SSO FAQ

本文包含了关于 SSO 的常见问题 (FAQ)。有关 SSO 的更多高级信息，请参考关于 SSO。

日常使用

问：更改我的 IdP 密码会更改我的 Bitwarden 主密码吗？

答：不会，当用户更改用于 IdP 的密码时，用户的主密码不会更改。

问：如果我的组织使用 SSO，我仍可以使用主密码验证吗？

答：除非组织已激活要求单点登录身份验证策略，否则具有用户角色的成员仍然可以使用主密码进行身份验证（如果他们有主密码），但某些解密选项可能会移除或阻止他们拥有的主密码。

问：我仍然需要使用 Bitwarden 目录连接器吗？

答：如果您直接在 Bitwarden 中管理 Bitwarden 群组和集合分配，则无需使用目录连接器。但是，如果您希望群组和用户能自动与您的组织目录同步，我们建议将 SSO 登录和目录连接器结合使用以获得最完整的解决方案。

问：每次登录时是否都需要输入 SSO 标识符吗？

答：不需要。将包含标识符的 URL 添加为书签，例如 https://vault.bitwarden.com/#/sso?identifier=my-identifier，这样您就不必每次登录时都输入它。管理员还可以设置声明域名，以便在成员的电子邮件地址具有匹配域名的情况下自动绕过此步骤。

配置

问：SSO 与 SCIM 或目录连接器兼容吗？

答：是的。组织可以选择利用其中任何一个来同步群组和群组成员资格。

问：如何更改预先生成的 SSO 配置的值？

答：通过更改 .bwdata/config.yml 中的 url: 值如何运行 ./bitwarden.sh rebuild 命令以应用您的更改，即可在自托管环境中更改预先生成的 SSO 配置值，包括 SP 实体 ID、SAML 2.0 元数据 URL、ACS URL 和回调路径。

这些无法在云上更改，但云端组织可以设置是从单点登录配置页面生成唯一的还是通用的 SP 实体 ID。

问：SSO 标识符有何用途？

答：SSO 标识符用于指示在某些成员登录流程中使用 SSO 登录组织。该值是人类可读的，并且应该向成员表明它附属于您的组织。管理员可以设置声明域名，以便在成员的电子邮件地址具有匹配域名的情况下自动绕过此步骤。

可支持性

问：Bitwarden 支持 OAuth 2.0吗？

答：Bitwarden 支持 OpenID Connect，但目前不支持 OAuth。

问：SSO 可以在 Bitwarden 自托管服务器上使用吗？

答：可以。只要服务器可以访问您的身份服务器即可。

问：SSO 可以在混合云环境下工作吗？

答：可以。只要服务器可以访问您的身份服务器即可。

问：如果我的身份提供程序离线，用户仍然可以做身份验证吗？

答：如果您的身份提供程序离线，如果成员拥有主密码并且组织的策略选项允许，则可以使用电子邮箱和主密码登录。