Freigeben über


Konfigurieren von JIRA SAML SSO durch Microsoft für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie JIRA SAML SSO von Microsoft mit Microsoft Entra ID integrieren. Die Integration von JIRA SAML SSO by Microsoft in Microsoft Entra ID ermöglicht Folgendes:

  • Steuern Sie in Microsoft Entra ID, wer Zugriff auf JIRA SAML SSO by Microsoft hat.
  • Ermöglichen Sie Ihren Benutzern, sich automatisch mit ihren Microsoft Entra-Konten bei JIRA SAML SSO anzumelden, das von Microsoft bereitgestellt wird.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Beschreibung

Verwenden Sie Ihr Microsoft Entra-Konto mit einem Atlassian JIRA-Server, um einmaliges Anmelden zu ermöglichen. Auf diese Weise können sich alle Benutzer in Ihrer Organisation mit den Microsoft Entra-Anmeldeinformationen bei der JIRA-Anwendung anmelden. Dieses Plug-In nutzt SAML 2.0 für den Verbund.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

  • JIRA Core und Software 7.0 bis 10.5.1 oder JIRA Service Desk 3.0 bis 5.12.22 sollten unter Windows 64-Bit-Version installiert und konfiguriert werden.
  • JIRA-Server ist für HTTPS aktiviert.
  • Beachten Sie, dass die unterstützten Versionen für das JIRA-Plug-In weiter unten aufgeführt sind.
  • Der JIRA-Server ist über das Internet erreichbar, insbesondere zur Authentifizierung auf der Microsoft Entra-Anmeldeseite. Außerdem sollte er das Token von Microsoft Entra ID erhalten können.
  • In JIRA eingerichtete Administratoranmeldeinformationen.
  • WebSudo-Deaktivierung in JIRA.
  • Erstellter Testbenutzer in der JIRA-Serveranwendung.

Hinweis

Um die Schritte in diesem Artikel zu testen, empfehlen wir die Verwendung einer Produktionsumgebung von JIRA nicht. Testen Sie die Integration zuerst in der Entwicklungs- oder Stagingumgebung der Anwendung, und verwenden Sie erst danach die Produktionsumgebung.

Für die ersten Schritte benötigen Sie Folgendes:

  • verwenden Sie Ihre Produktionsumgebung nicht, es sei denn, sie ist erforderlich.
  • Abonnement für JIRA SAML SSO by Microsoft, für das einmaliges Anmelden (SSO) aktiviert ist.

Hinweis

Diese Integration kann auch über die Microsoft Entra US Government-Cloud-Umgebung verwendet werden. Sie finden diese Anwendung im Microsoft Entra-Anwendungskatalog für die US Government-Cloud. Sie können sie auf die gleiche Weise wie in der öffentlichen Cloud konfigurieren.

Unterstützte JIRA-Versionen

Hinweis

Beachten Sie, dass unser JIRA-Plug-In auch unter Ubuntu Version 16.04 und Linux funktioniert.

Microsoft-SSO-Plug-Ins

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

  • JIRA SAML SSO by Microsoft unterstützt SP-initiiertes einmaliges Anmelden.

Zum Konfigurieren der Integration von JIRA SAML SSO by Microsoft in Microsoft Entra ID müssen Sie JIRA SAML SSO by Microsoft aus der Galerie zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Galerie hinzufügen den Suchbegriff JIRA SAML SSO by Microsoft in das Suchfeld ein.
  4. Wählen Sie im Ergebnisbereich JIRA SAML SSO by Microsoft aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und testen Sie das Microsoft Entra Single Sign-On für JIRA SAML SSO von Microsoft

Konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra mit JIRA SAML SSO by Microsoft mithilfe einer Testbenutzerin mit dem Namen B. Simon. Damit einmaliges Anmelden funktioniert, muss eine Linkbeziehung zwischen Microsoft Entra-Benutzenden und den entsprechenden Benutzenden in JIRA SAML SSO by Microsoft eingerichtet werden.

