Ping Identity OIDC 实施
最后更新于
最后更新于
对应的
本文是专门针对 Ping Identity 用于配置 OpenID Connect (OIDC) 方式的 SSO 登录的帮助。有关其他 OIDC IdP 方式配置 SSO 登录,或配置 SAML 2.0 方式的 Ping Identity 的帮助,请参阅 或 。
配置需要在 Bitwarden 网页 App 和 Ping Identity 管理员门户网站中同时进行。在您继续进行操作时,我们建议您准备好这两样东西,并按照文档中的顺序完成这些步骤。
登录到 Bitwarden 网页 App,使用产品切换器打开管理控制台:
打开组织的设置 → 单点登录界面:
如果还没有为您的组织创建唯一的 SSO 标识符,请创建一个。否则,您不需要在此界面上编辑任何内容,但保持此界面打开,以方便参考。
在 Ping Identity 管理员门户网站,选择 Application 和屏幕上方的 ✚图标以打开 Add Application 界面:
1、在 Application Name 字段中输入 Bitwarden 专用名称。还可根据需要添加所需的详细说明。
2、选择 OIDC Web App 选项,完成后选择 Save。
在 Application 界面,选择 Configuration 选项卡,然后选择屏幕右上方的 Edit 按钮。
在 Edit 界面,填写从 Bitwarden 单点登录界面获取的以下值:
Redirect URIs
复制并粘贴从 Bitwarden 单点登录页面获取的回调路径值。
Signoff URLs
复制并粘贴从 Bitwarden 单点登录页面获取的注销回调路径值。
完成此步骤后,选择 Save 并返回 Ping Identity Application 界面上的 Configuration 选项卡。该界面上的其他值无需编辑。
在 Ping Identity Application 页面的 Resources 选项卡上,选择 edit 图标并启用以下允许范围:
openid
至此,您已在 Ping Identity 环境中配置了所需的一切。返回 Bitwarden 网页 App 以配置以下字段:
Authority
输入 https://auth.pingone.eu/<TENANT_ID>,其中 TENANT_ID 是 Ping Identity 上的 Environment ID。
Client ID
输入从应用程序配置选项卡获取的应用程序客户端 ID。
Client Secret
输入创建的客户端机密的机密值。在应用程序的配置选项卡上选择 Generate New Secret。
Metadata Address
对于 Ping Identity 实施,您可以将此字段留空。
OIDC Redirect Behavior
选择 Form POST 或 Redirect GET。
Get Claims From User Info Endpoint
如果在 SSO 过程中收到 URL 太长错误(HTTP 414)、信任 URL 和/或失败,请启用此选项。
Additional/Custom Scopes
定义要添加到请求中的自定义作用域(以逗号分隔)。
Additional/Custom Email Claim Types
为用户的地址地址定义自定义声明类型键(以逗号分隔)。定义后,会先搜索自定义声明类型,然后再返回标准类型。
Additional/Custom Name Claim Types
为用户全名或显示名定义自定义声明类型键(以逗号分隔)。定义后,会先搜索自定义声明类型,然后再返回标准类型。
Requested Authentication Context Class Reference values
定义身 Authentication Context Class Reference 标识符 (acr_values)(以空格分隔)。按优先顺序列出 acr_values。
Expected "acr" Claim Value in Response
为 Bitwarden 定义在响应中预期和验证的 acr 声明值。
完成这些字段的配置后,保存您的工作。
使用 Ping 凭据进行身份验证后,输入您的 Bitwarden 主密码以解密您的密码库!
您可以选择性使用成员解密选项。了解如何开始使用 和 。
您可以通过激活单点登录身份验证策略来要求用户使用 SSO 登录。请注意,这需要先激活单一组织策略。。
配置完成后,通过导航到 或 ,输入您的电子邮箱地址,选择继续,然后选择企业单点登录按钮来进行测试:
输入,然后选择登录。如果您的实施已成功配置,您将被重定向到 Ping Identity 登录界面:
培训您的组织成员如何。