Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie JIRA SAML SSO von Microsoft mit Microsoft Entra ID integrieren. Die Integration von JIRA SAML SSO by Microsoft in Microsoft Entra ID ermöglicht Folgendes:
- Steuern Sie in Microsoft Entra ID, wer Zugriff auf JIRA SAML SSO by Microsoft hat.
- Ermöglichen Sie Ihren Benutzern, sich automatisch mit ihren Microsoft Entra-Konten bei JIRA SAML SSO anzumelden, das von Microsoft bereitgestellt wird.
- Verwalten Sie Ihre Konten an einem zentralen Ort.
Beschreibung
Verwenden Sie Ihr Microsoft Entra-Konto mit einem Atlassian JIRA-Server, um einmaliges Anmelden zu ermöglichen. Auf diese Weise können sich alle Benutzer in Ihrer Organisation mit den Microsoft Entra-Anmeldeinformationen bei der JIRA-Anwendung anmelden. Dieses Plug-In nutzt SAML 2.0 für den Verbund.
Voraussetzungen
In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:
- Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Falls Sie noch über keins verfügen, können Sie ein kostenloses Konto erstellen.
- Eine der folgenden Rollen:
- JIRA Core und Software 7.0 bis 10.5.1 oder JIRA Service Desk 3.0 bis 5.12.22 sollten unter Windows 64-Bit-Version installiert und konfiguriert werden.
- JIRA-Server ist für HTTPS aktiviert.
- Beachten Sie, dass die unterstützten Versionen für das JIRA-Plug-In weiter unten aufgeführt sind.
- Der JIRA-Server ist über das Internet erreichbar, insbesondere zur Authentifizierung auf der Microsoft Entra-Anmeldeseite. Außerdem sollte er das Token von Microsoft Entra ID erhalten können.
- In JIRA eingerichtete Administratoranmeldeinformationen.
- WebSudo-Deaktivierung in JIRA.
- Erstellter Testbenutzer in der JIRA-Serveranwendung.
Hinweis
Um die Schritte in diesem Artikel zu testen, empfehlen wir die Verwendung einer Produktionsumgebung von JIRA nicht. Testen Sie die Integration zuerst in der Entwicklungs- oder Stagingumgebung der Anwendung, und verwenden Sie erst danach die Produktionsumgebung.
Für die ersten Schritte benötigen Sie Folgendes:
- verwenden Sie Ihre Produktionsumgebung nicht, es sei denn, sie ist erforderlich.
- Abonnement für JIRA SAML SSO by Microsoft, für das einmaliges Anmelden (SSO) aktiviert ist.
Hinweis
Diese Integration kann auch über die Microsoft Entra US Government-Cloud-Umgebung verwendet werden. Sie finden diese Anwendung im Microsoft Entra-Anwendungskatalog für die US Government-Cloud. Sie können sie auf die gleiche Weise wie in der öffentlichen Cloud konfigurieren.
Unterstützte JIRA-Versionen
- JIRA Core und JIRA Software: 7.0 bis 10.5.1.
- JIRA Service Desk 3.0 bis 5.12.22.
- JIRA unterstützt auch 5.2. Weitere Informationen erhalten Sie, wenn Sie microsoft Entra single sign-on für JIRA 5.2 auswählen.
Hinweis
Beachten Sie, dass unser JIRA-Plug-In auch unter Ubuntu Version 16.04 und Linux funktioniert.
Microsoft-SSO-Plug-Ins
Einmaliges Anmelden mit Microsoft Entra ID für JIRA-Rechenzentrumsanwendungen
Einmaliges Anmelden mit Microsoft Entra ID für serverseitige JIRA-Anwendungen
Beschreibung des Szenarios
In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.
- JIRA SAML SSO by Microsoft unterstützt SP-initiiertes einmaliges Anmelden.
Hinzufügen von JIRA SAML SSO by Microsoft aus dem Katalog
Zum Konfigurieren der Integration von JIRA SAML SSO by Microsoft in Microsoft Entra ID müssen Sie JIRA SAML SSO by Microsoft aus der Galerie zu Ihrer Liste der verwalteten SaaS-Apps hinzufügen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
- Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
- Geben Sie im Abschnitt Aus Galerie hinzufügen den Suchbegriff JIRA SAML SSO by Microsoft in das Suchfeld ein.
- Wählen Sie im Ergebnisbereich JIRA SAML SSO by Microsoft aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.
Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.
Konfigurieren und testen Sie das Microsoft Entra Single Sign-On für JIRA SAML SSO von Microsoft
Konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra mit JIRA SAML SSO by Microsoft mithilfe einer Testbenutzerin mit dem Namen B. Simon. Damit einmaliges Anmelden funktioniert, muss eine Linkbeziehung zwischen Microsoft Entra-Benutzenden und den entsprechenden Benutzenden in JIRA SAML SSO by Microsoft eingerichtet werden.
