OIDC 配置

对应的官方文档地址

第 1 步：设置组织标识符

使用 SSO 验证身份的用户将被要求输入一个组织标识符，该标识符指示要进行身份验证的组织（以及 SSO 集成）。要设置唯一的组织标识符：

1、登录到网页密码库并打开您的组织。

2、打开设置标签并为您的组织输入一个唯一的标识符。

3、退出此页面前保存您的更改。

配置好可以使用后，您需要将这个值分享给用户。

拥有组织标识符后，接下来需要启用并配置您的集成。要启用 SSO 登录：

1、从组织密码库中，导航到管理选项卡并从左侧菜单中选择单点登录：

2、在单点登录界面，勾选允许 SSO 身份验证复选框。

3、从类型下拉菜单中，选择 OpenID Connect 选项。如果您打算改用 SAML，请转到 SAML 配置指南。

如果您是自托管 Bitwarden，您可以选择性使用成员解密选项。此功能默认情况下被禁用，因此现在继续使用主密码解密，并了解如何在配置完成并成功运行后开始使用 Key Connector。

第 3 步：配置

从这一步开始，实施将因提供程序的不同而不同。跳转到我们的特定实施指南之一，以帮助您完成配置过程：

提供程序	指南
Azure	Azure 实施指南
Okta	Okta 实施指南

提供程序

指南

Azure

Azure 实施指南

Okta

Okta 实施指南

配置参考资料

以下部分将定义在单点登录配置界面的字段，其与您要集成的 IdP 无关。必须配置的字段将被标记（必填）。

除非您对 OpenID Connect 比较精通，否则我们建议使用上述实施指南之一，而不是使用如下的通用素材。

字段描述

字段	描述
Callback Path	（自动生成）用于验证自动重定向的 URL。对于云托管客户，其始终为 `https://sso.bitwarden.com/oidc-signin`。对于自托管实例，这取决于您已配置的服务器 URL，例如 `https://your.domain.com/sso/oidc-signin`。
Signed Out Callback Path	（自动生成）用于注销自动重定向的 URL。对于云托管客户，其始终为 `https://sso.bitwarden.com/oidc-signedout`。对于自托管实例，这取决于您已配置的服务器 URL，例如 `https://your.domain.com/sso/oidc-signedout`。
Authority	（必填）您的授权服务器（"Authority"）的 URL，Bitwarden 将对其进行身份验证。例如 `https://your.domain.okta.com/oauth2/default` 或 `https://login.microsoft.com/<TENANT_ID>/v2.0`。
Client ID	（必填）用于 OIDC 客户端的标识符。此值通常特定于构建的 IdP 应用程序集成，例如 Azure 应用程序注册或 Okta Web 应用程序。
Client Secret	（必填）与客户端 ID 结合使用以交换访问令牌的客户端密钥。此值通常特定于构建的 IdP 应用程序集成。例如 Azure 应用程序注册或 Okta Web 应用程序。
Metadata Address	（如果 Authority 无效则必填）一个元数据 URL，Bitwarden 可以在此访问作为 JSON 对象的授权服务器元数据。例如 `https://your.domain.okta.com/oauth2/default/.well-known/oauth-authorization-server`。
OIDC Redirect Behavior	（必填）IdP 用于响应来自 Bitwarden 的身份验证请求的方法。选项包括 Form POST 和 Redirect GET。
Get Claims From User Info Endpoint	如果您在 SSO 期间收到 URL 太长错误（HTTP 414）、截断的 URL 和/或失败，请启用此选项。
Additional/Custom Scopes	定义要添加到请求中的自定义范围（逗号分隔）。
Additional/Custom User ID Claim Types	定义用于用户识别的自定义声明类型键（逗号分隔）。定义后，会在返回标准类型之前搜索自定义声明类型。
Additional/Custom Email Claim Types	定义用于用户电子邮件地址的自定义声明类型键（逗号分隔）。定义后，会在返回标准类型之前搜索自定义声明类型。
Additional/Custom Name Claim Types	定义用于用户全名或显示名称的自定义声明类型键（逗号分隔）。定义后，会在返回标准类型之前搜索自定义声明类型。
Requested Authentication Context Class Reference values	定义身份验证上下文类引用标识符（`acr_values`）（空格分隔）。按优先顺序列出 `acr_values`。
Expected “acr” Claim Value in Response	定义 Bitwarden 在响应中期望和验证的 `acr` 声明值。

Callback Path

（自动生成）用于验证自动重定向的 URL。对于云托管客户，其始终为 https://sso.bitwarden.com/oidc-signin。对于自托管实例，这取决于您已配置的服务器 URL，例如 https://your.domain.com/sso/oidc-signin。

