Guide de l’administrateur d’Atlassian Jira et de Confluence pour Microsoft Entra ID
Vue d’ensemble
Le plug-in d’authentification unique Microsoft Entra permet aux clients Microsoft Entra d’utiliser leur compte professionnel ou scolaire pour se connecter aux produits serveur Atlassian Jira et Confluence. Il implémente l’authentification unique basée sur SAML 2.0.
Fonctionnement
Quand les utilisateurs veulent se connecter à l’application Atlassian Jira ou Confluence, ils voient un bouton Se connecter avec Microsoft Entra ID dans la page de connexion. Quand ils cliquent sur ce bouton, ils doivent se connecter en utilisant la page de connexion de l’organisation Microsoft Entra (c’est-à-dire leur compte professionnel ou scolaire).
Une fois authentifiés, ils sont normalement en mesure de se connecter à l’application. S’ils sont déjà authentifiés avec l’identifiant et le mot de passe de leur compte professionnel ou scolaire, ils se connectent directement à l’application.
La connexion est valable à la fois pour Jira et Confluence. Si les utilisateurs sont connectés à l’application Jira et que Confluence est également ouverte dans la même fenêtre de navigateur, ils ne sont pas obligés de fournir leurs informations d’identification pour l’autre application.
Les utilisateurs peuvent également accéder au produit de la société Atlassian via Mes applications, sous leur compte professionnel ou scolaire. Ils doivent être connectés et aucune information d’identification ne leur est demandée.
Notes
Ce plug-in n’intervient pas dans l’attribution d’utilisateurs.
Public visé
Les administrateurs de Jira et de Confluence peuvent utiliser le plug-in pour activer l’authentification unique en utilisant Microsoft Entra ID.
Hypothèses
- Les instances Jira et Confluence sont compatibles avec le protocole HTTPS.
- Les utilisateurs sont déjà créés dans Jira ou Confluence.
- Les rôles ont déjà été attribués aux utilisateurs dans Jira ou Confluence.
- Les administrateurs ont accès aux informations nécessaires pour configurer le plug-in.
- Jira ou Confluence sont également disponibles à l’extérieur du réseau d’entreprise.
- Le plug-in fonctionne uniquement avec la version locale de Jira et Confluence.
Prérequis
Avant d’installer le plug-in, tenez compte des informations suivantes :
- Jira et Confluence sont installés sur une version Windows 64 bits.
- Les versions de Jira et Confluence sont compatibles avec le protocole HTTPS.
- Jira et Confluence sont disponibles sur Internet.
- Les informations d’identification administrateur sont en place pour Jira et Confluence.
- Les informations d’identification de l’administrateur sont en place pour Microsoft Entra ID.
- WebSudo est désactivé dans Jira et Confluence.
Versions prises en charge de Jira et Confluence
Le plug-in prend en charge les versions suivantes de Jira et Confluence :
- JIRA Core et Software : 6.0 à 9.10.0
- JIRA Service Desk : 3.0.0 à 4.22.1
- JIRA prend également en charge la version 5.2. Pour plus d’informations, cliquez sur Authentification unique Microsoft Entra pour JIRA 5.2.
- Confluence : 5.0 à 5.10
- Confluence : 6.0.1 à 6.15.9
- Confluence : 7.0.1 à 8.5.1.
Installation
Pour installer le plug-in, procédez comme suit :
Connectez-vous à votre instance de Jira ou Confluence en tant qu’administrateur.
Accédez à la console d’administration de Jira ou Confluence, puis sélectionnez Modules complémentaires.
Depuis le Centre de téléchargement Microsoft, téléchargez le plug-in Microsoft SAML SSO pour Jira/ plug-in Microsoft SAML SSO pour Confluence.
La version appropriée du plug-in s’affiche dans les résultats de la recherche.
Sélectionnez le plug-in, puis poursuivez avec l’installation du Gestionnaire de plug-in universel (UPM).
Une fois installé, le plug-in s’affiche dans la section User Installed Add-ons (Modules complémentaires installés par l’utilisateur) de Manage add-ons (Gérer les modules complémentaires) .
