Delen via

Configureer Confluence SAML SSO by Microsoft voor eenmalige aanmelding met Microsoft Entra ID

In dit artikel leert u hoe u Confluence SAML SSO by Microsoft integreert met Microsoft Entra ID. Wanneer u Confluence SAML SSO by Microsoft integreert met Microsoft Entra ID, kunt u het volgende doen:

  • In Microsoft Entra ID beheren wie toegang heeft tot Confluence SAML SSO by Microsoft.
  • Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij Confluence SAML SSO by Microsoft.
  • Beheer uw accounts op één centrale locatie.

Beschrijving:

Gebruik uw Microsoft Entra-account met atlassian Confluence-server om eenmalige aanmelding in te schakelen. Op deze manier kunnen alle gebruikers van uw organisatie de Microsoft Entra-referenties gebruiken om u aan te melden bij de Confluence-toepassing. Deze invoegtoepassing gebruikt SAML 2.0 voor federatie.

Vereisten

In het scenario dat in dit artikel wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:

  • Confluence-servertoepassing geïnstalleerd op een Windows 64-bits server (on-premises of in de IaaS-cloudinfrastructuur).
  • Confluence-server is HTTPS ingeschakeld.
  • In de volgende sectie kunt u zien wat de ondersteunde versies zijn van de Confluence-invoegtoepassing
  • Confluence-server is toegankelijk via internet, met name naar de aanmeldingspagina van Microsoft Entra voor authenticatie, en moet in staat zijn het token van Microsoft Entra ID te ontvangen.
  • Beheerdersreferenties worden ingesteld in Confluence.
  • WebSudo is uitgeschakeld in Confluence.
  • Testgebruiker aangemaakt in de Confluence-applicatie.

Notitie

Als u de stappen in dit artikel wilt testen, raden we u niet aan een productieomgeving van Confluence te gebruiken. Test de integratie eerst in een ontwikkel- of faseringsomgeving van de toepassing en gebruik dan pas de productieomgeving.

Notitie

Deze integratie is ook beschikbaar voor gebruik vanuit de Microsoft Entra US Government Cloud-omgeving. U vindt deze toepassing in de Microsoft Entra US Government Cloud Application Gallery en configureert deze op dezelfde manier als vanuit de openbare cloud.

U hebt het volgende nodig om aan de slag te gaan:

  • gebruik uw productieomgeving niet, tenzij dit nodig is.
  • Een Microsoft Entra-abonnement. Als u geen abonnement hebt, kunt u een gratis account krijgen.
  • Een Confluence SAML SSO-abonnement van Microsoft waarvoor single sign-on (SSO) is ingeschakeld.

Notitie

Raadpleeg dit artikel voor informatie over de configuratie van de toepassingsproxy voor Confluence.

Ondersteunde versies van Confluence

Vanaf dit moment worden de volgende versies van Confluence ondersteund:

  • Confluence: 5.0 tot 5.10
  • Confluence: 6.0.1 tot 6.15.9
  • Confluence: 7.0.1 tot 7.20.3
  • Confluence: 8.0.0 tot 8.9.8
  • Confluence: 9.0.1 tot 9.5.1

Notitie

Houd er rekening mee dat onze Confluence-invoegtoepassing voor het laatst is ondersteund op Ubuntu 16.04, wat niet meer wordt ondersteund. De invoegtoepassing ondersteunt nu alleen Windows.

Beschrijving van scenario

In dit artikel configureer en test je Microsoft Entra SSO in een testomgeving.

  • Confluence SAML SSO door Microsoft ondersteunt een door de Serviceprovider (SP) geïnitieerde eenmalige aanmelding.

Als u de integratie van Confluence SAML SSO by Microsoft in Microsoft Entra ID wilt configureren, moet u Confluence SAML SSO by Microsoft vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.
  2. Blader naar Entra ID>Enterprise-apps>Nieuwe toepassing.
  3. Typ in de sectie Toevoegen uit de galerieConfluence SAML SSO by Microsoft in het zoekvak.
  4. Selecteer Confluence SAML SSO by Microsoft vanuit het resultatenpaneel en voeg vervolgens de app toe. Wacht een paar seconden terwijl de app aan je tenant wordt toegevoegd.

