Implementering av Microsoft Entra ID OIDC
Den här artikeln innehåller Azure-specifik hjälp för att konfigurera inloggning med SSO via OpenID Connect (OIDC). För hjälp med att konfigurera inloggning med SSO för en annan OIDC IdP, eller för att konfigurera Microsoft Entra ID via SAML 2.0, se OIDC Configuration eller Microsoft Entra ID SAML Implementation.
Konfiguration innebär att arbeta samtidigt inom Bitwarden-webbappen och Azure Portal. När du fortsätter rekommenderar vi att du har både lättillgängliga och att du slutför stegen i den ordning de är dokumenterade.
Öppna SSO i webbvalvet
Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:
Välj Inställningar → Enkel inloggning från navigeringen:
Om du inte redan har gjort det, skapa en unik SSO-identifierare för din organisation. Annars behöver du inte redigera någonting på den här skärmen ännu, men håll den öppen för enkel referens.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Skapa en appregistrering
I Azure Portal, navigera till Microsoft Entra ID och välj App-registreringar. För att skapa en ny appregistrering, välj knappen Ny registrering:
Fyll i följande fält:
På skärmen Registrera en applikation, ge din app ett Bitwarden-specifikt namn och ange vilka konton som ska kunna använda applikationen. Detta val avgör vilka användare som kan använda Bitwarden-inloggning med SSO.
Välj Autentisering från navigeringen och välj knappen Lägg till en plattform.
Välj webbalternativet på skärmen Konfigurera plattformar och ange din återuppringningsväg i inmatningen för omdirigering av URI:er.
note
Callback Path can be retrieved from the Bitwarden SSO Configuration screen. For cloud-hosted customers, this is https://sso.bitwarden.com/oidc-signin or https://sso.bitwarden.eu/oidc-signin. For self-hosted instances, this is determined by your configured server URL, for example https://your.domain.com/sso/oidc-signin.
Skapa en klienthemlighet
Välj Certifikat och hemligheter från navigeringen och välj knappen Ny klienthemlighet:
Ge certifikatet ett Bitwarden-specifikt namn och välj en utgångsperiod.
Skapa administratörssamtycke
Välj API-behörigheter och klicka på Bevilja administratörssamtycke för{your directory} . Den enda behörighet som behövs läggs till som standard, Microsoft Graph > User.Read.
Tillbaka till webbappen
Vid det här laget har du konfigurerat allt du behöver inom ramen för Azure Portal. Gå tillbaka till Bitwarden-webbappen för att konfigurera följande fält:
Fält | Beskrivning |
|---|---|
Myndighet | Ange |
Klient-ID | Ange App-registreringens Application (klient) ID, som kan hämtas från översiktsskärmen. |
Klienthemlighet | Ange det hemliga värdet för den skapade klienthemligheten. |
Metadataadress | För Azure-implementationer som dokumenterats kan du lämna det här fältet tomt. |
OIDC Redirect Beteende | Välj antingen Form POST eller Redirect GET. |
Få anspråk från slutpunkt för användarinformation | Aktivera det här alternativet om du får URL för långa fel (HTTP 414), trunkerade URL:er och/eller fel under SSO. |
Ytterligare/anpassade omfattningar | Definiera anpassade omfattningar som ska läggas till i begäran (kommaavgränsade). |
Ytterligare/anpassade användar-ID-anspråkstyper | Definiera anpassade nycklar för anspråkstyp för användaridentifiering (kommaavgränsad). När de har definierats, söks efter anpassade anspråkstyper innan de faller tillbaka på standardtyper. |
Ytterligare/anpassade e-postanspråkstyper | Definiera anpassade nycklar för anspråkstyp för användarnas e-postadresser (kommaseparerade). När de har definierats, söks efter anpassade anspråkstyper innan de faller tillbaka på standardtyper. |
Ytterligare/anpassade namnanspråkstyper | Definiera anpassade nycklar för anspråkstyp för användarnas fullständiga namn eller visningsnamn (kommaseparerade). När de har definierats, söks efter anpassade anspråkstyper innan de faller tillbaka på standardtyper. |
Begärda autentiseringskontextklassreferensvärden | Definiera autentiseringskontext Klassreferensidentifierare ( |
Förväntat "acr"-anspråksvärde som svar | Definiera |
När du är klar med att konfigurera dessa fält, spara ditt arbete.
tip
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Ytterligare anpassade anspråkstyper
Om din SSO-konfiguration kräver anpassade anspråkstyper krävs ytterligare steg för att Microsoft Entra ID ska känna igen de icke-standardiserade anspråken.
På Microsoft Entra ID lägger du till en anpassad anspråkstyp genom att navigera till Enterprise-applikationer → Appregistreringar → Tokenkonfiguration.
Välj Lägg till valfritt anspråk och skapa ett nytt valfritt anspråk med ett valt värde.
Microsoft Entra ID custom claim På Bitwarden SSO-konfigurationsskärmen anger du den fullständiga sökvägen för ett anpassat anspråksfält i motsvarande fält för anpassade anspråkstyper. Till exempel:
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn.Välj Spara när du har slutfört konfigurationen.
Testa konfigurationen
När din konfiguration är klar, testa den genom att navigera till https://vault.bitwarden.com, ange din e-postadress och välja knappen Använd enkel inloggning:
Ange den konfigurerade organisationsidentifieraren och välj Logga in. Om din implementering är framgångsrikt konfigurerad kommer du att omdirigeras till Microsofts inloggningsskärm:
När du har autentiserat med dina Azure-uppgifter anger du ditt Bitwarden-huvudlösenord för att dekryptera ditt valv!
note
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.
Nästa steg
Utbilda dina organisationsmedlemmar om hur man använder inloggning med SSO.