OIDC 配置指南

对应的官方文档地址

第 1 步:设置组织标识符

使用 SSO 验证身份的用户将被要求输入一个组织标识符,该标识符指示要进行身份验证的组织(以及 SSO 集成)。要设置唯一的组织标识符:

1、登录到网页密码库并打开您的组织。

2、打开设置标签并为您的组织输入一个唯一的标识符

3、退出此页面前保存您的更改。

配置好可以使用后,您需要将这个值分享给用户。

第 2 步:启用 SSO 登录

拥有组织标识符后,接下来需要启用并配置您的集成。要启用 SSO 登录:

1、从您的组织密码库界面,导航到 Business Portal

2、从业务门户菜单栏中,检查是否列出了正确的组织,然后选择 Single Sign-On 按钮:

3、勾选 Enabled 复选框。

4、从 Type 下拉菜单中,选择 OpenID Connect 选项。如果您打算改用 SAML,请转到 SAML 配置指南

第 3 步:配置

从这一步开始,实施将因提供程序的不同而不同。跳转到我们的特定实施指南之一,以帮助您完成配置过程:

提供程序

指南

Azure

Azure 实施指南

Okta

Okta 实施指南

配置参考素材

以下部分将定义在 Bitwarden 业务门户中配置的字段,与您要集成的 IdP 无关。必须配置的字段将被标记(必填)。

除非您对 OpenID Connect 比较精通,否则我们建议使用上述实施指南之一,而不是使用如下的通用素材。

字段

描述

Callback Path

自动生成)用于验证自动重定向的 URL。对于云托管客户,其始终为 https://sso.bitwarden.com/oidc-signin。对于自托管实例,这取决于您已配置的服务器 URL,例如 https://your.domain.com/sso/oidc-signin

Signed Out Callback Path

自动生成)用于注销自动重定向的 URL。对于云托管客户,其始终为 https://sso.bitwarden.com/oidc-signedout。对于自托管实例,这取决于您已配置的服务器 URL,例如 https://your.domain.com/sso/oidc-signedout

Authority

必填)您的授权服务器("Authority")的 URL,Bitwarden 将对其进行身份验证。例如 https://your.domain.okta.com/oauth2/defaulthttps://login.microsoft.com/<TENANT_ID>/v2.0

Client ID

必填)用于 OIDC 客户端的标识符。此值通常特定于构建的 IdP 应用程序集成,例如 Azure 应用程序注册Okta Web 应用程序

Client Secret

必填)与客户端 ID 结合使用以交换访问令牌的客户端密钥。此值通常特定于构建的 IdP 应用程序集成。例如 Azure 应用程序注册Okta Web 应用程序

Metadata Address

如果 Authority 无效则必填)一个元数据 URL,Bitwarden 可以在此访问作为 JSON 对象的授权服务器元数据。例如 https://your.domain.okta.com/oauth2/default/.well-known/oauth-authorization-server

OIDC Redirect Behavior

必填)IdP 用于响应来自 Bitwarden 的身份验证请求的方法。选项包括 Form POSTRedirect GET

Get Claims From User Info Endpoint

如果您在 SSO 期间收到 URL 太长错误(HTTP 414)、截断的 URL 和/或失败,请启用此选项。

Additional/Custom Scopes

定义要添加到请求中的自定义范围(逗号分隔)。

Additional/Custom User ID Claim Types

定义用于用户识别的自定义声明类型键(逗号分隔)。定义后,会在返回标准类型之前搜索自定义声明类型。

Additional/Custom Email Claim Types

定义用于用户电子邮件地址的自定义声明类型键(逗号分隔)。定义后,会在返回标准类型之前搜索自定义声明类型。

Additional/Custom Name Claim Types

定义用于用户全名或显示名称的自定义声明类型键(逗号分隔)。定义后,会在返回标准类型之前搜索自定义声明类型。

Requested Authentication Context Class Reference values

定义身份验证上下文类引用标识符(acr_values)(空格分隔)。按优先顺序列出 acr_values

Expected “acr” Claim Value in Response

定义 Bitwarden 在响应中期望和验证的 acr 声明值。

OIDC 属性和声明

帐户布建需要一个电子邮件地址,它可以作为下表中的任何属性或声明被传递。

还强烈建议使用一个唯一的用户标识符。如果没有,将使用电子邮件来链接用户。

属性/声明按优先匹配的顺序排列,包括适用的 Fallback:

声明/属性

Fallback 声明/属性

Unique ID

Configured Custom User ID Claims NameID (when not Transient) urn:oid:0.9.2342.19200300.100.1.1 Sub UID UPN EPPN

Email

Configured Custom Email Claims Email http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress urn:oid:0.9.2342.19200300.100.1.3 Mail EmailAddress

Preferred_Username Urn:oid:0.9.2342.19200300.100.1.1 UID

Name

Configured Custom Name Claims Name http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name urn:oid:2.16.840.1.113730.3.1.241 urn:oid:2.5.4.3 DisplayName CN

First Name + “ “ + Last Name (see below)

First Name

urn:oid:2.5.4.42 GivenName FirstName FN FName Nickname

Last Name

urn:oid:2.5.4.4 SN Surname LastName