Esercitazione: Integrazione dell'accesso Single Sign-On (SSO) di Microsoft Entra con EasySSO for Bamboo

  • Articolo

Questa esercitazione descrive come integrare EasySSO for Bamboo con Microsoft Entra ID. Integrando EasySSO for Bamboo con Microsoft Entra ID, è possibile:

  • Controllare in Microsoft Entra ID chi può accedere a Bamboo.
  • Abilitare gli utenti per l'accesso automatico a Bamboo con gli account Microsoft Entra personali.
  • Gestire gli account in un'unica posizione centrale.

Prerequisiti

Per iniziare, sono necessari gli elementi seguenti:

  • Una sottoscrizione di Microsoft Entra. Se non si possiede una sottoscrizione, è possibile ottenere un account gratuito.
  • Sottoscrizione di EasySSO for Bamboo abilitata per l'accesso Single Sign-On (SSO).

Descrizione dello scenario

In questa esercitazione viene configurato e testato l'accesso SSO di Microsoft Entra in un ambiente di test.

  • EasySSO for Bamboo supporta l'accesso SSO avviato da SP e IDP .
  • EasySSO for Bamboo supporta il provisioning utenti JIT .

Per configurare l'integrazione di EasySSO for Bamboo in Microsoft Entra ID, è necessario aggiungere EasySSO for Bamboo dalla raccolta all'elenco di app SaaS gestite.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
  2. Passare a Applicazioni di identità>Applicazioni>aziendali>Nuova applicazione.
  3. Nella sezione Aggiungi dalla raccolta digitare EasySSO for Bamboo nella casella di ricerca.
  4. Selezionare EasySSO for Bamboo nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi che l'app venga aggiunta al tenant.

In alternativa, è anche possibile usare l'Enterprise Configurazione app Wizard. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare ruoli, nonché esaminare la configurazione dell'accesso SSO. Altre informazioni sulle procedure guidate di Microsoft 365.

Configurare e testare l'accesso Single Sign-On di Microsoft Entra per EasySSO for Bamboo

Configurare e testare l'accesso SSO di Microsoft Entra con EasySSO for Bamboo usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Microsoft Entra e l'utente correlato in EasySSO for Bamboo.

Per configurare e testare l'accesso SSO di Microsoft Entra con EasySSO for Bamboo, seguire questa procedura:

  1. Configurare l'accesso Single Sign-On di Microsoft Entra: per consentire agli utenti di usare questa funzionalità.
    1. Creare un utente di test di Microsoft Entra: per testare l'accesso Single Sign-On di Microsoft Entra con B.Simon.
    2. Assegnare l'utente di test di Microsoft Entra : per abilitare B.Simon all'uso dell'accesso Single Sign-On di Microsoft Entra.
  2. Configurare l'accesso Single Sign-On di EasySSO for Bamboo: per configurare le impostazioni di Single Sign-On sul lato applicazione.
    1. Creare l'utente di test di EasySSO for Bamboo: per avere una controparte di B.Simon in EasySSO for Bamboo collegata alla rappresentazione dell'utente in Microsoft Entra.
  3. Testare l'accesso Single Sign-On: per verificare se la configurazione funziona.

Configurare l'accesso Single Sign-On di Microsoft Entra

Seguire questa procedura per abilitare l'accesso Single Sign-On di Microsoft Entra.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.

  2. Passare ad Applicazioni di identità>Applicazioni>aziendali>EasySSO for Bamboo>Single Sign-On.

  3. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

  4. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona della matita per modificare le impostazioni di Configurazione SAML di base.

    Edit Basic SAML Configuration

  5. Nella sezione Configurazione SAML di base seguire questa procedura se si vuole configurare l'applicazione in modalità avviata da IDP:

    a. Nella casella di testo Identificatore digitare un URL nel formato seguente: https://<SERVER_BASE_URL>/plugins/servlet/easysso/saml

    b. Nella casella di testo URL di risposta digitare un URL nel formato seguente: https://<SERVER_BASE_URL>/plugins/servlet/easysso/saml

  6. Fare clic su Impostare URL aggiuntivi e seguire questa procedura se si vuole configurare l'applicazione in modalità avviata da SP:

    Nella casella di testo URL accesso digitare un URL nel formato seguente: https://<SERVER_BASE_URL>/login.jsp

    Nota

    Poiché questi non sono i valori reali, aggiornarli con l'identificatore, l'URL di risposta e l'URL di accesso effettivi. In caso di dubbi, contattare il team di supporto di EasySSO per ottenere questi valori. È anche possibile fare riferimento ai modelli illustrati nella sezione Configurazione SAML di base.

