
    context.samlConfiguration.signatureAlgorithm = "rsa-sha256";
    context.samlConfiguration.digestAlgorithm = "sha256";
    context.samlConfiguration.signResponse = "true";
    context.samlConfiguration.nameIdentifierFormat = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
    context.samlConfiguration.binding = "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect";
    callback(null, user, context);
}

回到网页密码库

至此，你已经在 Auth0 门户网站配置好了你所需要的一切。回到 Bitwarden 网页密码库来完成配置。

单点登录界面将配置分为两个部分：

• SAML 服务提供程序配置将决定 SAML 请求的格式。

• SAML 身份提供程序配置将决定用于 SAML 响应的预期格式。

服务提供程序配置

除非您已配置了自定义规则，否则您的服务提供重新配置就已经完成了。如果您配置了自定义规则或要对实现做进一步的更改，请编辑相关字段：

完成服务提供程序配置部分后，Save（保存）您的工作。

身份提供程序配置

身份提供程序配置通常需要你返回 Auth0 门户以获取应用程序的值：

完成身份提供程序配置部分后，Save（保存）您的工作。

测试配置

配置完成后，通过导航到 https://vault.bitwarden.com 并选择 Enterprise Single Sign-On 按钮来进行测试：

输入已配置的组织标识符，然后选择 Log In。如果您的实施已成功配置，您将被重定向到 Auth0 的登录界面：

使用您的 Auth0 凭据进行身份验证后，输入您的 Bitwarden 主密码来解密您的密码库！