ADFS OIDC-implementering
Den här artikeln innehåller Active Directory Federation Services (AD FS)-specifik hjälp för att konfigurera inloggning med SSO via OpenID Connect (OIDC). För hjälp med att konfigurera inloggning med SSO för en annan OIDC IdP, eller för att konfigurera AD FS via SAML 2.0, se OIDC Configuration eller ADFS SAML Implementation.
Konfiguration innebär att arbeta samtidigt inom Bitwarden-webbappen och AD FS Server Manager. När du fortsätter rekommenderar vi att du har både lättillgängliga och att du slutför stegen i den ordning de är dokumenterade.
Öppna SSO i webbvalvet
Logga in på Bitwarden-webbappen och öppna administratörskonsolen med hjälp av produktväxlaren:
Välj Inställningar → Enkel inloggning från navigeringen:
Om du inte redan har gjort det, skapa en unik SSO-identifierare för din organisation. Annars behöver du inte redigera någonting på den här skärmen ännu, men håll den öppen för enkel referens.
tip
There are alternative Member decryption options. Learn how to get started using SSO with trusted devices or Key Connector.
Skapa en applikationsgrupp
I Server Manager, navigera till AD FS Management och skapa en ny applikationsgrupp:
I konsolträdet, välj Application Groups och välj Add Application Group från åtgärdslistan.
På guidens välkomstskärm väljer du serverapplikationen som får åtkomst till en webb-API-mall.
AD FS Add Application Group På serverapplikationsskärmen:
AD FS Server Application screen Ge serverapplikationen ett namn.
Notera klientidentifieraren. Du kommer att behöva detta värde i ett efterföljande steg.
Ange en omdirigerings-URI. För molnbaserade kunder är detta
https://sso.bitwarden.com/oidc-signinellerhttps://sso.bitwarden.eu/oidc-signin. För egenvärdiga instanser bestäms detta av din konfigurerade server-URL, till exempelhttps://din.domän.com/sso/oidc-signin.
På skärmen Configure Application Credentials noterar du klienthemligheten. Du kommer att behöva detta värde i ett efterföljande steg.
På skärmen Configure Web API:
AD FS Configure Web API screen Ge Web API ett namn.
Lägg till klientidentifieraren och omdirigerings-URI (se steg 2B. & C.) till identifieringslistan.
På skärmen Apply Access Control Policy, ställ in en lämplig åtkomstkontrollpolicy för applikationsgruppen.
På skärmen Konfigurera programbehörigheter, tillåt omfången
allatclaimsochopenid.
AD FS Configure Application Permissions screen Avsluta guiden Lägg till programgrupp.
Lägg till en omvandlingsanspråksregel
I Server Manager, navigera till AD FS Management och redigera den skapade applikationsgruppen:
Välj Application Groups i konsolträdet.
I listan Programgrupper högerklickar du på den skapade programgruppen och väljer Egenskaper.
I avsnittet Applications, välj Web API och välj Redigera... .
Navigera till fliken Regler för emissionsomvandling och välj knappen Lägg till regel....
På skärmen Välj regeltyp väljer du Skicka LDAP-attribut som anspråk.
På skärmen Konfigurera anspråksregel:
AD FS Configure Claim Rule screen Ge regeln ett Claim-regelnamn.
I rullgardinsmenyn LDAP-attribut väljer du E-postadresser.
Välj E-postadress i rullgardinsmenyn Utgående anspråkstyp.
Välj Slutför.
Tillbaka till webbappen
Vid det här laget har du konfigurerat allt du behöver i tävlingen för AD FS Server Manager. Gå tillbaka till Bitwarden-webbappen för att konfigurera följande fält:
Fält | Beskrivning |
|---|---|
Myndighet | Ange värdnamnet för din AD FS-server med |
Klient-ID | Ange det hämtade klient-ID:t. |
Klienthemlighet | Ange den hämtade klienthemligheten. |
Metadataadress | Ange det angivna auktoritetsvärdet med |
OIDC Redirect Beteende | Välj Redirect GET. |
Få anspråk från slutpunkten för användarinformation | Aktivera det här alternativet om du får URL för långa fel (HTTP 414), trunkerade URL:er och/eller fel under SSO. |
Anpassade omfattningar | Definiera anpassade omfattningar som ska läggas till i begäran (kommaavgränsade). |
Kundanvändar-ID-anspråkstyper | Definiera anpassade nycklar för anspråkstyp för användaridentifiering (kommaavgränsad). När de har definierats, söks efter anpassade anspråkstyper innan de faller tillbaka på standardtyper. |
Typer av anspråk via e-post | Definiera anpassade nycklar för anspråkstyp för användarnas e-postadresser (kommaseparerade). När de har definierats, söks efter anpassade anspråkstyper innan de faller tillbaka på standardtyper. |
Anpassade namnanspråkstyper | Definiera anpassade nycklar för anspråkstyp för användarnas fullständiga namn eller visningsnamn (kommaseparerade). När de har definierats, söks efter anpassade anspråkstyper innan de faller tillbaka på standardtyper. |
Begärda autentiseringskontextklassreferensvärden | Definiera autentiseringskontext Klassreferensidentifierare ( |
Förväntat "acr"-anspråksvärde som svar | Definiera |
När du är klar med att konfigurera dessa fält, spara ditt arbete.
tip
You can require users to log in with SSO by activating the single sign-on authentication policy. Please note, this will require activating the single organization policy as well. Learn more.
Testa konfigurationen
När din konfiguration är klar, testa den genom att navigera till https://vault.bitwarden.com, ange din e-postadress, välja Fortsätt och välja Enterprise Single-On-knappen:
Ange det konfigurerade organisations-ID och välj Logga in. Om din implementering är framgångsrikt konfigurerad omdirigeras du till AD FS SSO-inloggningsskärmen. När du har autentiserat dig med dina AD FS-uppgifter, ange ditt Bitwarden-huvudlösenord för att dekryptera ditt valv!
note
Bitwarden does not support unsolicited responses, so initiating login from your IdP will result in an error. The SSO login flow must be initiated from Bitwarden.