OIDC 配置

第 1 步:设置 SSO 标识符

使用 SSO 验证身份的用户将被要求输入一个组织标识符,该标识符指示要进行身份验证的组织(以及 SSO 集成)。要设置唯一的组织标识符:

1、登录 Bitwarden 网页 App,使用产品切换器打开管理控制台:

产品切换器

2、导航到 设置 单点登录,然后为您的组织输入一个唯一的标识符

输入标识符

3、继续执行步骤 2:启用 SSO 登录

第 2 步:启用 SSO 登录

拥有 SSO 标识符后,您就可以继续启用和配置您的集成了。要启用 SSO 登录:

1、在 设置 单点登录 视图中,勾选允许 SSO 身份验证复选框:

SAML 2.0 配置

2、从类型下拉菜单中,选择 OpenID Connect 选项。如果您打算改用 SAML,请切换到 SAML 配置指南

第 3 步:配置

从这一步开始,实施将因提供程序的不同而不同。跳转到我们的特定实施指南之一,以帮助您完成配置过程:

提供程序
指南

配置参考资料

以下部分将定义在单点登录配置界面的字段,其与您要集成的 IdP 无关。必须配置的字段将被标记(必填)。

字段
描述

Callback Path

自动生成)用于验证自动重定向的 URL。对于云托管客户,其为 https://sso.bitwarden.com/oidc-signin 或 https://sso.bitwarden.eu/oidc-signin。对于自托管实例,这取决于您已配置的服务器 URL,例如 https://your.domain.com/sso/oidc-signin

Signed Out Callback Path

自动生成)用于注销自动重定向的 URL。对于云托管客户,其始终为 https://sso.bitwarden.com/oidc-signedouthttps://sso.bitwarden.eu/oidc-signedout。对于自托管实例,这取决于您已配置的服务器 URL,例如 https://your.domain.com/sso/oidc-signedout

Authority

必填)您的授权服务器("Authority")的 URL,Bitwarden 将对其进行身份验证。例如 https://your.domain.okta.com/oauth2/defaulthttps://login.microsoft.com/<TENANT_ID>/v2.0

Client ID

必填)用于 OIDC 客户端的标识符。此值通常特定于构建的 IdP 应用程序集成,例如 Azure 应用程序注册Okta Web 应用程序

Client Secret

必填)与客户端 ID 结合使用以交换访问令牌的客户端密钥。此值通常特定于构建的 IdP 应用程序集成。例如 Azure 应用程序注册Okta Web 应用程序

Metadata Address

如果 Authority 无效则必填)一个元数据 URL,Bitwarden 可以在此访问作为 JSON 对象的授权服务器元数据。例如 https://your.domain.okta.com/oauth2/default/.well-known/oauth-authorization-server

OIDC Redirect Behavior

必填)IdP 用于响应来自 Bitwarden 的身份验证请求的方法。选项包括 Form POSTRedirect GET

Get Claims From User Info Endpoint

如果您在 SSO 期间收到 URL 太长错误(HTTP 414)、截断的 URL 和/或失败,请启用此选项。

Additional/Custom Scopes

定义要添加到请求中的自定义范围(逗号分隔)。

Additional/Custom User ID Claim Types

定义用于用户识别的自定义声明类型键(逗号分隔)。定义后,会在返回标准类型之前搜索自定义声明类型。

Additional/Custom Email Claim Types

定义用于用户电子邮件地址的自定义声明类型键(逗号分隔)。定义后,会在返回标准类型之前搜索自定义声明类型。

Additional/Custom Name Claim Types

定义用于用户全名或显示名称的自定义声明类型键(逗号分隔)。定义后,会在返回标准类型之前搜索自定义声明类型。

Requested Authentication Context Class Reference values

定义身份验证上下文类引用标识符(acr_values)(空格分隔)。按优先顺序列出 acr_values

Expected “acr” Claim Value in Response

定义 Bitwarden 在响应中期望和验证的 acr 声明值。

OIDC 属性和声明

账户布建需要一个电子邮件地址,它可以作为下表中的任何属性或声明被传递。

还强烈建议使用一个唯一的用户标识符。如果没有,将使用电子邮箱来链接用户。

属性/声明按优先匹配的顺序排列,包括适用的 Fallback:

声明/属性
Fallback 声明/属性

Unique ID

Configured Custom User ID Claims NameID (when not Transient) urn:oid:0.9.2342.19200300.100.1.1 Sub UID UPN EPPN

Email

Configured Custom Email Claims Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress urn:oid:0.9.2342.19200300.100.1.3 Mail EmailAddress

Preferred_Username Urn:oid:0.9.2342.19200300.100.1.1 UID

Name

Configured Custom Name Claims Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name urn:oid:2.16.840.1.113730.3.1.241 urn:oid:2.5.4.3 DisplayName CN

First Name + “ “ + Last Name (see below)

First Name

urn:oid:2.5.4.42 GivenName FirstName FN FName Nickname

Last Name

urn:oid:2.5.4.4 SN Surname LastName

最后更新于