ADFS OIDC 实施

本文是专门针对 Active Directory Federation Services (AD FS) 用于配置 OpenID Connect (OIDC) 方式的 SSO 登录的帮助。有关其他 OIDC IdP 方式配置 SSO 登录，或配置 SAML 2.0 方式的 Azure 的帮助，请参阅 或 。

配置需要在 Bitwarden 网页 App 和 AD FS 服务器管理器中同时进行。在您继续进行操作时，我们建议您准备好这两样东西，并按照文档中的顺序完成这些步骤。

在网页 App 中打开 SSO

登录到 Bitwarden 网页 App，使用产品切换器打开管理控制台：

从导航中选择设置 → 单点登录：

如果还没有为您的组织创建唯一的 SSO 标识符，请创建一个。否则，您不需要在此界面上编辑任何内容，但保持此界面打开，以方便参考。

创建应用程序组

在服务器管理器中，导航到 AD FS Management 并创建一个新的应用程序组：

1、在控制台树中，选择 Application Groups，然后从 Actions 列表中选择 Add Application Group。

2、在 Welcome 向导界面上，选择 Server application accessing a web API。

3、在 Server Application 界面上：

• 为服务器应用程序起一个 Name。

• 记下 Client Identifier。在后续步骤中需要此值。

• 指定一个 Redirect URI。对于云托管的客户，这始终是 https://sso.bitwarden.com/oidc-signin。对于自托管实例，这取决于您配置的服务器 URL，例如 https://your.domain.com/sso/oidc-signin。

4、在 Configure Application Credentials 界面上，记下 Client Secret。在后续步骤中需要此值。

5、在 Configure Web API 界面上：

• 为 Web API 起一个 Name。

• 将 Client Identifier 和 Redirect URI（参见步骤 3）添加到 Identifier list 中。

6、在 Apply Access Control Policy 界面上，为应用程序组设置适当的访问控制策略。

7、在 Configure Application Permissions 界面上，允许范围勾选 allatclaims 和 openid。

8、完成添加应用程序组向导。

添加转换声明规则

在服务器管理器中，导航到 AD FS Management 然后编辑已创建的应用程序组：

1、在控制台树中，选择 Application Groups。

2、在 Application Groups 列表中，右键单击已创建的应用程序组然后选择 Properties。

3、在 Applications 部分，选择 Web API 并选择 Edit... 。

4、导航到 Issuance Transform Rules 选项卡然后选择 Add Rule... 按钮。

5、在 Choose Rule Type 界面上，选择 Send LDAP Attributes as Claims。

6、在 Configure Claim Rule 界面上：

• 给规则起一个 Claim rule name。

• 从 LDAP Attribute 下拉列表中，选择 E-Mail-Addresses。

• 从 Outgoing Claim Type 下拉列表中，选择 E-Mail Address。

回到网页 App

至此，您已经配置好了 AD FS 服务器管理器所需要的一切。回到 Bitwarden 网页 App 以配置以下字段：

完成这些字段的配置后，Save（保存）您的工作。

测试配置

使用 AD FS 凭据进行身份验证后，输入您的 Bitwarden 主密码以解密您的密码库！