Führen Sie zum Konfigurieren und Testen von Microsoft Entra SSO mit JIRA SAML SSO by Microsoft die folgenden Schritte aus:
- Konfigurieren Sie Microsoft Entra SSO, um Ihren Benutzer*innen die Verwendung dieser Funktion zu ermöglichen.
- Erstellen eines Microsoft Entra-Testbenutzers – zum Testen des einmaligen Anmeldens von Microsoft Entra mit B.Simon.
- Weisen Sie den Microsoft Entra-Testbenutzer zu, um B.Simon die Nutzung von Microsoft Entra Single Sign-On zu ermöglichen.
- Konfigurieren Sie JIRA SAML SSO von Microsoft SSO - um die Anmeldedaten auf der Anwendungsseite für das einmalige Anmelden festzulegen.
- Erstellen eines JIRA SAML SSO by Microsoft-Testbenutzenden – um eine Entsprechung von B.Simon in JIRA SAML SSO by Microsoft zu haben, das mit der Microsoft Entra-Darstellung der Benutzerin verknüpft ist.
- SSO testen, um zu überprüfen, ob die Konfiguration funktioniert
Microsoft Entra SSO konfigurieren
Um das Single Sign-On (SSO) von Microsoft Entra zu aktivieren, gehen Sie wie folgt vor.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie zu Entra ID>Enterprise-Apps>JIRA SAML SSO von Microsoft>Single Sign-On.
Auf der Seite Eine Einzelanmeldemethode auswählen wählen Sie SAML aus.
Wählen Sie auf der Seite Einmaliges Anmelden mit SAML das Stiftsymbol für die SAML-Grundkonfiguration aus, um die Einstellungen zu bearbeiten.
Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus:
a) Geben Sie im Feld Bezeichner eine URL im folgenden Format ein:
https://<domain:port>/
.b. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein:
https://<domain:port>/plugins/servlet/saml/auth
a) Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein:
https://<domain:port>/plugins/servlet/saml/auth
Hinweis
Diese Werte sind nicht real. Sie müssen diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und der Anmelde-URL aktualisieren. Der Port ist optional, sofern es sich um eine benannte URL handelt. Diese Werte werden während der Konfiguration des Jira-Plug-Ins empfangen, das weiter unten im Artikel erläutert wird.
Wählen Sie auf der Seite Einmaliges Anmelden mit SAML einrichten im Abschnitt SAML-Signaturzertifikat die Schaltfläche „Kopieren“ aus, um die App-Verbundmetadaten-URL zu kopieren und auf Ihrem Computer zu speichern.
Das Attribut „Namens-ID“ in Microsoft Entra ID kann jedem gewünschten Benutzerattribut zugeordnet werden, indem der Abschnitt „Attribute und Ansprüche“ bearbeitet wird.
a) Nachdem Sie "Bearbeiten" ausgewählt haben, kann jedes gewünschte Benutzerattribut zugeordnet werden, indem sie "Eindeutiger Benutzerbezeichner(Name ID)" auswählen.
b. Auf dem nächsten Bildschirm kann der gewünschte Attributname wie „user.userprincipalname“ im Dropdownmenü „Quellattribut“ ausgewählt werden.
c. Die Auswahl kann dann gespeichert werden, indem sie oben auf die Schaltfläche "Speichern" klicken.
d. Nun wird das Attribut user.userprincipalname in Microsoft Entra ID als Quelle mit dem Attributnamen "Name ID" in Microsoft Entra verknüpft, der vom SSO-Plug-In mit dem Benutzernamen-Attribut in Atlassian verglichen wird.
Hinweis
Der von Microsoft Azure bereitgestellte SSO-Dienst unterstützt die SAML-Authentifizierung, die die Benutzeridentifikation mithilfe verschiedener Attribute wie Vorname, Nachname, E-Mail-Adresse und Benutzername ausführen kann. Es wird empfohlen, E-Mails nicht als Authentifizierungsattribut zu verwenden, da E-Mail-Adressen nicht immer von der Microsoft Entra-ID überprüft werden. Das Plug-In vergleicht die Werte des Atlassian-Benutzernamenattributs mit dem NameID-Attribut in Microsoft Entra ID, um die gültige Benutzerauthentifizierung zu ermitteln.
Wenn Ihr Azure-Mandant Gastbenutzer umfasst, führen Sie die folgenden Konfigurationsschritte aus:
a) Wählen Sie das Bleistiftsymbol aus, um zum Abschnitt "Attribute & Claims" zu wechseln.
b. Wählen Sie "NameID " im Abschnitt "Attribute & Claims" aus.
c. Legen Sie die Anspruchsbedingungen basierend auf dem Benutzertyp fest.