Führen Sie zum Konfigurieren und Testen von Microsoft Entra SSO mit JIRA SAML SSO by Microsoft die folgenden Schritte aus:

  1. Konfigurieren Sie Microsoft Entra SSO, um Ihren Benutzer*innen die Verwendung dieser Funktion zu ermöglichen.
    1. Erstellen eines Microsoft Entra-Testbenutzers – zum Testen des einmaligen Anmeldens von Microsoft Entra mit B.Simon.
    2. Weisen Sie den Microsoft Entra-Testbenutzer zu, um B.Simon die Nutzung von Microsoft Entra Single Sign-On zu ermöglichen.
  2. Konfigurieren Sie JIRA SAML SSO von Microsoft SSO - um die Anmeldedaten auf der Anwendungsseite für das einmalige Anmelden festzulegen.
    1. Erstellen eines JIRA SAML SSO by Microsoft-Testbenutzenden – um eine Entsprechung von B.Simon in JIRA SAML SSO by Microsoft zu haben, das mit der Microsoft Entra-Darstellung der Benutzerin verknüpft ist.
  3. SSO testen, um zu überprüfen, ob die Konfiguration funktioniert

Microsoft Entra SSO konfigurieren

Um das Single Sign-On (SSO) von Microsoft Entra zu aktivieren, gehen Sie wie folgt vor.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Entra ID>Enterprise-Apps>JIRA SAML SSO von Microsoft>Single Sign-On.

  3. Auf der Seite Eine Einzelanmeldemethode auswählen wählen Sie SAML aus.

  4. Wählen Sie auf der Seite Einmaliges Anmelden mit SAML das Stiftsymbol für die SAML-Grundkonfiguration aus, um die Einstellungen zu bearbeiten.

    Screenshot: Bearbeiten der grundlegenden SAML-Konfiguration

  5. Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus:

    a) Geben Sie im Feld Bezeichner eine URL im folgenden Format ein: https://<domain:port>/.

    b. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein: https://<domain:port>/plugins/servlet/saml/auth

    a) Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein: https://<domain:port>/plugins/servlet/saml/auth

    Hinweis

    Diese Werte sind nicht real. Sie müssen diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und der Anmelde-URL aktualisieren. Der Port ist optional, sofern es sich um eine benannte URL handelt. Diese Werte werden während der Konfiguration des Jira-Plug-Ins empfangen, das weiter unten im Artikel erläutert wird.

  6. Wählen Sie auf der Seite Einmaliges Anmelden mit SAML einrichten im Abschnitt SAML-Signaturzertifikat die Schaltfläche „Kopieren“ aus, um die App-Verbundmetadaten-URL zu kopieren und auf Ihrem Computer zu speichern.

    Screenshot zeigt den Downloadlink für das Zertifikat.

  7. Das Attribut „Namens-ID“ in Microsoft Entra ID kann jedem gewünschten Benutzerattribut zugeordnet werden, indem der Abschnitt „Attribute und Ansprüche“ bearbeitet wird.

    Screenshot, der zeigt, wie Attribute und Ansprüche bearbeitet werden

    a) Nachdem Sie "Bearbeiten" ausgewählt haben, kann jedes gewünschte Benutzerattribut zugeordnet werden, indem sie "Eindeutiger Benutzerbezeichner(Name ID)" auswählen.

    Screenshot, der die NameID in „Attribute und Ansprüche“ zeigt.

    b. Auf dem nächsten Bildschirm kann der gewünschte Attributname wie „user.userprincipalname“ im Dropdownmenü „Quellattribut“ ausgewählt werden.

    Screenshot, der zeigt, wie Attribute und Ansprüche ausgewählt werden

    c. Die Auswahl kann dann gespeichert werden, indem sie oben auf die Schaltfläche "Speichern" klicken.