  7. L'applicazione EasySSO for Bamboo prevede un formato specifico per le asserzioni SAML. È quindi necessario aggiungere mapping di attributi personalizzati alla configurazione degli attributi del token SAML. Lo screenshot seguente mostra l'elenco degli attributi predefiniti.

    image

  8. Oltre quelli elencati in precedenza, l'applicazione EasySSO for Bamboo prevede il passaggio di altri attributi nella risposta SAML. Tali attributi sono indicati di seguito. Anche questi attributi vengono prepopolati, ma è possibile esaminarli in base ai requisiti.

    Nome Attributo di origine
    urn:oid:0.9.2342.19200300.100.1.1 user.userprincipalname
    urn:oid:0.9.2342.19200300.100.1.3 user.mail
    urn:oid:2.16.840.1.113730.3.1.241 user.displayname
    urn:oid:2.5.4.4 user.surname
    urn:oid:2.5.4.42 user.givenname

    Se gli utenti di Microsoft Entra hanno configurato sAMAccountName , è necessario eseguire il mapping di urn:oid:0.9.2342.19200300.100.1.1su attributo sAMAccountName .

  9. Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML fare clic sui collegamenti di download relativi alle opzioni Certificato (Base64) o XML metadati federazione e salvare una o entrambi nel computer. Tali dati saranno necessari in seguito per configurare EasySSO for Bamboo.

    The Certificate download link

    Se si prevede di eseguire manualmente la configurazione di EasySSO for Bamboo con il certificato, è anche necessario copiare l'URL di accesso e Microsoft Entra Identifier dalla sezione seguente e salvarli nel computer.

Creare un utente di test di Microsoft Entra

In questa sezione verrà creato un utente di test di nome B.Simon.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un utente Amministrazione istrator.
  2. Passare a Utenti>identità>Tutti gli utenti.
  3. Selezionare Nuovo utente Crea nuovo utente> nella parte superiore della schermata.
  4. Nelle proprietà Utente seguire questa procedura:
    1. Nel campo Nome visualizzato immettere B.Simon.
    2. Nel campo Nome entità utente immettere .username@companydomain.extension Ad esempio: B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.
    4. Selezionare Rivedi e crea.
  5. Seleziona Crea.

Assegnare l'utente di test di Microsoft Entra

In questa sezione si abiliterà B.Simon all'uso dell'accesso Single Sign-On concedendole l'accesso a EasySSO for Bamboo.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
  2. Passare ad Applicazioni di identità>Applicazioni>aziendali>EasySSO for Bamboo.
  3. Nella pagina di panoramica dell'app selezionare Utenti e gruppi.
  4. Selezionare Aggiungi utente/gruppo, quindi utenti e gruppi nella finestra di dialogo Aggiungi assegnazione .
    1. Nella finestra di dialogo Utenti e gruppi selezionare B.Simon dall'elenco degli utenti e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.
    2. Se si prevede che agli utenti venga assegnato un ruolo, è possibile selezionarlo nell'elenco a discesa Selezionare un ruolo. Se per questa app non è stato configurato alcun ruolo, il ruolo selezionato è "Accesso predefinito".
    3. Nella finestra di dialogo Aggiungi assegnazione fare clic sul pulsante Assegna.

Configurare l'accesso Single Sign-On di EasySSO for Bamboo

  1. In un'altra finestra del Web browser accedere al sito aziendale di Zoom come amministratore

  2. Passare alla sezione Manage Apps (Gestisci app).

    Manage Apps

  3. Sul lato sinistro individuare EasySSO e fare clic su di esso.

    Easy SSO

  4. Selezionare l'opzione SAML. Verrà visualizzata la sezione di configurazione SAML.

    SAML

  5. Selezionare la scheda Certificates (Certificati) nella parte superiore. Verrà visualizzata la schermata seguente:

    Metadata URL

  6. A questo punto, individuare Il certificato (Base64) o il file di metadati salvato nei passaggi precedenti della configurazione di Microsoft Entra SSO . Per procedere, è possibile scegliere tra diverse opzioni:

    a. Usare il file dei metadati di federazione dell'app scaricato come file locale nel computer. Selezionare il pulsante di opzione Upload (Carica) e seguire la finestra di dialogo di caricamento file specifica del sistema operativo.