Configuration du plug-in
Avant de commencer à utiliser le plug-in, vous devez le configurer. Sélectionnez le plug-in, cliquez sur le bouton Configurer, puis indiquez les détails de la configuration.
L’image suivante montre l’écran de configuration dans Jira et Confluence :
URL de métadonnées : URL permettant d’obtenir les métadonnées de fédération auprès de Microsoft Entra ID.
Identificateurs : URL utilisée par Microsoft Entra ID pour valider la source de la requête. Il est mappé à l’élément Identificateur dans Microsoft Entra ID. Le plug-in déduit automatiquement cette URL sous la forme https://<domain:port>/.
URL de réponse : URL de réponse dans votre fournisseur d’identité (IdP) qui initie la connexion SAML. Il est mappé à l’élément URL de réponse dans Microsoft Entra ID. Le plug-in déduit automatiquement cette URL sous la forme https://<domain:port>/plugins/servlet/saml/auth.
URL d’authentification : URL de connexion dans votre fournisseur d’identité (IdP) qui initie la connexion SAML. Il est mappé à l’élément Connexion dans Microsoft Entra ID. Le plug-in déduit automatiquement cette URL sous la forme https://<domain:port>/plugins/servlet/saml/auth.
ID d'entité de fournisseur d'identité : identifiant d’entité utilisé par votre fournisseur d’identité. Cette case est renseignée quand l’URL des métadonnées est résolue.
URL de connexion : URL de connexion fournie par votre fournisseur d’identité. Cette zone est renseignée à partir de Microsoft Entra ID quand l’URL des métadonnées est résolue.
URL de déconnexion : URL de déconnexion fournie par votre fournisseur d’identité. Cette zone est renseignée à partir de Microsoft Entra ID quand l’URL des métadonnées est résolue.
Certificat X.509 : certificat X.509 de votre fournisseur d’identité. Cette zone est renseignée à partir de Microsoft Entra ID quand l’URL des métadonnées est résolue.
Nom du bouton Connexion : nom du bouton de connexion que votre organisation souhaite que les utilisateurs visualisent sur la page de connexion.
Emplacements des ID utilisateur SAML : emplacement auquel l’ID d’utilisateur Jira ou Confluence est attendu dans la réponse SAML. Il peut apparaître sous la forme NameID ou dans un nom d’attribut personnalisé.
Nom de l’attribut : nom de l’attribut sur lequel l’ID utilisateur est attendu.
Activer la découverte du domaine d’accueil : sélection à effectuer si l’entreprise utilise une connexion basée sur Active Directory Federation Services (AD FS).
Nom de domaine : nom de domaine si la connexion est basée sur AD FS.
Activer la déconnexion unique : sélection à effectuer si vous voulez vous déconnecter de Microsoft Entra ID quand un utilisateur se déconnecte de Jira ou de Confluence.
Cochez l’option Forcer la connexion Azure si vous voulez vous connecter avec les informations d’identification Microsoft Entra uniquement.
Case à cocher Activer l’utilisation du proxy d’application, si vous avez configuré votre application atlassian locale dans une configuration de proxy d’application.
- Pour Configuration du proxy d’application, suivez les étapes décrites dans la documentation du proxy d’application Microsoft Entra.
