Configurare Atlassian Cloud per l'accesso Single Sign-On con Microsoft Entra ID

Questo articolo illustra come integrare Atlassian Cloud con Microsoft Entra ID. Integrando Atlassian Cloud con Microsoft Entra ID, è possibile:

  • Controllare in Microsoft Entra ID chi può accedere ad Atlassian Cloud.
  • Abilitare gli utenti per l'accesso automatico ad Atlassian Cloud con gli account Microsoft Entra personali.
  • Gestire gli account in un'unica posizione centrale.

Prerequisiti

Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:

  • Sottoscrizione abilitata per l'accesso Single Sign-On (SSO) di Atlassian Cloud.
  • Per abilitare l'accesso Single Sign-On SAML (Security Assertion Markup Language) per i prodotti Atlassian Cloud, è necessario configurare l'accesso Atlassian. Altre informazioni su Atlassian Access.

Nota

Questa integrazione è disponibile anche per l'uso nell'ambiente US Government Cloud di Microsoft Entra. È possibile trovare questa applicazione nella raccolta di applicazioni Microsoft Entra per il Cloud del Governo degli Stati Uniti e configurarla nello stesso modo in cui si fa per il cloud pubblico.

Descrizione dello scenario

In questo articolo viene configurato e testato Microsoft Entra SSO in un ambiente di test.

  • Atlassian Cloud supporta il Single Sign-On (SSO) avviato da SP e IDP.
  • Atlassian Cloud supporta il provisioning e il deprovisioning automatico degli utenti.

Per configurare l'integrazione di Atlassian Cloud in Microsoft Entra ID, è necessario aggiungere Atlassian Cloud dalla raccolta all'elenco di app SaaS gestite.

  1. Accedi al centro amministrativo di Microsoft Entra come almeno un amministratore delle applicazioni cloud.
  2. Passare a Entra ID>App aziendali>Nuova applicazione.
  3. Nella sezione Aggiungi dalla raccolta digitare Atlassian Cloud nella casella di ricerca.
  4. Selezionare Atlassian Cloud nel pannello dei risultati e quindi aggiungere l'app. Attendere alcuni secondi mentre l'app viene aggiunta al tuo tenant.

In alternativa, è anche possibile usare la Configurazione guidata dell'app aziendale. In questa procedura guidata è possibile aggiungere un'applicazione al tenant, aggiungere utenti/gruppi all'app, assegnare i ruoli e procedere alla configurazione dell'accesso SSO. Puoi saperne di più sulle procedure guidate di Microsoft 365 qui.

Configurare e testare Microsoft Entra SSO

Configurare e testare Microsoft Entra SSO con Atlassian Cloud usando un utente di test di nome B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente Microsoft Entra e l'utente correlato in Atlassian Cloud.

Per configurare e testare Microsoft Entra SSO con Atlassian Cloud, seguire questa procedura:

  1. Configurare Microsoft Entra ID con Atlassian Cloud SSO: per consentire agli utenti di usare l'accesso SSO SAML basato su Microsoft Entra ID con Atlassian Cloud.
    1. Creare un utente di test di Microsoft Entra : per testare l'accesso Single Sign-On Microsoft Entra con B.Simon.
    2. Assegna l'utente di test di Microsoft Entra - per consentire a B.Simon di usare l'autenticazione unica di Microsoft Entra.
  2. Creare l'utente di test di Atlassian Cloud: per avere una controparte di B.Simon in Atlassian Cloud collegata alla rappresentazione dell'utente Microsoft Entra.
  3. Testare l'accesso SSO : per verificare se la configurazione funziona.

Configurare Microsoft Entra ID con Atlassian Cloud SSO

Seguire questa procedura per abilitare Microsoft Entra SSO.

  1. In un'altra finestra del Web browser accedere al sito aziendale di Atlassian Cloud come amministratore

  2. Nel portale ATLASSIAN Admin passare a Security>Identity providers>Microsoft Entra ID.

  3. Immettere il nome della directory e selezionare il pulsante Aggiungi .

  4. Selezionare Il pulsante Configura accesso Single Sign-On SAML per connettere il provider di identità all'organizzazione Atlassian.

    Screenshot che mostra la protezione del fornitore di identità.

  5. Accedi al centro amministrativo di Microsoft Entra come almeno un amministratore delle applicazioni cloud.

  6. Naviga a Entra ID>App aziendali>Atlassian Cloud. Trovare la sezione Gestione . In Introduzione selezionare Configura l'accesso Single Sign-On.

  7. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.

  8. Nella pagina Configura Single Sign-On con SAML, scorrere fino a Configura Atlassian Cloud.

    a) Selezionare URL di configurazione.

    b. Copiare il valore URL di accesso dal portale di Azure e incollarlo nella casella di testo URL SSO del provider di identità in Atlassian.

    c. Copiare il valore Identificatore Microsoft Entra dal portale di Azure, incollarlo nella casella di testo Identity provider Entity ID in Atlassian.

    Screenshot mostra i valori di configurazione.

  9. Nella sezione Certificato di firma SAML della pagina Configura single Sign-On con SAML individuare Certificato (Base64) e selezionare Scarica per scaricare il certificato e salvarlo nel computer.

    firma del certificato

    Screenshot mostra il certificato in Azure.

  10. Salvare la configurazione SAML e selezionare Avanti in Atlassian.

  11. Nella sezione Configurazione SAML di base seguire questa procedura.

    a) Copiare Valore dell'URL dell'entità del provider da Atlassian, incollarlo nella casella Identificatore (Entity ID) in Azure e impostarlo come predefinito.

    b. Copiare il valore di Service provider assertion consumer service URL da Atlassian, incollarlo nella casella Reply URL (Assertion Consumer Service URL) in Azure e impostarlo come predefinito.

    c. Selezionare Avanti.