    Screenshot, der zeigt, wie Attribute und Ansprüche gespeichert werden

    d. Nun wird das Attribut user.userprincipalname in Microsoft Entra ID als Quelle mit dem Attributnamen "Name ID" in Microsoft Entra verknüpft, der vom SSO-Plug-In mit dem Benutzernamen-Attribut in Atlassian verglichen wird.

    Screenshot, der zeigt, wie Attribute und Ansprüche überprüft werden

    Hinweis

    Der von Microsoft Azure bereitgestellte SSO-Dienst unterstützt die SAML-Authentifizierung, die die Benutzeridentifikation mithilfe verschiedener Attribute wie Vorname, Nachname, E-Mail-Adresse und Benutzername ausführen kann. Es wird empfohlen, E-Mails nicht als Authentifizierungsattribut zu verwenden, da E-Mail-Adressen nicht immer von der Microsoft Entra-ID überprüft werden. Das Plug-In vergleicht die Werte des Atlassian-Benutzernamenattributs mit dem NameID-Attribut in Microsoft Entra ID, um die gültige Benutzerauthentifizierung zu ermitteln.

  8. Wenn Ihr Azure-Mandant Gastbenutzer umfasst, führen Sie die folgenden Konfigurationsschritte aus:

    a) Wählen Sie das Bleistiftsymbol aus, um zum Abschnitt "Attribute & Claims" zu wechseln.

    Screenshot, der zeigt, wie Attribute und Ansprüche bearbeitet werden

    b. Wählen Sie "NameID " im Abschnitt "Attribute & Claims" aus.

    Screenshot, der die NameID in „Attribute und Ansprüche“ zeigt.

    c. Legen Sie die Anspruchsbedingungen basierend auf dem Benutzertyp fest.

    Screenshot: Anspruchsbedingungen.

    Hinweis

    Geben Sie den NameID-Wert als user.userprincipalname für Mitglieder und user.mail für externe Gastbenutzer an.

    d. Speichern Sie die Änderungen und verifizieren Sie das SSO für externe Gastbenutzer.

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Anweisungen im Quickstart zur Erstellung und Zuweisung eines Benutzerkontos, um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren Sie JIRA SAML SSO mit Microsoft SSO.

  1. Melden Sie sich in einem anderen Webbrowserfenster bei Ihrer JIRA-Instanz als Administrator an.

  2. Zeigen Sie auf das Zahnrad, und wählen Sie die Option Add-ons aus.

    Screenshot zeigt die Auswahl von „Erweiterungen“ im Menü „Einstellungen“

  3. Laden Sie das Plug-In aus dem Microsoft Download Center herunter. Laden Sie das von Microsoft bereitgestellte Plug-In manuell mithilfe des Menüs Add-On hochladen hoch. Das Herunterladen von Plug-Ins wird unter Microsoft-Servicevertrag beschrieben.

    Screenshot von „Add-Ons verwalten“ mit hervorgehobenem Link „Add-On hochladen“.

  4. Führen Sie die folgenden Schritte aus, um das JIRA-Reverseproxy-Szenario oder das Lastenausgleichsszenario auszuführen:

    Hinweis

    Sie sollten den Server zunächst mit den folgenden Anweisungen konfigurieren und dann das Plug-In installieren.

    a) Fügen Sie das folgende Attribut in connector-Port in der server.xml-Datei der JIRA-Serveranwendung ein.

    scheme="https" proxyName="<subdomain.domain.com>" proxyPort="<proxy_port>" secure="true"

    Screenshot: Datei „server.xml“ in einem Editor mit hinzugefügter neuer Zeile

    b. Ändern Sie Basis-URL in Systemeinstellungen gemäß Proxy/Lastenausgleich.

    Screenshot: Systemeinstellungen, in denen Sie die Basis-URL ändern können

  5. Sobald das Plug-In installiert ist, wird es im Abschnitt Add-Ons verwalten unter User Installed (Vom Benutzer installiert) angezeigt. Wählen Sie "Konfigurieren" aus, um das neue Plug-In zu konfigurieren.

