" %}
创建应用程序集成
{% endembed %}
在 **New Web App Integration** 界面上,配置以下字段:
| 字段 | 描述 |
| ---------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| App integration name | 为应用程序指定一个专用于 Bitwarden 的名称。 |
| Grant type | 启用以下授权类型:
- 代表自己行事的客户 → Client Credentials
- 代表用户行事的客户 → Authorization Code
|
| Sign-in redirect URIs | 将此字段设置为您的 Callback Path,这可以从 Bitwarden SSO 配置界面获取。
对于云托管客户,其始终为
|
| Sign-out redirect URIs | 将此字段设置为您的 **Signed Out Callback Path**,这可以从 Bitwarden SSO 配置界面获取。 |
| Assignments | 使用此字段指定是所有群组还是仅选定的群组能够使用 Bitwarden SSO 登录。 |
配置完成后,选择 **Next** 按钮。
### 获取客户端凭据
在 Application 界面上,复制新创建的 Okta 应用程序的 **Client ID** 和 **Client secret**:
{% embed url="" %}
应用程序客户端凭据
{% endembed %}
[在下一步中](#back-to-the-web-vault)将需要使用这两个值。
### 获取授权服务器信息
从导航中选择 **Security** → **API**。从 **Authorization Servers** 列表中,选择要用于此实现的服务器。在服务器的 **Settings** 选项卡上,复制 **Issuer** 和 **Metadata URI** 值:
{% embed url="" %}
Okta 授权服务器设置
{% endembed %}
[在下一步中](#back-to-the-web-vault)将需要使用这两个值。
## 返回网页 App
至此,您已在 Okta 管理门户范围内配置好了您所需要的一切。请返回 Bitwarden 网页 App 配置以下字段:
| 字段 | 描述 |
| ------------------------------------------------------- | ----------------------------------------------------------------------- |
| Authority | 为您的授权服务器输入[已获取到到的 Issuer URI](#get-authorization-server-information)。 |
| Client ID | 为您的 Okta 应用程序输入[已获取到的 Client ID](#get-client-credentials)。 |
| Client Secret | 为您的 Okta 应用程序输入[已获取到的 Client secret](#get-client-credentials)。 |
| Metadata Address | 为您的授权服务器输入[已获取到到的 Metadata URI](#get-authorization-server-information)。 |
| OIDC Redirect Behavior | 选择 **Redirect GET**。Okta 目前不支持 Form POST。 |
| Get Claims From User Info Endpoint | 如果您在 SSO 期间收到 URL 太长错误 (HTTP 414)、截断的 URL 和/或失败,请启用此选项。 |
| Additional/Custom Scopes | 定义要添加到请求中的自定义范围(逗号分隔)。 |
| Additional/Custom User ID Claim Types | 为用户标识(逗号分隔)定义自定义声明类型键。定义后,会在返回标准类型之前搜索自定义声明类型。 |
| Additional/Custom Email Claim Types | 为用户的电子邮件地址(逗号分隔)定义自定义声明类型键。定义后,会在返回标准类型之前搜索自定义声明类型。 |
| Additional/Custom Name Claim Types | 为用户的全名或显示名称(逗号分隔)定义自定义声明类型键。定义后,会在返回标准类型之前搜索自定义声明类型。 |
| Requested Authentication Context Class Reference values | 定义身份验证上下文类引用标识符(`acr_values`)(以空格分隔)。按优先顺序列出 `acr_values`。 |
| Expected “acr” Claim Value in Response | 定义 Bitwarden 在响应中期望和验证的 `acr` 声明值。 |
完成这些字段的配置后,**保存**您的工作。
{% hint style="success" %}
您可以通过激活单点登录身份验证策略来要求用户使用 SSO 登录。请注意,这需要先激活单一组织策略。[了解更多](https://help.ppgg.in/docs/admin-console/oversight-visibility/enterprise-policies)。
{% endhint %}
## 测试配置
配置完成后,通过导航到 或 [https://vault.bitwarden.eu](https://vault.bitwarden.eu/),输入您的电子邮箱地址,选择**继续**,然后选择**使用单点登录**按钮来进行测试:
{% embed url="" %}
登录选项界面
{% endembed %}
输入[已配置的组织标识符](https://help.ppgg.in/docs/admin-console/login-with-sso/generic-oidc#step-1-set-an-sso-identifier),然后选择**登录**。如果您的实施已成功配置,您将被重定向到 Okta 登录界面:
{% embed url="" %}
Okta 登录界面
{% endembed %}
使用 Okta 凭据进行身份验证后,输入您的 Bitwarden 主密码以解密您的密码库!
{% hint style="info" %}
Bitwarden 不支持非请求响应,因此从您的 IdP 发起登录会导致错误。SSO 登录流程必须从 Bitwarden 发起。Okta 管理员可以创建一个 [Okta Bookmark App](https://support.okta.com/help/s/article/How-do-you-create-a-bookmark-app?language=en_US),该应用程序将直接链接到 Bitwarden 网页密码库的登录页面。
1. 作为管理员,导航至主导航栏上的 **Applications** 下拉菜单,然后选择 **Applications**。
2. 单击 **Browse App Catalog**。
3. 搜索 **Bookmark App** 然后单击 **Add Integration**。
4. 将以下设置添加到应用程序:
1. 为应用程序命名,例如 **Bitwarden Login**。
2. 在 **URL** 字段中,提供 Bitwarden 客户端的 URL,例如 `https://vault.bitwarden.com/#/login` 或 `your-self-hostedURL.com`。
5. 选择 **Done** 然后返回到应用程序仪表板并编辑新创建的应用程序。
6. 将人员和群组分配给应用程序。您还可以为应用程序分配一个用于最终用户识别的 Logo。Bitwarden Logo 可以从[此处](https://github.com/bitwarden/brand/tree/master)获取。
完成此过程后,分配的人员和群组将在其 Okta 仪表板上拥有一个 Bitwarden 书签应用程序,该应用程序将他们直接链接到 Bitwarden 网页密码库的登录页面。
{% endhint %}