OIDC 配置
2、打开设置标签并为您的组织输入一个唯一的标识符。
输入一个标识符
3、退出此页面前保存您的更改。
配置好可以使用后,您需要将这个值分享给用户。
拥有组织标识符后,接下来需要启用并配置您的集成。要启用 SSO 登录:
1、从组织密码库中,导航到管理选项卡并从左侧菜单中选择单点登录:
启用 SSO
2、在单点登录界面,勾选允许 SSO 身份验证复选框。
从这一步开始,实施将因提供程序的不同而不同。跳转到我们的特定实施指南之一,以帮助您完成配置过程:
提供程序 | 指南 |
---|---|
Azure | |
Okta |
以下部分将定义在单点登录配置界面的字段,其与您要集成的 IdP 无关。必须配置的字段将被标记(必填)。
字段 | 描述 |
---|---|
Callback Path | (自动生成)用于验证自动重定向的 URL。对于云托管客户,其始终为 https://sso.bitwarden.com/oidc-signin 。对于自托管实例,这取决于您已配置的服务器 URL,例如 https://your.domain.com/sso/oidc-signin 。 |
Signed Out Callback Path | (自动生成)用于注销自动重定向的 URL。对于云托管客户,其始终为 https://sso.bitwarden.com/oidc-signedout 。对于自 托管实例,这取决于您已配置的服务器 URL,例如 https://your.domain.com/sso/oidc-signedout 。 |
Authority | (必填)您的授权服务器("Authority")的 URL,Bitwarden 将对其进行身份验证。例如 https://your.domain.okta.com/oauth2/default 或 https://login.microsoft.com/<TENANT_ID>/v2.0 。 |
Client ID | |
Client Secret | |
Metadata Address | (如果 Authority 无效则必填)一个元数据 URL,Bitwarden 可以在此访问作为 JSON 对象的授权服务器元数据。例如 https://your.domain.okta.com/oauth2/default/.well-known/oauth-authorization-server 。 |
OIDC Redirect Behavior | (必填)IdP 用于响应来自 Bitwarden 的身份验证请求的方法。选项包括 Form POST 和 Redirect GET。 |
Get Claims From User Info Endpoint | 如果您在 SSO 期间收到 URL 太长错误(HTTP 414)、截断的 URL 和/或失败,请启用此选项。 |
Additional/Custom Scopes | 定义要添加到请求中的自定义范围(逗号分隔)。 |
Additional/Custom User ID Claim Types | 定义用于用户识别的自定义声明类型键(逗号分隔)。定义后,会在返回标准类型之前搜索自定义声明 类型。 |
Additional/Custom Email Claim Types | 定义用于用户电子邮件地址的自定义声明类型键(逗号分隔)。定义后,会在返回标准类型之前搜索自定义声明类型。 |
Additional/Custom Name Claim Types | 定义用于用户全名或显示名称的自定义声明类型键(逗号分隔)。定义后,会在返回标准类型之前搜索自定义声明类型。 |
Requested Authentication Context Class Reference values | 定义身份验证上下文类引用标识符( acr_values )(空格分隔)。按优先顺序列出 acr_values 。 |
Expected “acr” Claim Value in Response | 定义 Bitwarden 在响应中期望和验证的 acr 声明值。 |
帐户布建需要一个电子邮件地址,它可以作为下表中的任何属性或声明被传递。
还强烈建议使用一个唯一的用户标识符。如果没有,将使用电子邮件来链接用户。
属性/声明按优先匹配的顺序排列 ,包括适用的 Fallback:
值 | 声明/属性 | Fallback 声明/属性 |
---|---|---|
Unique ID | Configured Custom User ID Claims
NameID (when not Transient)
urn:oid:0.9.2342.19200300.100.1.1
Sub
UID
UPN
EPPN | |
Email | Configured Custom Email Claims
Email
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
urn:oid:0.9.2342.19200300.100.1.3
Mail
EmailAddress | Preferred_Username
Urn:oid:0.9.2342.19200300.100.1.1
UID |
Name | Configured Custom Name Claims
Name
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
urn:oid:2.16.840.1.113730.3.1.241
urn:oid:2.5.4.3
DisplayName
CN | First Name + “ “ + Last Name (see below) |
First Name | urn:oid:2.5.4.42
GivenName
FirstName
FN
FName
Nickname | |
Last Name | urn:oid:2.5.4.4
SN
Surname
LastName | |
最近更新 8mo ago