Hinweis
Geben Sie den NameID-Wert als
user.userprincipalname
für Mitglieder unduser.mail
für externe Gastbenutzer an.d. Speichern Sie die Änderungen und verifizieren Sie das SSO für externe Gastbenutzer.
Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers
Befolgen Sie die Anweisungen im Quickstart zur Erstellung und Zuweisung eines Benutzerkontos, um ein Testbenutzerkonto namens B.Simon zu erstellen.
Konfigurieren Sie JIRA SAML SSO mit Microsoft SSO.
Melden Sie sich in einem anderen Webbrowserfenster bei Ihrer JIRA-Instanz als Administrator an.
Zeigen Sie auf das Zahnrad, und wählen Sie die Option Add-ons aus.
Laden Sie das Plug-In aus dem Microsoft Download Center herunter. Laden Sie das von Microsoft bereitgestellte Plug-In manuell mithilfe des Menüs Add-On hochladen hoch. Das Herunterladen von Plug-Ins wird unter Microsoft-Servicevertrag beschrieben.
Führen Sie die folgenden Schritte aus, um das JIRA-Reverseproxy-Szenario oder das Lastenausgleichsszenario auszuführen:
Hinweis
Sie sollten den Server zunächst mit den folgenden Anweisungen konfigurieren und dann das Plug-In installieren.
a) Fügen Sie das folgende Attribut in connector-Port in der server.xml-Datei der JIRA-Serveranwendung ein.
scheme="https" proxyName="<subdomain.domain.com>" proxyPort="<proxy_port>" secure="true"
b. Ändern Sie Basis-URL in Systemeinstellungen gemäß Proxy/Lastenausgleich.
Sobald das Plug-In installiert ist, wird es im Abschnitt Add-Ons verwalten unter User Installed (Vom Benutzer installiert) angezeigt. Wählen Sie "Konfigurieren" aus, um das neue Plug-In zu konfigurieren.
Führen Sie auf der Konfigurationsseite die folgenden Schritte aus:
Tipp
Stellen Sie sicher, dass der App nur ein Zertifikat zugeordnet wird, um einen Fehler bei der Auflösung der Metadaten zu vermeiden. Bei mehreren Zertifikaten erhält der Administrator nach dem Auflösen der Metadaten eine Fehlermeldung.
a) Fügen Sie im Textfeld "Metadaten-URL" den Wert der Metadaten-URL des App-Verbunds ein, den Sie kopiert haben, und wählen Sie die Schaltfläche " Auflösen" aus . Die IdP-Metadaten-URL wird gelesen, und alle Felder werden aufgefüllt.
b. Kopieren Sie die Werte von Bezeichner, Antwort-URL und Anmelde-URL. Fügen Sie sie anschließend in die Textfelder Bezeichner, Antwort-URL und Anmelde-URL bzw. im Abschnitt Domäne und URLs für JIRA SAML SSO by Microsoft im Azure-Portal ein.
c. Geben Sie in Login Button Name (Name der Anmeldeschaltfläche) den Schaltflächennamen ein, der auf dem Anmeldebildschirm für Ihre Benutzer angezeigt werden soll.
d. Geben Sie unter Login Button Description (Beschreibung der Anmeldeschaltfläche) die Schaltflächenbeschreibung ein, die auf dem Anmeldebildschirm für Ihre Benutzer angezeigt werden soll.
e. Wählen Sie in Standardgruppe die Standardgruppe Ihrer Organisation aus, die neuen Benutzern zugewiesen werden soll. Standardgruppen erleichtern organisierte Zugriffsrechte für neue Benutzerkonten.
f. Wählen Sie unter SAML User ID Locations (Speicherorte der SAML-Benutzer-ID) entweder Benutzer-ID befindet sich im NameIdentifier-Element der Subjektaussage oder Benutzer-ID befindet sich in einem Attributelement aus. Diese ID muss die JIRA-Benutzer-ID sein. Wenn die Benutzer-ID nicht übereinstimmt, erlaubt das System keine Anmeldung von Benutzenden.