  6. Führen Sie auf der Konfigurationsseite die folgenden Schritte aus:

    Der Screenshot zeigt die Konfigurationsseite für Microsoft Entra Single Sign-On für Jira.

    Tipp

    Stellen Sie sicher, dass der App nur ein Zertifikat zugeordnet wird, um einen Fehler bei der Auflösung der Metadaten zu vermeiden. Bei mehreren Zertifikaten erhält der Administrator nach dem Auflösen der Metadaten eine Fehlermeldung.

    a) Fügen Sie im Textfeld "Metadaten-URL" den Wert der Metadaten-URL des App-Verbunds ein, den Sie kopiert haben, und wählen Sie die Schaltfläche " Auflösen" aus . Die IdP-Metadaten-URL wird gelesen, und alle Felder werden aufgefüllt.

    b. Kopieren Sie die Werte von Bezeichner, Antwort-URL und Anmelde-URL. Fügen Sie sie anschließend in die Textfelder Bezeichner, Antwort-URL und Anmelde-URL bzw. im Abschnitt Domäne und URLs für JIRA SAML SSO by Microsoft im Azure-Portal ein.

    c. Geben Sie in Login Button Name (Name der Anmeldeschaltfläche) den Schaltflächennamen ein, der auf dem Anmeldebildschirm für Ihre Benutzer angezeigt werden soll.

    d. Geben Sie unter Login Button Description (Beschreibung der Anmeldeschaltfläche) die Schaltflächenbeschreibung ein, die auf dem Anmeldebildschirm für Ihre Benutzer angezeigt werden soll.

    e. Wählen Sie in Standardgruppe die Standardgruppe Ihrer Organisation aus, die neuen Benutzern zugewiesen werden soll. Standardgruppen erleichtern organisierte Zugriffsrechte für neue Benutzerkonten.

    f. Wählen Sie unter SAML User ID Locations (Speicherorte der SAML-Benutzer-ID) entweder Benutzer-ID befindet sich im NameIdentifier-Element der Subjektaussage oder Benutzer-ID befindet sich in einem Attributelement aus. Diese ID muss die JIRA-Benutzer-ID sein. Wenn die Benutzer-ID nicht übereinstimmt, erlaubt das System keine Anmeldung von Benutzenden.

    Hinweis

    Der standardmäßige Speicherort der SAML-Benutzer-ID ist „Name Identifier“. Sie können dies in eine Attributoption ändern und den entsprechenden Attributnamen eingeben.

    g. Wenn Sie die Option Benutzer-ID ist in einem Attribute-Element enthalten auswählen, geben Sie unter Attributname den Namen des Attributs ein, in dem die Benutzer-ID erwartet wird.

    h. Das Feature Benutzer automatisch erstellen (JIT-Benutzerbereitstellung) automatisiert die Erstellung von Benutzerkonten in autorisierten Webanwendungen, ohne dass eine manuelle Bereitstellung erforderlich ist. Dies reduziert den Verwaltungsaufwand und erhöht die Produktivität. Da JIT auf der Anmeldeantwort von Azure AD basiert, geben Sie die Attributwerte der SAML-Antwort ein, die die E-Mail-Adresse, den Nachnamen und den Vornamen des Benutzers enthalten.

    i. Wenn Sie eine Verbunddomäne (z. B. ADFS usw.) mit Microsoft Entra Identität verwenden, wählen Sie die Option "Heimbereichsermittlung aktivieren" aus, und konfigurieren Sie den Domänennamen.

    j. Geben Sie in Domänenname den Domänennamen für den Fall einer auf AD FS basierenden Anmeldung ein.

    k. Wählen Sie Einmaliges Abmelden aktivieren aus, wenn Benutzer beim Abmelden von JIRA auch bei Microsoft Entra ID abgemeldet werden sollen.

    l. Aktivieren Sie Azure-Anmeldung erzwingen, wenn Sie sich nur mit Microsoft Entra ID-Anmeldeinformationen anmelden möchten.

