与 Azure AD 同步

对应的官方文档地址

本文将帮助您使用目录连接器将您的 Azure Active Directory 中的用户和群组同步到您的 Bitwarden 组织。

Azure AD 设置

在配置目录连接器之前,请从 Microsoft Azure 门户完成以下过程。目录连接器需要从这些过程中获得的信息才能正常运行。

创建应用程序注册

完成以下步骤以为目录连接器创建一个应用程序注册:

  1. 从您的 Microsoft Azure 门户,导航到 Azure Active Directory 资源。

  2. 从左侧导航选择应用注册

  3. 选择新建注册按钮并为您的注册指定一个 Bitwarden 专用名称(比如 bitwarden-dc)。

  4. 选择注册

授予应用程序权限

完成以下步骤以为已创建的应用程序注册授予所需的权限:

  1. 在已创建的 Bitwarden 应用程序中,从左侧导航选择 API 权限

  2. 选择添加权限按钮。

  3. 当提示您选择一个 API 时,选择 Microsoft Graph

  4. 设置如下的委托权限

    • User > User.ReadBasic.All (Read all users’ basic profiles)

    • User > User.Read.All (Read all users’ full profiles)

    • Group > Group.Read.All (Read all groups)、

  5. 设置如下的应用程序权限

    • User > User.Read.All (Read all users’ full profiles)

    • Group > Group.Read.All (Read all groups)

  6. 返回 API 权限页面,选择为 ... 授予管理员同意按钮。

创建应用程序密钥

完成以下步骤以创建目录连接器要使用的密钥:

  1. 在已创建的 Bitwarden 应用程序中,从左侧导航选择证书和密码

  2. 选择新建客户端密码按钮,并添加一个 Bitwarden 专用描述(例如 bitwarden-dc-secret)和到期日期,我们建议选择用不

  3. 填写完成后选择保存

  4. 将密码的复制到安全的地方,稍后将使用它。

[译者注]:注意客户端密码的值必须及时备份,退出此页面后你将无法再次查看。

获取应用程序 ID

完成以下步骤以获取目录连接器要使用的应用程序 ID:

  1. 在已创建的 Bitwarden 应用程序中,从左侧导航选择概览

  2. 应用程序(客户端)ID 复制到安全的地方,稍后将使用它。

获取租户主机名

完成以下步骤以获取目录连接器要使用的租户主机名:

  1. 在 Microsoft Azure 门户的任何地方,从主导航选择目录和订阅筛选器按钮。

  2. 当前目录:的值复制到一个安全的地方,稍后将使用它。

连接到您的目录

完成以下步骤以配置目录连接器使用您的 Azure Active Directory。如果尚未准备好,请执行适当的 Azure AD 设置步骤,然后继续:

  1. 打开目录连接器桌面版应用程序

  2. 导航到 Setting 标签页。

  3. Type 下拉列表中选择 Azure Active Directory。 此部分中的可用字段将根据您选择的类型而变化。

  4. 输入收集到的租户主机名应用程序 ID 以及安全密钥

  5. Account 部分,从下拉列表中选择要连接到您的目录的组织。

配置同步选项

完成配置后,请导航至 More 标签页,然后选择 Clear Sync Cache 按钮,以防止与先前的同步操作发生潜在冲突。有关更多信息,请参阅清除同步缓存

完成以下步骤以配置当使用目录连接器同步时要使用的设置:

  1. 打开目录连接器桌面版应用程序

  2. 导航到 Setting 标签页。

  3. Sync 部分,根据需要配置如下选项:

选项

描述

Interval

自动同步检查的时间间隔(分钟为单位)。

Remove disabled users during sync

选中此框以从 Bitwarden 组织中删除已在您的组织中禁用的用户。

Overwrite existing organization users based on current sync settings

选中此框以始终执行完全同步,如果任何用户不在同步用户集中,则将其从 Bitwarden 组织中移除。

Sync Users

选中此框以将用户同步到您的组织。

选中此框将允许您指定用户筛选器

User Filter

参阅指定同步筛选器

Sync Groups

选中此框以将群组同步到您的组织。

选中此框将允许您指定群组筛选器

Group Filter

参阅指定同步筛选器

指定同步筛选器

使用逗号分隔的列表可根据用户电子邮件、群组名称或群组成员资格在同步中包含或排除:

用户筛选器

User Filter 字段中使用以下筛选语法:

根据电子邮件包含/排除用户

要基于电子邮件地址在同步中包含或排除特定用户:

根据群组成员资格筛选用户

您可以使用 includeGroupexcludeGroup 关键词根据 Azure Active Directory 群组成员资格在同步中包含或排除用户。includeGroupexcludeGroup 使用群组对象 ID,此 ID 可从 Azure 门户中的群组概览页面或通过 Azure AD Powershell 获得:

includeGroup:963b5acd-9540-446c-8e99-29d68fcba8eb,9d05a51c-f173-4087-9741-a7543b0fd3bc
excludeGroup:963b5acd-9540-446c-8e99-29d68fcba8eb,9d05a51c-f173-4087-9741-a7543b0fd3bc

群组筛选器

Group Filter 字段中使用以下筛选语法:

包含/排除群组

要基于群组名称在同步中包含或排除群组:

include:Group A,Group B
exclude:Group A,Group B

根据管理单元(AU)筛选群组

您可以使用 includeadministrativeunitexcludeadministrativeunit 关键词根据已标记的 Azure Active Directory 管理单元(AU)在同步中包含或排除群组。includeadministrativeunitexcludeadministrativeunit 使用管理单元的名称:

includeadministrativeunit:bitwarden
excludeadministrativeunit:not-bitwarden

测试同步

要测试目录连接器是否成功连接到您的目录并返回所需的用户和群组,导航到 Dashboard 标签页并选择 Test Now 按钮。如果成功,则用户和群组将根据指定的同步选项筛选器显示在目录连接器窗口中。

授予的权限最多可能需要 15 分钟才能正确传递到您的应用程序。这之前,您可能会收到 Insufficient privileges to complete the operation(权限不足,无法完成此操作)的错误。

如果你收到 Resource <user id> does not exist or one of its queried reference-property objects are not present 的错误信息,您需要永久删除或还原具有 <user id> 用户。请注意,这个问题在目录连接器的最近版本中得到了修正。如果您仍然遇到此错误,请更新您的应用程序。

测试同步结果

启动自动同步

配置并测试同步选项筛选器后,就可以开始同步了。完成以下步骤以使用目录连接器启动自动同步:

  1. 打开目录连接器桌面版应用程序

  2. 导航到 Dashboard 标签页。

  3. Sync 部分选择 Start Now 按钮。 或者你可以选择 Sync Now 按钮以运行一次性手动同步。

目录连接器将根据配置的同步选项筛选器开始轮询目录。

如果您退出或关闭了目录连接器,自动同步将停止。最小化或隐藏此程序到系统托盘,以保持后台运行。