Hinweis
Der standardmäßige Speicherort der SAML-Benutzer-ID ist „Name Identifier“. Sie können dies in eine Attributoption ändern und den entsprechenden Attributnamen eingeben.
g. Wenn Sie die Option Benutzer-ID ist in einem Attribute-Element enthalten auswählen, geben Sie unter Attributname den Namen des Attributs ein, in dem die Benutzer-ID erwartet wird.
h. Das Feature Benutzer automatisch erstellen (JIT-Benutzerbereitstellung) automatisiert die Erstellung von Benutzerkonten in autorisierten Webanwendungen, ohne dass eine manuelle Bereitstellung erforderlich ist. Dies reduziert den Verwaltungsaufwand und erhöht die Produktivität. Da JIT auf der Anmeldeantwort von Azure AD basiert, geben Sie die Attributwerte der SAML-Antwort ein, die die E-Mail-Adresse, den Nachnamen und den Vornamen des Benutzers enthalten.
i. Wenn Sie eine Verbunddomäne (z. B. ADFS usw.) mit Microsoft Entra Identität verwenden, wählen Sie die Option "Heimbereichsermittlung aktivieren" aus, und konfigurieren Sie den Domänennamen.
j. Geben Sie in Domänenname den Domänennamen für den Fall einer auf AD FS basierenden Anmeldung ein.
k. Wählen Sie Einmaliges Abmelden aktivieren aus, wenn Benutzer beim Abmelden von JIRA auch bei Microsoft Entra ID abgemeldet werden sollen.
l. Aktivieren Sie Azure-Anmeldung erzwingen, wenn Sie sich nur mit Microsoft Entra ID-Anmeldeinformationen anmelden möchten.
Hinweis
Um das Standardanmeldeformular für die Administratoranmeldung auf der Anmeldeseite zu aktivieren, wenn „Force Azure Login“ (Azure-Login erzwingen) aktiviert ist, fügen Sie den Abfrageparameter in der Browser-URL hinzu.
https://<domain:port>/login.jsp?force_azure_login=false
m. Wenn Sie Ihre lokale Atlassian-Anwendung in einem Anwendungsproxysetup konfiguriert haben, wählen Sie Verwendung des Anwendungsproxys aktivieren aus.
- Führen Sie für das Anwendungsproxy-Setup die Schritte in der Microsoft Entra-Anwendungsproxy-Dokumentation aus.
n. Klicken Sie auf Speichern, um die Einstellungen zu speichern.
Hinweis
Weitere Informationen zur Installation und Problembehandlung finden Sie im Administratorhandbuch zum MS JIRA SSO-Connector. Es gibt auch eine FAQ zu Ihrer Unterstützung.
Erstellen eines JIRA SAML SSO by Microsoft-Testbenutzenden
Um es Microsoft Entra-Benutzenden zu ermöglichen, sich auf dem lokalen JIRA-Server anzumelden, müssen sie in JIRA SAML SSO by Microsoft bereitgestellt werden. Bei JIRA SAML SSO by Microsoft ist die Bereitstellung eine manuelle Aufgabe.
Führen Sie zum Bereitstellen eines Benutzerkontos die folgenden Schritte aus:
Melden Sie sich bei Ihrem lokalen JIRA-Server als Administrator an.
Zeigen Sie auf das Zahnrad, und wählen Sie die Option Benutzerverwaltung aus.
Sie werden zur Seite "Administratorzugriff" umgeleitet, um das Kennwort einzugeben und die Schaltfläche " Bestätigen " auszuwählen.
Wählen Sie im Abschnitt " Benutzerverwaltung " die Option "Benutzer erstellen" aus.
Führen Sie auf der Dialogfeldseite Neuen Benutzer erstellen die folgenden Schritte durch:
a) Geben Sie im Textfeld E-Mail-Adresse die E-Mail-Adresse des Benutzers, z.B. B.simon@contoso.com, ein.
b. Geben Sie im Textfeld Full Name (Vollständiger Name) den vollständigen Namen des Benutzers ein, z. B. „B. Simon“.
c. Geben Sie im Textfeld Benutzername die E-Mail-Adresse des Benutzers, z.B. B.simon@contoso.com, ein.
d. Geben Sie im Textfeld Kennwort das Kennwort des Benutzers ein.
e. Wählen Sie Create User (Benutzer erstellen) aus.
Testen des einmaligen Anmeldens
In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.
Wählen Sie "Diese Anwendung testen" aus. Diese Option leitet Sie von der Microsoft-Anmelde-URL an JIRA SAML SSO um, wo Sie den Anmeldefluss initiieren können.
Rufen Sie direkt die JIRA SAML SSO-Anmelde-URL von Microsoft auf und initiieren Sie dort den Anmeldeprozess.
Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie die Microsoft-Kachel für JIRA SAML SSO in "Meine Apps" auswählen, werden Sie zur Anmelde-URL von JIRA SAML SSO by Microsoft weitergeleitet. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.
Verwandte Inhalte
Nach dem Konfigurieren von JIRA SAML SSO by Microsoft können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung ist eine Erweiterung des bedingten Zugriffs. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.