# OIDC-konfiguration ## Steg 1: Ställ in en SSO-identifierare Användare som [autentiserar sin identitet med SSO](https://bitwarden.com/sv-se/help/using-sso/#login-using-sso/) kommer att behöva ange en **SSO-identifierare** som anger organisationen (och därför SSO-integrationen) att autentisera mot. Så här ställer du in en unik SSO-identifierare: 1. Logga in på [Bitwarden-webbappen](https://bitwarden.com/sv-se/help/getting-started-webvault/) och öppna administratörskonsolen med hjälp av produktväxlaren: ![Product switcher](https://bitwarden.com/assets/2uxBDdQa6lu0IgIEfcwMPP/e3de3361749b6496155e25edcfdcf08b/2024-12-02_11-19-56.png) 2. Navigera till **Inställningar** → **Enkel inloggning** och ange en unik **SSO-identifierare** för din organisation: ![Enter an identifier ](https://bitwarden.com/assets/6pr4tqMnrLCvwDBMlba5x7/7ef7563f7017f58adffff5d15ac68512/2024-12-04_09-39-25.png) 3. Fortsätt till **steg 2: Aktivera inloggning med SSO**. > [!NOTE] Sharing organization identifier > You will need to share this value with users once the configuration is ready to be used. ## Steg 2: Aktivera inloggning med SSO När du har din SSO-identifierare kan du fortsätta med att aktivera och konfigurera din integration. Så här aktiverar du inloggning med SSO: 1. Markera kryssrutan **Tillåt SSO-autentisering** i **Inställningar** → **Enkel inloggning**: ![OIDC configuration](https://bitwarden.com/assets/51wSToXTHHVmBCrLrE8T0E/85aa432ea19eadf0195317f4f233e973/2024-12-04_09-41-46.png) 2. Från rullgardinsmenyn **Typ** väljer du alternativet **OpenID Connect**. Om du tänker använda SAML istället, växla över [SAML-konfigurationsguiden](https://bitwarden.com/sv-se/help/configure-sso-saml/). > [!TIP] Self-hosting, use alternative Member Decryption Options. > There are alternative **Member decryption options**. Learn how to get started using [SSO with trusted devices](https://bitwarden.com/sv-se/help/about-trusted-devices/) or [Key Connector](https://bitwarden.com/sv-se/help/about-key-connector/). ## Steg 3: Konfiguration Från och med denna tidpunkt kommer implementeringen att variera från leverantör till leverantör. Hoppa till en av våra specifika **implementeringsguider** för hjälp med att slutföra konfigurationsprocessen: | Leverantör | Guide | |------|------| | Azurblå | [Azure Implementation Guide](https://bitwarden.com/sv-se/help/oidc-azure/) | | Okta | [Okta Implementeringsguide](https://bitwarden.com/sv-se/help/oidc-okta/) | ### Referensmaterial för konfiguration Följande avsnitt kommer att definiera fält som är tillgängliga under konfigurationen av enkel inloggning, agnostiskt vilken IdP du integrerar med. Fält som måste konfigureras kommer att markeras (**obligatoriskt**). > [!NOTE] OpenID proficiency > **Unless you are comfortable with OpenID Connect**, we recommend using one of the [above implementation guides](https://bitwarden.com/sv-se/help/configure-sso-oidc/#step-3-configuration/) instead of the following generic material. | **Fält** | **Beskrivning** | |------|------| | Återuppringningsväg | (**Automatiskt genererad**) URL:en för automatisk omdirigering av autentisering. För molnbaserade kunder är detta `https://sso.bitwarden.com/oidc-signin` eller `https://sso.bitwarden.eu/oidc-signin.` För egenvärdiga instanser bestäms detta av din [konfigurerade server-URL](https://bitwarden.com/sv-se/help/install-on-premise/#configure-your-domain/), till exempel `https://din.domän.com/sso/oidc-signin`. | | Utloggad återuppringningsväg | (**Automatiskt genererad**) URL:en för automatisk utloggning. För molnbaserade kunder är detta `https://sso.bitwarden.com/oidc-signedout` eller `https://sso.bitwarden.eu/oidc-signedout`. För egenvärdiga instanser bestäms detta av din [konfigurerade server-URL](https://bitwarden.com/sv-se/help/install-on-premise/#configure-your-domain/), till exempel `https://din.domän.com/sso/oidc-signedout`. | | Myndighet | (**Obligatoriskt**) URL:en