Als alternatief kunt u ook de Enterprise App Configuration-wizard gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Microsoft Entra SSO voor Confluence SAML SSO door Microsoft configureren en testen

Configureer en test Microsoft Entra eenmalige aanmelding met Confluence SAML SSO door Microsoft met behulp van een testgebruiker met de naam B.Simon. SS0 werkt alleen als je een koppelingsrelatie tot stand brengt tussen een Microsoft Entra-gebruiker en de overeenkomende gebruiker in Confluence SAML SSO.

Voer de volgende stappen uit om Microsoft Entra SSO met Confluence SAML SSO by Microsoft te configureren en te testen:

  1. Configureer Microsoft Entra SSO - zodat uw gebruikers deze functie kunnen gebruiken.
    1. Een Microsoft Entra-testgebruiker maken : eenmalige aanmelding van Microsoft Entra testen met B.Simon.
    2. Wijs de Microsoft Entra-testgebruiker toe : om B.Simon in staat te stellen gebruik te maken van eenmalige aanmelding van Microsoft Entra.
  2. Confluence SAML SSO door Microsoft SSO configureren - om de instellingen voor eenmalige aanmelding aan de applicatiezijde te configureren.
    1. Testgebruiker voor Confluence SAML SSO by Microsoft maken : als u een tegenhanger van B.Simon in Confluence SAML SSO by Microsoft wilt hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
  3. Eenmalige aanmelding testen: om te controleren of de configuratie werkt.

Microsoft Entra SSO configureren

Volg deze stappen om Microsoft Entra Single Sign-On in te schakelen.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.

  2. Blader naar Entra ID>Enterprise-apps>Confluence SAML SSO by Microsoft>Single Sign-on.

  3. Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.

  4. Selecteer op de pagina Eenmalige aanmelding instellen met SAML het potloodpictogram voor Standaard-SAML-configuratie om de instellingen te bewerken.

    Schermopname van het bewerken van de standaard SAML-configuratie.

  5. In de sectie Standaard SAML-configuratie voert u de volgende stappen uit:

    een. In het tekstvak Id typt u een URL met het volgende patroon: https://<DOMAIN:PORT>/

    b. In het tekstvak Antwoord-URL typt u een URL met de volgende notatie: https://<DOMAIN:PORT>/plugins/servlet/saml/auth

    Hoofdstuk c. In het tekstvak Aanmeldings-URL typt u een URL met het volgende patroon: https://<DOMAIN:PORT>/plugins/servlet/saml/auth

    Notitie

    Deze waarden zijn niet echt. Werk deze waarden bij met de werkelijke id, antwoord-URL en aanmeldings-URL. 'Port' is optioneel als het een benoemde URL betreft. Deze waarden worden ontvangen tijdens de configuratie van de Confluence-invoegtoepassing, zoals verderop in het artikel wordt uitgelegd.

  6. Selecteer op de pagina Eenmalige aanmelding instellen met SAML in de sectie SAML-handtekeningcertificaat de knop Kopiëren om de URL voor federatieve metagegevens van de app te kopiëren en op uw computer op te slaan.

    Schermopname van de koppeling Certificaat downloaden.

Microsoft Entra-testgebruiker maken en toewijzen

Volg de richtlijnen in de snelstartgids gebruikersaccount maken en toewijzen om een testgebruikersaccount met de naam B.Simon aan te maken.

Confluence SAML SSO configureren met Microsoft SSO

  1. Meld u in een ander browservenster als beheerder aan bij de instantie van Confluence.

  2. Beweeg de muisaanwijzer over het tandwiel en selecteer de Invoegtoepassingen.

    Schermopname die toont de geselecteerde 'Tandwiel' icoon, en 'Invoegtoepassingen' gemarkeerd in het vervolgkeuzemenu.

