Microsoft Entra ID OIDC 实施

本文是专门针对 Azure 用于配置 OpenID 连接（OIDC） 方式的 SSO 登录的帮助。有关其他 OIDC IdP 方式配置 SSO 登录，或配置 SAML 2.0 方式的 Azure 的帮助，请参阅 OIDC 配置或 Microsoft Entra ID SAML 实施。

配置需要在 Bitwarden 网页 App 和 Azure 门户网站中同时进行。在您继续进行操作时，我们建议您准备好这两样东西，并按照文档中的顺序完成这些步骤。

在网页 App 中打开 SSO

登录到 Bitwarden 网页 App，使用产品切换器打开管理控制台：

从导航中选择设置 → 单点登录：

如果还没有为您的组织创建唯一的 SSO 标识符，请创建一个。否则，您不需要在此界面上编辑任何内容，但保持此界面打开，以方便参考。

创建应用程序注册

在 Azure 门户中，导航到 Microsoft Entra ID。要创建新的应用程序注册，请选择 New registration 按钮：

完成如下字段：

1. 在 Register an application 页面，给您的应用程序取一个专用于 Bitwarden 的名称，并指定哪些账户可以使用该应用程序。这一选择将决定哪些用户可以使用 Bitwarden SSO 登录。

2. 从导航中选择 Authentication，然后选择 Add a platform 按钮。

3. 在配置平台界面上选择 Web 选项并在重定向 URI 输入框中输入您的 Callback Path 。

创建客户端密钥

从导航中选择 Certificates & secrets，然后选择 New client secret 按钮：

为证书指定一个专用于 Bitwarden 的名称，并选择一个到期时间范围。

创建管理员同意

选择 API permissions ，然后单击 ✔︎Grant admin consent for {your directory}。唯一需要的权限是默认添加的 Microsoft Graph > User.Read。

返回网页密码库

至此，您已在 Azure 门户范围内配置好了您所需要的一切。返回 Bitwarden 网页密码库以配置以下字段：

完成这些字段的配置后，Save（保存）您的工作。

额外的自定义申请类型

如果您的 SSO 配置需要自定义声明类型，则需要额外的步骤才能让 Microsoft Entra ID 识别非标准声明。

1、在 Microsoft Entra ID 上，通过导航到 Enterprise applications → App registrations → Token configuration 来添加自定义申请类型。

2、选择 ✚Add optional claim，然后使用选定值创建新的可选声明。

3、在 Bitwarden SSO 配置屏幕上，在相应的自定义声明类型字段中输入自定义声明字段的完全限定路径。例如：https://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn。

4、完成配置后，选择保存。

测试配置

配置完成后，通过导航到 https://vault.bitwarden.com 或 https://vault.bitwarden.eu，输入您的电子邮箱地址，选择继续，然后选择企业单点登录按钮来进行测试：

输入已配置的组织标识符，然后选择登录。如果您的实施已成功配置，您将被重定向到 Microsoft 登录界面：

使用 Azure 凭据进行身份验证后，输入您的 Bitwarden 主密码以解密您的密码库！

下一步

1. 培训您的组织成员如何使用 SSO 登录。