    Hinweis

    Um das Standardanmeldeformular für die Administratoranmeldung auf der Anmeldeseite zu aktivieren, wenn „Force Azure Login“ (Azure-Login erzwingen) aktiviert ist, fügen Sie den Abfrageparameter in der Browser-URL hinzu. https://<domain:port>/login.jsp?force_azure_login=false

    m. Wenn Sie Ihre lokale Atlassian-Anwendung in einem Anwendungsproxysetup konfiguriert haben, wählen Sie Verwendung des Anwendungsproxys aktivieren aus.

    n. Klicken Sie auf Speichern, um die Einstellungen zu speichern.

    Hinweis

    Weitere Informationen zur Installation und Problembehandlung finden Sie im Administratorhandbuch zum MS JIRA SSO-Connector. Es gibt auch eine FAQ zu Ihrer Unterstützung.

Erstellen eines JIRA SAML SSO by Microsoft-Testbenutzenden

Um es Microsoft Entra-Benutzenden zu ermöglichen, sich auf dem lokalen JIRA-Server anzumelden, müssen sie in JIRA SAML SSO by Microsoft bereitgestellt werden. Bei JIRA SAML SSO by Microsoft ist die Bereitstellung eine manuelle Aufgabe.

Führen Sie zum Bereitstellen eines Benutzerkontos die folgenden Schritte aus:

  1. Melden Sie sich bei Ihrem lokalen JIRA-Server als Administrator an.

  2. Zeigen Sie auf das Zahnrad, und wählen Sie die Option Benutzerverwaltung aus.

    Screenshot: Auswahl von „Benutzerverwaltung“ im Menü „Einstellungen“

  3. Sie werden zur Seite "Administratorzugriff" umgeleitet, um das Kennwort einzugeben und die Schaltfläche " Bestätigen " auszuwählen.

    Screenshot: Seite „Administratorzugriff“, auf der Sie Ihre Anmeldeinformationen eingeben

  4. Wählen Sie im Abschnitt " Benutzerverwaltung " die Option "Benutzer erstellen" aus.

    Screenshot: Registerkarte „Benutzerverwaltung“, auf der Sie Benutzer erstellen können

  5. Führen Sie auf der Dialogfeldseite Neuen Benutzer erstellen die folgenden Schritte durch:

    Screenshot: Dialogfeld „Neuen Benutzer erstellen“, in dem Sie die Informationen für diesen Schritt eingeben können

    a) Geben Sie im Textfeld E-Mail-Adresse die E-Mail-Adresse des Benutzers, z.B. B.simon@contoso.com, ein.

    b. Geben Sie im Textfeld Full Name (Vollständiger Name) den vollständigen Namen des Benutzers ein, z. B. „B. Simon“.

    c. Geben Sie im Textfeld Benutzername die E-Mail-Adresse des Benutzers, z.B. B.simon@contoso.com, ein.

    d. Geben Sie im Textfeld Kennwort das Kennwort des Benutzers ein.

    e. Wählen Sie Create User (Benutzer erstellen) aus.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

  • Wählen Sie "Diese Anwendung testen" aus. Diese Option leitet Sie von der Microsoft-Anmelde-URL an JIRA SAML SSO um, wo Sie den Anmeldefluss initiieren können.

  • Rufen Sie direkt die JIRA SAML SSO-Anmelde-URL von Microsoft auf und initiieren Sie dort den Anmeldeprozess.

  • Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie die Microsoft-Kachel für JIRA SAML SSO in "Meine Apps" auswählen, werden Sie zur Anmelde-URL von JIRA SAML SSO by Microsoft weitergeleitet. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Nach dem Konfigurieren von JIRA SAML SSO by Microsoft können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung ist eine Erweiterung des bedingten Zugriffs. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.