Signed Out Callback Path

（自动生成）用于注销自动重定向的 URL。对于云托管客户，其始终为 https://sso.bitwarden.com/oidc-signedout。对于自托管实例，这取决于您已配置的服务器 URL，例如 https://your.domain.com/sso/oidc-signedout。

Authority

（必填）您的授权服务器（"Authority"）的 URL，Bitwarden 将对其进行身份验证。例如 https://your.domain.okta.com/oauth2/default 或 https://login.microsoft.com/<TENANT_ID>/v2.0。

Client ID

（必填）用于 OIDC 客户端的标识符。此值通常特定于构建的 IdP 应用程序集成，例如 Azure 应用程序注册或 Okta Web 应用程序。

Client Secret

（必填）与客户端 ID 结合使用以交换访问令牌的客户端密钥。此值通常特定于构建的 IdP 应用程序集成。例如 Azure 应用程序注册或 Okta Web 应用程序。

Metadata Address

（如果 Authority 无效则必填）一个元数据 URL，Bitwarden 可以在此访问作为 JSON 对象的授权服务器元数据。例如 https://your.domain.okta.com/oauth2/default/.well-known/oauth-authorization-server。

OIDC Redirect Behavior

（必填）IdP 用于响应来自 Bitwarden 的身份验证请求的方法。选项包括 Form POST 和 Redirect GET。

Get Claims From User Info Endpoint

如果您在 SSO 期间收到 URL 太长错误（HTTP 414）、截断的 URL 和/或失败，请启用此选项。

Additional/Custom Scopes

定义要添加到请求中的自定义范围（逗号分隔）。

Additional/Custom User ID Claim Types

定义用于用户识别的自定义声明类型键（逗号分隔）。定义后，会在返回标准类型之前搜索自定义声明类型。

Additional/Custom Email Claim Types

定义用于用户电子邮件地址的自定义声明类型键（逗号分隔）。定义后，会在返回标准类型之前搜索自定义声明类型。

Additional/Custom Name Claim Types

定义用于用户全名或显示名称的自定义声明类型键（逗号分隔）。定义后，会在返回标准类型之前搜索自定义声明类型。

Requested Authentication Context Class Reference values

定义身份验证上下文类引用标识符（acr_values）（空格分隔）。按优先顺序列出 acr_values。

Expected “acr” Claim Value in Response

定义 Bitwarden 在响应中期望和验证的 acr 声明值。

OIDC 属性和声明

帐户布建需要一个电子邮件地址，它可以作为下表中的任何属性或声明被传递。

还强烈建议使用一个唯一的用户标识符。如果没有，将使用电子邮件来链接用户。

属性/声明按优先匹配的顺序排列，包括适用的 Fallback：

值	声明/属性	Fallback 声明/属性
Unique ID	Configured Custom User ID Claims NameID (when not Transient) urn:oid:0.9.2342.19200300.100.1.1 Sub UID UPN EPPN
Email	Configured Custom Email Claims Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress urn:oid:0.9.2342.19200300.100.1.3 Mail EmailAddress	Preferred_Username Urn:oid:0.9.2342.19200300.100.1.1 UID
Name	Configured Custom Name Claims Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name urn:oid:2.16.840.1.113730.3.1.241 urn:oid:2.5.4.3 DisplayName CN	First Name + “ “ + Last Name (see below)
First Name	urn:oid:2.5.4.42 GivenName FirstName FN FName Nickname
Last Name	urn:oid:2.5.4.4 SN Surname LastName

值

声明/属性

Fallback 声明/属性

Unique ID

Configured Custom User ID Claims NameID (when not Transient) urn:oid:0.9.2342.19200300.100.1.1 Sub UID UPN EPPN

Configured Custom Email Claims Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress urn:oid:0.9.2342.19200300.100.1.3 Mail EmailAddress

Preferred_Username Urn:oid:0.9.2342.19200300.100.1.1 UID

Name

Configured Custom Name Claims Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name urn:oid:2.16.840.1.113730.3.1.241 urn:oid:2.5.4.3 DisplayName CN

First Name + “ “ + Last Name (see below)

First Name

urn:oid:2.5.4.42 GivenName FirstName FN FName Nickname

Last Name

urn:oid:2.5.4.4 SN Surname LastName

上一页SAML 2.0 配置下一页成员解密选项

最后更新于1年前

第 1 步：设置组织标识符

第 2 步：启用 SSO 登录

第 3 步：配置

配置参考资料

OIDC 属性和声明