Notes de publication
JIRA :
| Version du plug-in | Notes de publication | Versions de JIRA prises en charge |
|---|---|---|
| 1.0.20 | Correctifs de bogues : | JIRA Core et Software : |
| Le module complémentaire JIRA SAML SSO redirige vers une URL incorrecte à partir du navigateur mobile. | 7.0.0 à 9.10.0 | |
| Section de marquage de journal après l’activation du plug-in JIRA. | ||
| La date de la dernière connexion d’un utilisateur ne se met pas à jour lorsque celui-ci se connecte au moyen l’authentification unique. | ||
| 1.0.19 | Nouvelle fonctionnalité : | JIRA Core et Software : |
| Prise en charge de proxy d’application : case à cocher sur l’écran Configurer le plug-in pour activer le mode proxy d’application afin de rendre l’URL de réponse modifiable en fonction de la nécessité de pointer le mode proxy d’application afin de rendre l’URL de réponse modifiable selon la nécessité de la pointer vers l’URL du serveur proxy | 6.0 à 9.3.1 | |
| Jira Service Desk : 3.0.0 à 4.22.1 | ||
| 1.0.18 | Correctifs de bogues : | JIRA Core et Software : |
| Correction du bogue pour l’erreur 405 lors du clic sur le bouton Configurer du plug-in Jira Microsoft Entra SSO. | 6.0 à 9.1.0. | |
| Le serveur JIRA ne rend pas correctement la « Page des paramètres du projet ». | JIRA Service Desk : 3.0.0 à 4.22.1 | |
| JIRA ne force pas la connexion Microsoft Entra. Un clic supplémentaire sur un bouton était nécessaire. | ||
| Nous avons apporté un correctif de sécurité dans cette version. Cela vous protège contre la vulnérabilité d’emprunt d’identité d’utilisateur. | ||
| Le problème de déconnexion au service d’assistance JIRA est résolu. |
Confluence :
| Version du plug-in | Notes de publication | Versions de JIRA prises en charge |
|---|---|---|
| 6.3.9 | Correctifs de bogues : | Confluence Server : 7.20.3 à 8.5.1 |
| Erreur système : Le lien de métadonnées ne peut pas être configuré sur les plug-ins d’authentification unique. | ||
| 6.3.8 | Nouvelle fonctionnalité : | Serveur Confluence : 5.0 à 7.20.1 |
| Prise en charge de proxy d’application : case à cocher sur l’écran Configurer le plug-in pour activer le mode proxy d’application afin de rendre l’URL de réponse modifiable en fonction de la nécessité de la pointer vers l’URL du serveur proxy | ||
| 6.3.7 | Correctifs de bogues : | Serveur Confluence : 5.0 à 7.19.0 |
| La fonctionnalité « Forcer la connexion » permet aux administrateurs informatiques de forcer l’authentification Microsoft Entra pour les utilisateurs. De cette façon, les utilisateurs ne verront pas les zones Nom d’utilisateur et Mot de passe et ils seront obligés d’utiliser l’authentification unique. | ||
| « Forcer la connexion » est configurable à partir du plug-in | ||
| Vous pouvez passer la chaîne de domaine à Microsoft Entra ID pour permettre à Microsoft Entra ID de rediriger directement l’utilisateur vers votre serveur de fédération. |
Résolution des problèmes
Vous recevez plusieurs erreurs de certificat : connectez-vous à Microsoft Entra ID et supprimez les différents certificats disponibles pour l’application. Vérifiez qu’il n’en reste qu’un.
Un certificat est sur le point d’expirer dans Microsoft Entra ID : les modules complémentaires prennent en charge la substitution automatique du certificat. Quand un certificat est sur le point d’expirer, un nouveau certificat doit être marqué comme actif, et les certificats inutilisés doivent être supprimés. Quand un utilisateur tente de se connecter à Jira dans ce scénario, le plug-in extrait le nouveau certificat et l’enregistre.
Comment désactiver WebSudo (désactiver la session administrateur sécurisée) :
Pour Jira, les sessions administrateur sécurisées (c’est-à-dire la confirmation du mot de passe avant d’accéder aux fonctions d’administration) sont activées par défaut. Si vous voulez supprimer cette possibilité dans votre instance Jira, indiquez la ligne suivante dans votre fichier jira-config.properties :
jira.websudo.is.disabled = truePour Confluence, suivez les étapes indiquées sur le site de support technique de Confluence.
Les champs censés être renseignés par l’URL des métadonnées ne le sont pas :
Vérifiez si l’URL est correcte. Vérifiez si vous avez mappé le locataire et l’ID d’application qui conviennent.
Accédez à l’URL dans un navigateur et vérifiez si vous recevez le fichier XML des métadonnées de fédération.