    Screenshot che mostra le immagini del fornitore di servizi.

    Screenshot che mostra i valori del provider di servizi.

  12. L'applicazione Atlassian Cloud prevede un formato specifico per le asserzioni SAML. È quindi necessario aggiungere mapping di attributi personalizzati alla configurazione degli attributi del token SAML. È possibile modificare il mapping degli attributi selezionando l'icona Modifica .

    Attributi

    1. Mapping degli attributi per un tenant Microsoft Entra con una licenza Microsoft 365.

      a) Selezionare la dichiarazione Identificatore univoco utente (Name ID).

      attributi e attestazioni

      b. Atlassian Cloud prevede il mapping di nameidentifier (identificatore utente univoco) al messaggio di posta elettronica dell'utente (user.mail). Modificare l'attributo Source e sostituirlo con user.mail. Salvare le modifiche apportate all'attestazione.

      ID utente univoco

      c. Le mappature finali degli attributi dovrebbero apparire come segue.

      immagine 2

    2. Mappatura degli attributi per un tenant di Microsoft Entra senza una licenza di Microsoft 365.

      a) Selezionare la http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress dichiarazione.

      immagine 3

      b. Anche se Azure non popola l'attributo user.mail per gli utenti creati in tenant Microsoft Entra senza licenze Microsoft 365 e archivia il messaggio di posta elettronica per tali utenti in userprincipalname. Atlassian Cloud si aspetta che il nameidentifier (identificatore utente univoco) sia mappato sull'email dell'utente (user.userprincipalname). Modificare l'attributo Source e sostituirlo con user.userprincipalname. Salvare le modifiche apportate all'attestazione.

      Impostare un messaggio di posta elettronica

      c. Le mappature finali degli attributi dovrebbero apparire come segue.

      immagine 4

  13. Selezionare Arresta e salva il pulsante SAML .

    Screenshot che mostra l'immagine del salvataggio della configurazione.

  14. Per applicare l'accesso Single Sign-On SAML in un criterio di autenticazione, seguire i passaggi seguenti.

    a) Nel portale di amministrazione di Atlassian selezionare la scheda Sicurezza e selezionare Criteri di autenticazione.

    b. Selezionare Modifica per il criterio da applicare.

    c. In Impostazioni, abilita come Single Sign-On obbligatorio per gli utenti gestiti per un corretto reindirizzamento SAML.

    d. Selezionare Aggiorna.

    Screenshot che mostra i criteri di autenticazione.

    Nota

    Gli amministratori possono testare la configurazione SAML abilitando solo l'SSO imposto per un sottoinsieme di utenti su un criterio di autenticazione separato e quindi abilitando il criterio per tutti gli utenti se non ci sono problemi.

Creare e assegnare un utente di test per Microsoft Entra

Seguire le linee guida nella guida introduttiva crea e assegna un account utente per creare un account utente di test di nome B.Simon.

Creare l'utente di test di Atlassian Cloud

Per consentire agli utenti di Microsoft Entra di accedere ad Atlassian Cloud, eseguire manualmente il provisioning degli account utente in Atlassian Cloud seguendo i seguenti passaggi:

  1. Passare alla scheda Prodotti , selezionare Utenti e selezionare Invita utenti.

    Il link per gli utenti di Atlassian Cloud

  2. Nella casella di testo Indirizzo di posta elettronica immettere l'indirizzo di posta elettronica dell'utente e quindi selezionare Invita utente.

    Creare un utente di Atlassian Cloud

Testare la funzionalità SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On Microsoft Entra con le opzioni seguenti.

Avviato da SP:

  • Selezionare Test this application (Testa questa applicazione), questa opzione reindirizza all'URL di accesso di Atlassian Cloud in cui è possibile avviare il flusso di accesso.

  • Passare direttamente all'URL di accesso di Atlassian Cloud e avviare il flusso di accesso da questa posizione.

Iniziato da IDP:

  • Selezionare Test this application (Testa questa applicazione) e si dovrebbe accedere automaticamente all'istanza di Atlassian Cloud per cui si è configurato l'accesso SSO.

È anche possibile usare Microsoft App personali per testare l'applicazione in qualsiasi modalità. Quando si seleziona il riquadro di Atlassian Cloud nel App personali, se è stato configurato in modalità SP, si dovrebbe essere reindirizzati alla pagina di accesso dell'applicazione per avviare il flusso di accesso e, se configurato in modalità IDP, si dovrebbe accedere automaticamente all'istanza di Atlassian Cloud per cui si è configurato l'accesso SSO. Per altre informazioni sulla App personali, vedere Introduzione al App personali.

Individuare gli utenti esistenti in Atlassian Cloud

Prima dell'integrazione con Microsoft Entra, l'account Atlassian potrebbe avere già uno o più utenti. Usando la funzionalità di individuazione degli account, è possibile generare un report di tutti gli utenti in Atlassian Cloud, identificare gli utenti con account corrispondenti in Entra e quali utenti sono locali di Atlassian Cloud con un solo clic. Altre informazioni sulla funzionalità di individuazione degli account sono disponibili qui. In questo modo è possibile semplificare l'onboarding in Entra, monitorando in modo pereodicmente anche l'accesso non autorizzato.

Contenuto correlato

Dopo aver configurato Atlassian Cloud, è possibile applicare il controllo sessione che consente di proteggere in tempo reale l'esfiltrazione e l'infiltrazione dei dati sensibili dell'organizzazione. Il controllo sessione costituisce un'estensione dell'accesso condizionale. Informazioni su come applicare il controllo sessione con Microsoft Defender for Cloud Apps.

  • Last updated on