Links

OIDC 配置

对应的官方文档地址

第 1 步:设置组织标识符

使用 SSO 验证身份的用户将被要求输入一个组织标识符,该标识符指示要进行身份验证的组织(以及 SSO 集成)。要设置唯一的组织标识符:
1、登录到网页密码库并打开您的组织。
2、打开设置标签并为您的组织输入一个唯一的标识符
输入一个标识符
3、退出此页面前保存您的更改。
配置好可以使用后,您需要将这个值分享给用户。

第 2 步:启用 SSO 登录

拥有组织标识符后,接下来需要启用并配置您的集成。要启用 SSO 登录:
1、从组织密码库中,导航到管理选项卡并从左侧菜单中选择单点登录
启用 SSO
2、在单点登录界面,勾选允许 SSO 身份验证复选框。
3、从类型下拉菜单中,选择 OpenID Connect 选项。如果您打算改用 SAML,请转到 SAML 配置指南
如果您是自托管 Bitwarden,您可以选择性使用成员解密选项。此功能默认情况下被禁用,因此现在继续使用主密码解密,并了解如何在配置完成并成功运行后开始使用 Key Connector

第 3 步:配置

从这一步开始,实施将因提供程序的不同而不同。跳转到我们的特定实施指南之一,以帮助您完成配置过程:
提供程序
指南
Azure
Okta

配置参考资料

以下部分将定义在单点登录配置界面的字段,其与您要集成的 IdP 无关。必须配置的字段将被标记(必填)。
除非您对 OpenID Connect 比较精通,否则我们建议使用上述实施指南之一,而不是使用如下的通用素材。
字段
描述
Callback Path
自动生成)用于验证自动重定向的 URL。对于云托管客户,其始终为 https://sso.bitwarden.com/oidc-signin。对于自托管实例,这取决于您已配置的服务器 URL,例如 https://your.domain.com/sso/oidc-signin
Signed Out Callback Path
自动生成)用于注销自动重定向的 URL。对于云托管客户,其始终为 https://sso.bitwarden.com/oidc-signedout。对于自托管实例,这取决于您已配置的服务器 URL,例如 https://your.domain.com/sso/oidc-signedout
Authority
必填)您的授权服务器("Authority")的 URL,Bitwarden 将对其进行身份验证。例如 https://your.domain.okta.com/oauth2/defaulthttps://login.microsoft.com/<TENANT_ID>/v2.0
Client ID
必填)用于 OIDC 客户端的标识符。此值通常特定于构建的 IdP 应用程序集成,例如 Azure 应用程序注册Okta Web 应用程序
Client Secret
必填)与客户端 ID 结合使用以交换访问令牌的客户端密钥。此值通常特定于构建的 IdP 应用程序集成。例如 Azure 应用程序注册Okta Web 应用程序
Metadata Address
如果 Authority 无效则必填)一个元数据 URL,Bitwarden 可以在此访问作为 JSON 对象的授权服务器元数据。例如 https://your.domain.okta.com/oauth2/default/.well-known/oauth-authorization-server
OIDC Redirect Behavior
必填)IdP 用于响应来自 Bitwarden 的身份验证请求的方法。选项包括 Form POSTRedirect GET
Get Claims From User Info Endpoint
如果您在 SSO 期间收到 URL 太长错误(HTTP 414)、截断的 URL 和/或失败,请启用此选项。
Additional/Custom Scopes
定义要添加到请求中的自定义范围(逗号分隔)。
Additional/Custom User ID Claim Types
定义用于用户识别的自定义声明类型键(逗号分隔)。定义后,会在返回标准类型之前搜索自定义声明类型。
Additional/Custom Email Claim Types
定义用于用户电子邮件地址的自定义声明类型键(逗号分隔)。定义后,会在返回标准类型之前搜索自定义声明类型。
Additional/Custom Name Claim Types
定义用于用户全名或显示名称的自定义声明类型键(逗号分隔)。定义后,会在返回标准类型之前搜索自定义声明类型。
Requested Authentication Context Class Reference values
定义身份验证上下文类引用标识符(acr_values)(空格分隔)。按优先顺序列出 acr_values
Expected “acr” Claim Value in Response
定义 Bitwarden 在响应中期望和验证的 acr 声明值。

OIDC 属性和声明

帐户布建需要一个电子邮件地址,它可以作为下表中的任何属性或声明被传递。
还强烈建议使用一个唯一的用户标识符。如果没有,将使用电子邮件来链接用户。
属性/声明按优先匹配的顺序排列,包括适用的 Fallback:
声明/属性
Fallback 声明/属性
Unique ID
Configured Custom User ID Claims NameID (when not Transient) urn:oid:0.9.2342.19200300.100.1.1 Sub UID UPN EPPN
Email
Configured Custom Email Claims Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress urn:oid:0.9.2342.19200300.100.1.3 Mail EmailAddress
Preferred_Username Urn:oid:0.9.2342.19200300.100.1.1 UID
Name
Configured Custom Name Claims Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name urn:oid:2.16.840.1.113730.3.1.241 urn:oid:2.5.4.3 DisplayName CN
First Name + “ “ + Last Name (see below)
First Name
urn:oid:2.5.4.42 GivenName FirstName FN FName Nickname
Last Name
urn:oid:2.5.4.4 SN Surname LastName