Une erreur interne du serveur s'est produite : consultez les journaux d’activité dans le répertoire des journaux d’activité de l’installation. Si vous recevez cette erreur quand l’utilisateur essaie de se connecter en utilisant l’authentification unique Microsoft Entra, vous pouvez partager les journaux avec l’équipe de support technique.
Une erreur du type « Identifiant d’utilisateur introuvable » apparaît lorsque l’utilisateur tente de se connecter : créez l’ID d’utilisateur dans Jira ou Confluence.
Il existe une erreur « Application introuvable » dans Microsoft Entra ID : vérifiez si l’URL appropriée est mappée à l’application dans Microsoft Entra ID.
Vous avez besoin de support : contactez l’équipe d’intégration Microsoft Entra SSO. Elle répond dans un délai de 24 à 48 heures.
Vous pouvez également créer un ticket de support auprès de Microsoft par le biais du portail Azure.
FAQ sur les plug-ins
Reportez-vous aux FAQ ci-dessous si vous avez une requête concernant ce plug-in.
Que fait le plug-in ?
Le plug-in fournit une fonctionnalité d’authentification unique (SSO) pour les logiciels locaux Jira (notamment Jira Core, Jira Software et Jira Service Desk) et Confluence d’Atlassian. Le plug-in fonctionne avec Microsoft Entra ID en tant que fournisseur d’identité (IdP).
Avec quels produits Atlassian le plug-in fonctionne-t-il ?
Le plug-in fonctionne avec les versions locales de Jira et Confluence.
Le plug-in fonctionne-t-il sur les versions cloud ?
Non. Le plug-in prend uniquement en charge les versions locales de Jira et Confluence.
Quelles versions de Jira et Confluence le plug-in prend-il en charge ?
Le plug-in prend en charge les versions suivantes :
- JIRA Core et Software : 6.0 à 9.10.0
- JIRA Service Desk : 3.0.0 à 4.22.1
- JIRA prend également en charge la version 5.2. Pour plus d’informations, cliquez sur Authentification unique Microsoft Entra pour JIRA 5.2.
- Confluence : 5.0 à 5.10
- Confluence : 6.0.1 à 6.15.9
- Confluence : 7.0.1 à 8.5.1.
Le plug-in est-il gratuit ou payant ?
Il s’agit d’un module complémentaire gratuit.
Ai-je besoin de redémarrer Jira ou Confluence après avoir déployé le plug-in ?
Un redémarrage n’est pas nécessaire. Vous pouvez commencer à utiliser le plug-in immédiatement.
Comment obtenir du support pour le plug-in ?
Vous pouvez contacter l’équipe d’intégration Microsoft Entra SSO si vous avez besoin de support pour ce plug-in. Elle répond dans un délai de 24 à 48 heures.
Vous pouvez également créer un ticket de support auprès de Microsoft par le biais du portail Azure.
Le plug-in fonctionne-t-il avec une installation de Jira et Confluence sur Mac ou Ubuntu ?
Nous avons testé le plug-in uniquement sur des installations de Jira et Confluence sur des serveurs Windows 64 bits.
Le plug-in fonctionne-t-il avec des fournisseurs d’identité autres que Microsoft Entra ID ?
Nombre Il fonctionne seulement avec Microsoft Entra ID.
Avec quelle version de SAML le plug-in fonctionne-t-il ?
Il fonctionne avec SAML 2.0.
Le plug-in procède-t-il à l’approvisionnement des utilisateurs ?
Non. Le plug-in fournit uniquement l’authentification unique basée sur SAML 2.0. L’utilisateur doit être provisionné dans l’application avant la connexion avec authentification unique.
Le plug-in prend-il en charge les versions cluster de Jira et Confluence ?
Non. Le plug-in fonctionne avec les versions locales de Jira et Confluence.
Le plug-in fonctionne-t-il avec les versions HTTP de Jira et Confluence ?
Non. Le plug-in fonctionne uniquement avec les installations HTTPS.