OIDC 配置
对应的官方文档地址
第 1 步:设置 SSO 标识符
使用 SSO 验证身份的用户将被要求输入一个组织标识符,该标识符指示要进行身份验证的组织(以及 SSO 集成)。要设置唯一的组织标识符:
1、登录 Bitwarden 网页 App,使用产品切换器打开管理控制台:
2、导航到 设置 → 单点登录,然后为您的组织输入一个唯一的标识符:
3、继续执行步骤 2:启用 SSO 登录。
此配置准备好使用后,您需要将这个值分享给用户。
第 2 步:启用 SSO 登录
拥有 SSO 标识符后,您就可以继续启用和配置您的集成了。要启用 SSO 登录:
1、在 设置 → 单点登录 视图中,勾选允许 SSO 身份验证复选框:
2、从类型下拉菜单中,选择 OpenID Connect 选项。如果您打算改用 SAML,请切换到 SAML 配置指南。
还有其他成员解密选项。了解受信任的设备 SSO 或 Key Connector 使用入门。
第 3 步:配置
从这一步开始,实施将因提供程序的不同而不同。跳转到我们的特定实施指南之一,以帮助您完成配置过程:
Azure
Okta
配置参考资料
以下部分将定义在单点登录配置界面的字段,其与您要集成的 IdP 无关。必须配置的字段将被标记(必填)。
除非您对 OpenID Connect 比较精通,否则我们建议使用上述实施指南之一,而不是使用如下的通用素材。
Callback Path
(自动生成)用于验证自动重定向的 URL。对于云托管客户,其为 https://sso.bitwarden.com/oidc-signin 或 https://sso.bitwarden.eu/oidc-signin。对于自托管实例,这取决于您已配置的服务器 URL,例如 https://your.domain.com/sso/oidc-signin。
Signed Out Callback Path
(自动生成)用于注销自动重定向的 URL。对于云托管客户,其始终为 https://sso.bitwarden.com/oidc-signedout 或 https://sso.bitwarden.eu/oidc-signedout。对于自托管实例,这取决于您已配置的服务器 URL,例如 https://your.domain.com/sso/oidc-signedout。
Authority
(必填)您的授权服务器("Authority")的 URL,Bitwarden 将对其进行身份验证。例如 https://your.domain.okta.com/oauth2/default 或 https://login.microsoft.com/<TENANT_ID>/v2.0。
Client ID
(必填)用于 OIDC 客户端的标识符。此值通常特定于构建的 IdP 应用程序集成,例如 Azure 应用程序注册或 Okta Web 应用程序。
Client Secret
(必填)与客户端 ID 结合使用以交换访问令牌的客户端密钥。此值通常特定于构建的 IdP 应用程序集成。例如 Azure 应用程序注册或 Okta Web 应用程序。
Metadata Address
(如果 Authority 无效则必填)一个元数据 URL,Bitwarden 可以在此访问作为 JSON 对象的授权服务器元数据。例如 https://your.domain.okta.com/oauth2/default/.well-known/oauth-authorization-server。
OIDC Redirect Behavior
(必填)IdP 用于响应来自 Bitwarden 的身份验证请求的方法。选项包括 Form POST 和 Redirect GET。
Get Claims From User Info Endpoint
如果您在 SSO 期间收到 URL 太长错误(HTTP 414)、截断的 URL 和/或失败,请启用此选项。
Additional/Custom Scopes
定义要添加到请求中的自定义范围(逗号分隔)。
Additional/Custom User ID Claim Types
定义用于用户识别的自定义声明类型键(逗号分隔)。定义后,会在返回标准类型之前搜索自定义声明类型。
Additional/Custom Email Claim Types
定义用于用户电子邮件地址的自定义声明类型键(逗号分隔)。定义后,会在返回标准类型之前搜索自定义声明类型。
Additional/Custom Name Claim Types
定义用于用户全名或显示名称的自定义声明类型键(逗号分隔)。定义后,会在返回标准类型之前搜索自定义声明类型。
Requested Authentication Context Class Reference values
定义身份验证上下文类引用标识符(acr_values)(空格分隔)。按优先顺序列出 acr_values。
Expected “acr” Claim Value in Response
定义 Bitwarden 在响应中期望和验证的 acr 声明值。
OIDC 属性和声明
账户布建需要一个电子邮件地址,它可以作为下表中的任何属性或声明被传递。
还强烈建议使用一个唯一的用户标识符。如果没有,将使用电子邮箱来链接用户。
属性/声明按优先匹配的顺序排列,包括适用的 Fallback:
Unique ID
Configured Custom User ID Claims NameID (when not Transient) urn:oid:0.9.2342.19200300.100.1.1 Sub UID UPN EPPN
Configured Custom Email Claims Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress urn:oid:0.9.2342.19200300.100.1.3 Mail EmailAddress
Preferred_Username Urn:oid:0.9.2342.19200300.100.1.1 UID
Name
Configured Custom Name Claims Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name urn:oid:2.16.840.1.113730.3.1.241 urn:oid:2.5.4.3 DisplayName CN
First Name + “ “ + Last Name (see below)
First Name
urn:oid:2.5.4.42 GivenName FirstName FN FName Nickname
Last Name
urn:oid:2.5.4.4 SN Surname LastName
最后更新于