Azure OIDC 实施

对应的官方文档地址

本文是专门针对 Azure 用于配置 OpenID 连接(OIDC) 方式的 SSO 登录的帮助。有关其他 OIDC IdP 方式配置 SSO 登录,或配置 SAML 2.0 方式的 Azure 的帮助,请参阅 OIDC 配置Azure SAML 实施

配置需要在 Bitwarden 业务门户和 Azure 门户网站中同时进行。在您继续进行操作时,我们建议您随时准备好并按照记录的顺序完成步骤。

打开业务门户

如果您是直接从 OIDC 配置过来的,您应该已经创建了组织 ID 并且已启用 SSO。如果没有,请按照该文档的第 1 步和第 2 步操作然后返回到本指南。

打开您的业务门户并导航到 SSO 配置界面:

OIDC 配置

你不需要编辑此界面上的任何内容,但要保持打开以方便引用。

创建应用程序注册

在 Azure 门户中,导航到 App registrations 并选择 New registration 按钮:

创建应用注册

Register an application 界面上,为您的应用程序指定一个专用于 Bitwarden 的名称并指定哪些帐户能够使用该应用程序。此选择将决定哪些用户可以使用 Bitwarden SSO 登录。

注册重定向 URI

从导航中选择 Authentication ,然后选择 Add a platform 按钮:

注册重定向 URI

在配置平台界面上选择 Web 选项并在重定向 URI 输入框中输入您的 Callback Path

回调路径可以从 Bitwarden SSO 配置界面中获取。对于云托管客户,这始终为 https://sso.bitwarden.com/oidc-signin。对于自托管实例,这取决于您已配置的服务器 URL,例如为 https://your.domain.com/sso/oidc-signin

创建客户端密钥

从导航中选择 Certificates & secrets,然后选择 New client secret 按钮:

创建客户端密钥

为证书指定一个专用于 Bitwarden 的名称,并选择一个到期时间范围。

Bitwarden 业务门户配置

至此,您已在 Azure 门户范围内配置好了你所需要的一切。回到 Bitwarden 业务门户以配置以下字段:

字段

描述

Authority

输入 https://login.microsoft.com/<TENANT_ID>/v2.0,其中 TENANT_ID 是从应用程序注册的 Overview(概览)界面获取到的 Directory (tenant) ID

Client ID

输入应用程序注册的 Application (client) ID,这可以从 Overview(概览)界面中获取。

Client Secret

输入已创建的客户端密钥Secret Value

Metadata Address

对于 Azure 实现,您可以将此字段留空。

OIDC Redirect Behavior

选择 Form POSTRedirect GET

Get Claims From User Info Endpoint

如果您在 SSO 期间收到 URL 太长错误 (HTTP 414)、截断的 URL 和/或失败,请启用此选项。

Additional/Custom Scopes

定义要添加到请求中的自定义范围(逗号分隔)。

Additional/Custom User ID Claim Types

为用户标识(逗号分隔)定义自定义声明类型键。定义后,会在返回标准类型之前搜索自定义声明类型。

Additional/Custom Email Claim Types

为用户的电子邮件地址(逗号分隔)定义自定义声明类型键。定义后,会在返回标准类型之前搜索自定义声明类型。

Additional/Custom Name Claim Types

为用户的全名或显示名称(逗号分隔)定义自定义声明类型键。定义后,会在返回标准类型之前搜索自定义声明类型。

Requested Authentication Context Class Reference values

定义身份验证上下文类引用标识符(acr_values)(以空格分隔)。按优先顺序列出 acr_values

Expected “acr” Claim Value in Response

定义 Bitwarden 在响应中期望和验证的 acr 声明值。

完成这些字段的配置后,Save(保存)您的工作。

测试配置

配置完成后,通过导航到 https://vault.bitwarden.com 并选择 Enterprise Single Sign-On 按钮来进行测试:

输入已配置的组织标识符,然后选择 Log In。如果您的实现已成功配置,您将被重定向到 Microsoft 登录界面:

Azure 登录界面

使用 Azure 凭据进行身份验证后,输入您的 Bitwarden 主密码以解密您的密码库!