till din auktoriseringsserver ("Authority"), som Bitwarden kommer att utföra autentisering mot. Till exempel `https://din.domän.okta.com/oauth2/default `eller `https://login.microsoft.com/ /v2.0`. | | Klient-ID | (**Obligatoriskt**) En identifierare för OIDC-klienten. Detta värde är vanligtvis specifikt för en konstruerad IdP-appintegration, till exempel en [Azure-appregistrering](https://bitwarden.com/sv-se/help/oidc-azure/) eller [Okta-webbapp.](https://bitwarden.com/sv-se/help/oidc-okta/) | | Klienthemlighet | (**Obligatoriskt**) Klienthemligheten som används tillsammans med klient-ID:t för att byta mot en åtkomsttoken. Detta värde är vanligtvis specifikt för en konstruerad IdP-appintegration, till exempel en [Azure-appregistrering ](https://bitwarden.com/sv-se/help/oidc-azure/)eller [Okta Web App](https://bitwarden.com/sv-se/help/oidc-okta/). | | Metadataadress | (**Krävs om auktoriteten inte är giltig**) En metadata-URL där Bitwarden kan komma åt auktoriseringsserverns metadata som ett JSON-objekt. Till exempel, `https://din.domän.okta.com/oauth2/default/.well-known/oauth-authorization-server` | | OIDC Redirect Beteende | (**Obligatoriskt**) Metod som används av IdP för att svara på autentiseringsförfrågningar från Bitwarden. Alternativen inkluderar **Form POST**och **Redirect GET**. | | Få anspråk från slutpunkten för användarinformation | Aktivera det här alternativet om du får URL för långa fel (HTTP 414), trunkerade URL:er och/eller fel under SSO. | | Ytterligare/anpassade omfattningar | Definiera anpassade omfattningar som ska läggas till i begäran (kommaavgränsade). | | Ytterligare/anpassade användar-id-anspråkstyper | Definiera anpassade nycklar för anspråkstyp för användaridentifiering (kommaavgränsad). När de har definierats, söks efter anpassade anspråkstyper innan de faller tillbaka på standardtyper. | | Ytterligare/anpassade e-postanspråkstyper | Definiera anpassade nycklar för anspråkstyp för användarnas e-postadresser (kommaseparerade). När de har definierats, söks efter anpassade anspråkstyper innan de faller tillbaka på standardtyper. | | Ytterligare/anpassade namnanspråkstyper | Definiera anpassade nycklar för anspråkstyp för användarnas fullständiga namn eller visningsnamn (kommaseparerade). När de har definierats, söks efter anpassade anspråkstyper innan de faller tillbaka på standardtyper. | | Begärda referensvärden för autentiseringskontextklass | Definiera autentiseringskontextklassreferensidentifierare (`acr_values`) (mellanslagsavgränsade). Lista `acr_values `i preferens-ordning. | | Förväntat "acr"-anspråksvärde som svar | Definiera ``acr-anspråksvärdet för Bitwarden att förvänta sig och validera i svaret. | ### OIDC-attribut och påståenden En **e-postadress krävs för kontoadministration**, som kan skickas som något av attributen eller anspråken i tabellen nedan. En unik användaridentifierare rekommenderas också starkt. Om frånvarande kommer e-post att användas i dess ställe för att länka användaren. Attribut/anspråk listas i prioritetsordning för matchning, inklusive reservalternativ där tillämpligt: | **Värde** | **Anspråk/attribut** | **Reservanspråk/attribut** | |------|------|------| | Unikt ID | Konfigurerade anpassade användar-ID-anspråk NameID (när det inte är övergående) urn:oid:0.9.2342.19200300.100.1.1 Sub UID UPN EPPN | | | E-post | Konfigurerade anpassade e-postanspråk E-post http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress urn:oid:0.9.2342.19200300.100.1.3 Post E-postadress | Preferred_Username Urn:oid:0.9.2342.19200300.100.1.1 UID | | Namn | Konfigurerade anpassade namnanspråk Namn http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name urn:oid:2.16.840.1.113730.3.1.241 urn:oid:2.5.4.3 Visningsnamn CN | Förnamn + " " + Efternamn (se nedan) | | Förnamn | urn:oid:2.5.4.42 GivenName Förnamn FN FName Smeknamn | | | Efternamn | urn:oid:2.5.4.4 SN Efternamn Efternamn | |