  3. Download de invoegtoepassing uit het Microsoft Downloadcentrum. Upload de invoegtoepassing van Microsoft handmatig via het menu Upload add-on. Het downloaden van invoegtoepassingen valt onder de Microsoft-serviceovereenkomst.

    Schermopname toont de pagina 'Invoegtoepassingen beheren' waarin de actie 'invoegtoepassing uploaden' is geselecteerd.

  4. Voer de volgende stappen uit voor het omgekeerde proxyscenario of het load balancer-scenario van Confluence:

    Notitie

    U moet de server eerst configureren met de onderstaande instructies en vervolgens de invoegtoepassing installeren.

    een. Voeg het onderstaande kenmerk toe in de connector-poort in het bestand server.xml van de JIRA-servertoepassing.

    scheme="https" proxyName="<subdomain.domain.com>" proxyPort="<proxy_port>" secure="true"

    Schermopname toont het bestand 'server.xml' met het kenmerk dat wordt toegevoegd aan de poort 'connector'.

    b. Wijzig Base URL in System Settings overeenkomstig de proxy/load balancer.

    Schermopname toont de pagina 'Beheer - Instellingen' waarin 'Basis-URL' is gemarkeerd.

  5. Zodra de invoegtoepassing is geïnstalleerd, wordt deze weergegeven bij User Installed in de sectie Manage add-ons. Selecteer Configureren om de nieuwe invoegtoepassing te configureren.

  6. Voer de volgende stappen uit op de configuratiepagina:

    Aanbeveling

    Zorg ervoor dat er maar één certificaat is toegewezen aan de app, zodat er geen fout optreedt bij het omzetten van de metagegevens. Als er meerdere certificaten zijn, krijgt de beheerder een foutmelding bij het omzetten van de metagegevens.

    Schermopname toont de configuratiepagina voor eenmalige aanmelding.

    1. Plak in het tekstvak Metagegevens-URL de waarde App-URL voor federatieve metagegevens die u hebt gekopieerd en selecteer de knop Oplossen. De URL met de IdP-metagegevens wordt gelezen en de overeenkomende velden worden ingevuld.

    2. Kopieer de waarden voor id , antwoord-URL en aanmeldings-URL en plak deze in respectievelijk de vakken Id, Antwoord-URL en Aanmeldings-URL in de sectie Standaard SAML-configuratie .

    3. Typ bij Login Button Name de naam van de knop die gebruikers van uw organisatie moeten zien op het aanmeldingsscherm.

    4. Typ bij Beschrijving knop voor Aanmelden de beschrijving van de knop die gebruikers van uw organisatie moeten zien op het aanmeldingsscherm.

    5. Selecteer in De standaardgroep De standaardgroep van uw organisatie selecteren om toe te wijzen aan nieuwe gebruikers (Standaardgroepen faciliteren georganiseerde toegangsrechten voor een nieuw gebruikersaccount).

    6. In de functie Automatisch gebruikers aanmaken (JIT User Provisioning): Het automatiseert het aanmaken van gebruikersaccounts in geautoriseerde webtoepassingen, zonder dat handmatige inrichting nodig is. Dit vermindert de administratieve werkbelasting en verhoogt de productiviteit. Omdat JIT afhankelijk is van het aanmeldingsantwoord van Azure AD, voert u de waarden voor het SAML-antwoordkenmerk in, waaronder het e-mailadres, de achternaam en de voornaam van de gebruiker.

    7. Selecteer in SAML User ID Locations ofwel User ID bevindt zich in het NameIdentifier-element van de Subject-verklaring of User ID bevindt zich in een Attribuut-element. Deze id moet de gebruikers-id van Confluence zijn. Als de gebruikers-id niet overeenkomt, staat het systeem niet toe dat gebruikers zich aanmelden.

      Notitie

      De standaardlocatie van de SAML-gebruikers-id is de Name Identifier. U kunt dit wijzigen in een kenmerkoptie en de juiste kenmerknaam invoeren.

    8. Als u de optie User ID is in an Attribute element selecteert, typt u in het tekstvak Attribute Name de naam van het kenmerk waaruit de gebruikers-id moet worden opgehaald.

