ADFS OIDC 实施

本文是专门针对 Active Directory Federation Services (AD FS) 用于配置 OpenID Connect (OIDC) 方式的 SSO 登录的帮助。有关其他 OIDC IdP 方式配置 SSO 登录，或配置 SAML 2.0 方式的 Azure 的帮助，请参阅 OIDC 配置或 ADFS SAML 实施。

配置需要在 Bitwarden 网页 App 和 AD FS 服务器管理器中同时进行。在您继续进行操作时，我们建议您准备好这两样东西，并按照文档中的顺序完成这些步骤。

在网页 App 中打开 SSO

登录到 Bitwarden 网页 App，使用产品切换器打开管理控制台：

从导航中选择设置 → 单点登录：

如果还没有为您的组织创建唯一的 SSO 标识符，请创建一个。否则，您不需要在此界面上编辑任何内容，但保持此界面打开，以方便参考。

创建应用程序组

在服务器管理器中，导航到 AD FS Management 并创建一个新的应用程序组：

1、在控制台树中，选择 Application Groups，然后从 Actions 列表中选择 Add Application Group。

2、在 Welcome 向导界面上，选择 Server application accessing a web API。

3、在 Server Application 界面上：

• 为服务器应用程序起一个 Name。

• 记下 Client Identifier。在后续步骤中需要此值。

• 指定一个 Redirect URI。对于云托管的客户，这始终是 https://sso.bitwarden.com/oidc-signin。对于自托管实例，这取决于您配置的服务器 URL，例如 https://your.domain.com/sso/oidc-signin。

4、在 Configure Application Credentials 界面上，记下 Client Secret。在后续步骤中需要此值。

5、在 Configure Web API 界面上：

• 为 Web API 起一个 Name。

• 将 Client Identifier 和 Redirect URI（参见步骤 3）添加到 Identifier list 中。

6、在 Apply Access Control Policy 界面上，为应用程序组设置适当的访问控制策略。

7、在 Configure Application Permissions 界面上，允许范围勾选 allatclaims 和 openid。

8、完成添加应用程序组向导。

添加转换声明规则

在服务器管理器中，导航到 AD FS Management 然后编辑已创建的应用程序组：

1、在控制台树中，选择 Application Groups。

2、在 Application Groups 列表中，右键单击已创建的应用程序组然后选择 Properties。

3、在 Applications 部分，选择 Web API 并选择 Edit... 。

4、导航到 Issuance Transform Rules 选项卡然后选择 Add Rule... 按钮。

5、在 Choose Rule Type 界面上，选择 Send LDAP Attributes as Claims。

6、在 Configure Claim Rule 界面上：

• 给规则起一个 Claim rule name。

• 从 LDAP Attribute 下拉列表中，选择 E-Mail-Addresses。

• 从 Outgoing Claim Type 下拉列表中，选择 E-Mail Address。

回到网页 App

至此，您已经配置好了 AD FS 服务器管理器所需要的一切。回到 Bitwarden 网页 App 以配置以下字段：

完成这些字段的配置后，Save（保存）您的工作。

测试配置

配置完成后，通过导航到 https://vault.bitwarden.com 或 https://vault.bitwarden.eu，输入您的电子邮箱地址，选择继续，然后选择企业单点登录按钮来进行测试：

输入已配置的组织标识符，然后选择登录。如果您的实施已成功配置，您将被重定向到 AD FS SSO 登录界面。

使用 AD FS 凭据进行身份验证后，输入您的 Bitwarden 主密码以解密您的密码库！