OneLogin SCIM 集成

跨域身份管理系统 (SCIM) 用于在您的 Bitwarden 组织中自动配置和取消配置成员和群组。

SCIM 集成适用于企业组织。团队组织或未使用与 SCIM 兼容的身份提供程序的客户可以考虑使用目录连接器作为替代的预配方式。

本文将帮助您配置与 OneLogin 的 SCIM 集成。配置涉及同时使用 Bitwarden 网页密码库和 OneLogin 管理员门户。在进行配置时,我们建议您准备好这两样东西,并按照文档规定的顺序完成这些步骤。

启用 SCIM

您是自托管 Bitwarden 吗?如果是,请在继续操作之前完成这些步骤为您的服务器启用 SCIM

要开始您的 SCIM 集成,请打开您组织的管理SCIM 配置页面:

SCIM 配置

选中启用 SCIM 复选框并记下您的 SCIM URLSCIM API 密钥。在后面的步骤中您将需要使用这两个值。

创建一个 OneLogin 应用程序

如果您的 SSO 登录已在使用此 IdP,请打开现有的企业应用程序并跳至此步骤。否则,继续本部分以创建一个新的应用程序。

在 OneLogin 门户中,导航到 Applications 页面然后选择 Add App 按钮:

添加应用程序

在搜索栏中,输入 SCIM 然后选择 SCIM Provisioner with SAML (SCIM v2 Enterprise) 应用程序:

SCIM Provisioner App

为您的应用程序指定一个专用于 Bitwarden 的 Display Name,然后选择 Save 按钮。

配置

从左侧导航中选择 Configuration 并配置以下信息,其中一些信息需要从 Bitwarden 的 Single Sign-On 和 SCIM Provisioning 界面中检索获取。

SCIM App 配置

应用程序详情

即使您不打算使用单点登录,OneLogin 也会要求您填写 SAML Audience URL SAML Consumer URL 字段。了解在这些字段中应输入的内容。

API 连接

API Connection 部分输入以下值:

应用程序设置

描述

SCIM Base URL

将此字段设置为 SCIM URL(了解更多)。

SCIM Bearer Token

将此字段设置为 SCIM API 密钥(了解更多)。

配置好这些字段后,选择 Save

访问权限

从左侧导航中选择 Access。在 Roles 部分,将应用程序访问权限指派给您希望在 Bitwarden 中配置的所有角色。在您的 Bitwarden 组织中,每个角色都被视为一个群组,指派给任何角色的用户都将包含在每个群组中,包括为他们指派了多个角色。

参数

从左侧导航中选择 Parameters。从表中选择 Groups,启用 Include in User Provisioning 复选框,然后选择 Save 按钮:

Include Groups in User Provisioning

规则

创建一个将 OneLogin 角色映射到 Bitwarden 群组的规则:

1、从左侧导航中选择 Rules

2、选择 Add Rule 按钮以打开 New mapping 对话框:

角色/群组映射

3、为规则起一个 Name,例如 Create Groups from Rules。

4、将 Conditions 留空。

5、在 Actions 部分:

  1. 从第一个下拉列表中选择 Set Groups in <application_name>

  2. 选择 Map from OneLogin 选项。

  3. 从「For each」下拉列表中选择 role

  4. 在「with value that matches」字段中输入 .* 以将所有角色映射到群组,或输入特定角色名称。

6、选择 Save 按钮以完成规则的创建。

测试连接

从左侧导航中选择 Configuration,然后选择 API Status 下的 Enable 按钮:

此测试不会开始配置,但如果应用程序成功从 Bitwarden 获得响应,则会向 Bitwarden 发出 GET 请求并显示 Enabled

启用配置

从左侧导航中选择 Provisioning

在此界面上:

  1. 选中 Enable provisioning 复选框。

  2. When users are deleted in OneLogin... 下拉列表中,选择 Delete

  3. When user accounts are suspended in OneLogin... 下拉菜单中,选择 Suspend

完成后,选择 Save 以触发配置。

完成用户入职

现在您的用户已配置完毕,他们将收到加入组织的邀请。指导您的用户接受邀请,并在接受邀请后,确认他们加入组织

邀请 → 接受 → 确认工作流程有利于解密密钥的握手,以允许用户安全地访问组织密码库数据。

附录

用户属性

Bitwarden 和 OneLogin 的 SCIM Provisioner with SAML (SCIM v2 Enterprise) 应用程序都使用标准的 SCIM v2 属性名称。Bitwarden 将使用以下属性:

  • active

  • emailsª 或 userName

  • displayName

  • externalId

ª -由于 SCIM 允许用户将多个电子邮件地址表示为对象数组,因此 Bitwarden 将使用包含 "primary": true 的对象的 value

最后更新于