    OPPURE

    b. Aprire il file dei metadati di federazione dell'app per visualizzare il contenuto del file in qualsiasi editor di testo normale e copiarlo negli Appunti. Selezionare l'opzione Input e incollare il contenuto degli Appunti nel campo di testo.

    OPPURE

    c. Configurazione completamente manuale. Aprire il certificato (Base64) di federazione dell'app per visualizzare il contenuto del file in qualsiasi editor di testo normale e copiarlo negli Appunti. Incollarlo nel campo di testo IdP Token Signing Certificates (Certificati per la firma di token IdP). Passare quindi alla scheda Generale e compilare i campi URL di associazione POST e ID entità con i rispettivi valori per URL di accesso e Identificatore Microsoft Entra salvati in precedenza.

  7. Fare clic sul pulsante Save (Salva) nella parte inferiore della pagina. Si noterà che il contenuto dei file dei metadati o di certificato viene analizzato nei campi di configurazione. La configurazione di EasySSO for Bamboo è stata completata.

  8. Per un'esperienza di test ottimale, passare alla scheda Look & Feel (Aspetto) e attivare l'opzione SAML Login Button (Pulsante di accesso SAML). In questo modo si abiliterà un pulsante separato nella schermata di accesso di Bamboo specificamente per testare la fine dell'integrazione SAML di Microsoft Entra. È possibile lasciare attivato questo pulsante e configurarne la posizione, il colore e la traduzione anche per la modalità di produzione.

    Look & Feel

    Nota

    In caso di problemi, contattare il team di supporto di EasySSO.

Creare l'utente di test di EasySSO for Bamboo

In questa sezione viene creato un utente di nome Britta Simon in Bamboo. EasySSO for Bamboo supporta il provisioning utenti JIT, che è disabilitato per impostazione predefinita. Per abilitare il provisioning utenti, è necessario selezionare in modo esplicito l'opzione Create user on successful login (Crea utente in caso di accesso riuscito) nella sezione General (Generale) della configurazione del plug-in EasySSO. Se non esiste già un utente in Bamboo, ne viene creato uno nuovo dopo l'autenticazione.

Se, però, non si vuole abilitare il provisioning utenti automatico al primo accesso dell'utente, gli utenti devono esistere già nelle directory utente back-end usate dall'istanza di Bamboo, ad esempio LDAP o Atlassian Crowd.

User provisioning

Testare l'accesso SSO

Flusso di lavoro avviato da IdP

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra usando il App personali.

Quando si fa clic sul riquadro di EasySSO for Bamboo in App personali, si dovrebbe accedere automaticamente all'istanza di Bamboo per cui si è configurato l'accesso SSO. Per altre informazioni su App personali, vedere l'introduzione ad App personali.

Flusso di lavoro avviato da SP

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Microsoft Entra usando il pulsante Bamboo SAML Login (Accesso SAML di Bamboo).

User SAML login

Questo scenario presuppone che sia stata abilitata l'opzione SAML Login Button (Pulsante di accesso SAML) nella scheda Look & Feel (Aspetto) nella pagina di configurazione di EasySSO per Bamboo (vedere sopra). Aprire l'URL di accesso di Bamboo nella modalità in incognito del browser per evitare interferenze con le sessioni esistenti. Fare clic sul pulsante SAML Login (Accesso SAML) e si verrà reindirizzati al flusso di autenticazione utente di Microsoft Entra. Al termine dell'operazione, si verrà reindirizzati di nuovo all'istanza di Bamboo come utente autenticato tramite SAML.

È possibile che si verifichi la schermata seguente dopo il reindirizzamento dall'ID Microsoft Entra.

EasySSO failure screen

In questo caso seguire le istruzioni disponibili in questa pagina per accedere al file atlassian-bamboo.log. I dettagli dell'errore saranno disponibili in base all'ID di riferimento indicato nella pagina di errore EasySSO.

In caso di problemi relativi al digest dei messaggi di log, contattare il team di supporto di EasySSO.

Passaggi successivi

Dopo aver configurato EasySSO for Bamboo, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo sessione con app Microsoft Defender per il cloud.