    9. Als u het federatieve domein (zoals ADFS, enzovoort) gebruikt met Microsoft Entra-id, selecteert u de optie Home Realm Discovery inschakelen en configureert u de domeinnaam.

    10. Typ bij Domain Name de domeinnaam als het aanmelding op basis van ADFS betreft.

    11. Schakel Eenmalige afmelding inschakelen in als u zich wilt afmelden bij Microsoft Entra ID wanneer een gebruiker zich afmeldt bij Confluence.

    12. Schakel het selectievakje Azure-aanmelding afdwingen in als u zich uitsluitend wilt aanmelden met Microsoft Entra-referenties.

      Notitie

      Om het standaard inlogformulier voor beheerderstoegang op de inlogpagina in te schakelen wanneer 'force azure login' is ingeschakeld, voegt u de queryparameter toe aan de browser-URL. https://<DOMAIN:PORT>/login.action?force_azure_login=false

    13. Schakel het gebruik van toepassingsproxy selectievakje in als u uw on-premises Atlassian-toepassing hebt geconfigureerd in een installatie van een toepassingsproxy. Volg de stappen in de documentatie van de Microsoft Entra-toepassingsproxy voor het instellen van de app-proxy.

    14. Selecteer de knop Opslaan om de instellingen op te slaan.

      Notitie

      Raadpleeg de beheerdershandleiding voor MS Confluence SSO Connector voor meer informatie over de installatie en probleemoplossing. Er is ook een veelgestelde vragen voor uw hulp.

Een Confluence SAML SSO-testgebruiker maken door Microsoft

Als u wilt dat Microsoft Entra-gebruikers zich kunnen aanmelden bij de on-premises server van Confluence, moeten ze worden ingericht in Confluence SAML SSO by Microsoft. In het geval van Confluence SAML SSO by Microsoft is dat een handmatige taak.

Als u een gebruikersaccount wilt inrichten, voert u de volgende stappen uit:

  1. Meld u als beheerder aan bij de on-premises server van Confluence.

  2. Ga met de muis over het tandwiel en selecteer de Gebruikersbeheer.

    Werknemer toevoegen

  3. Selecteer onder de sectie Gebruikers het tabblad Gebruikers toevoegen . Voer op de pagina Dialoogvenster Gebruiker toevoegen de volgende stappen uit:

    Schermopname toont het 'Confluence-beheer', waarin het tabblad 'Gebruikers toevoegen' is geselecteerd en de gegevens van 'Een gebruiker toevoegen' zijn toegevoegd.

    een. In het tekstvak Gebruikersnaam typt u het e-mailadres van de gebruiker, bijvoorbeeld B.Simon.

    b. Typ in het tekstvak Volledige naam de volledige naam van de gebruiker, zoals B.Simon.

    Hoofdstuk c. Typ in het tekstvak E-mail het e-mailadres van de gebruiker, bijvoorbeeld B.Simon@contoso.com.

    d. Typ in het tekstvak Wachtwoord het wachtwoord van B.Simon.

    e. Selecteer Bevestig wachtwoord en voer het wachtwoord opnieuw in.

    f. Selecteer de knop Toevoegen .

SSO testen

In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.

  • Selecteer Deze toepassing testen. Met deze optie wordt u omgeleid naar de aanmeldings-URL van Confluence SAML SSO by Microsoft, waar u de aanmeldingsstroom kunt initiëren.

  • Ga rechtstreeks naar de aanmeldings-URL van Confluence SAML SSO by Microsoft en initieer hier de aanmeldingsstroom.

  • U kunt Microsoft Mijn apps gebruiken. Wanneer u de tegel Confluence SAML SSO by Microsoft selecteert in Mijn apps, wordt deze optie omgeleid naar de aanmeldings-URL van Confluence SAML SSO by Microsoft. Zie Introduction to My Apps (Inleiding tot Mijn apps) voor meer informatie over Mijn apps.

Verwante inhoud

Zodra u Confluence SAML SSO by Microsoft hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.