Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Z tego artykułu dowiesz się, jak zintegrować aplikację Confluence SAML SSO by Microsoft z microsoft Entra ID. Po zintegrowaniu aplikacji Confluence SAML SSO by Microsoft z usługą Microsoft Entra ID można wykonywać następujące czynności:
- Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do aplikacji Confluence SAML SSO by Microsoft.
- Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Confluence SAML SSO by Microsoft przy użyciu kont Microsoft Entra.
- Zarządzaj kontami w jednej centralnej lokalizacji.
Opis rozwiązania:
Użyj swojego konta Microsoft Entra z serwerem Atlassian Confluence, aby włączyć logowanie jednokrotne. Dzięki temu wszyscy użytkownicy organizacji mogą logować się do aplikacji Confluence przy użyciu poświadczeń firmy Microsoft Entra. Ta wtyczka używa protokołu SAML 2.0 na potrzeby federacji.
Wymagania wstępne
W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:
- Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
- Jedna z następujących ról:
- Aplikacja serwera Confluence zainstalowana na serwerze 64-bitowym systemu Windows (lokalnie lub w infrastrukturze IaaS w chmurze).
- Serwer Confluence jest włączony za pomocą protokołu HTTPS.
- Zwróć uwagę na obsługiwane wersje wtyczki Confluence podane w poniższej sekcji.
- Serwer Confluence jest dostępny w Internecie, w szczególności na stronę logowania Microsoft Entra na potrzeby uwierzytelniania i powinien mieć możliwość odbierania tokenu z Microsoft Entra ID.
- Poświadczenia administratora są konfigurowane w aplikacji Confluence.
- Usługa WebSudo jest wyłączona w aplikacji Confluence.
- Użytkownik testowy utworzony w aplikacji serwera Confluence.
Uwaga
Aby przetestować kroki opisane w tym artykule, nie zalecamy używania środowiska produkcyjnego platformy Confluence. Integrację należy najpierw przetestować w środowisku programistycznym lub przejściowym aplikacji, a dopiero później użyć środowiska produkcyjnego.
Uwaga
Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.
Do rozpoczęcia pracy potrzebne są następujące elementy:
- nie używaj środowiska produkcyjnego, chyba że jest to konieczne.
- Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
- Subskrypcja usługi Confluence SAML SSO od Microsoft z obsługą jednokrotnego logowania.
Uwaga
Aby uzyskać informacje na temat konfiguracji serwera proxy aplikacji dla aplikacji Confluence, zapoznaj się z tym artykułem.
Obsługiwane wersje aplikacji Confluence
Aktualnie obsługiwane są następujące wersje aplikacji Confluence:
- Confluence: od 5.0 do 5.10
- Confluence: od 6.0.1 do 6.15.9
- Confluence: od 7.0.1 do 7.20.3
- Confluence: od 8.0.0 do 8.9.8
- Confluence: od 9.0.1 do 9.5.1
Uwaga
Pamiętaj, że nasza wtyczka Confluence była ostatnio obsługiwana w systemie Ubuntu 16.04, co nie jest już obsługiwane. Wtyczka obsługuje teraz tylko system Windows.
Opis scenariusza
W tym artykule skonfigurujesz i przetestujesz Microsoft Entra SSO w środowisku testowym.
- Aplikacja Confluence SAML SSO by Microsoft obsługuje SSO inicjowane przez SP.
Dodawanie aplikacji Confluence SAML SSO od Microsoft z galerii
Aby skonfigurować integrację aplikacji Confluence SAML SSO by Microsoft z usługą Microsoft Entra ID, należy dodać aplikację Confluence SAML SSO by Microsoft z galerii do listy zarządzanych aplikacji SaaS.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
- Przejdź do Entra ID>aplikacji firmowych>Nowa aplikacja.
- W sekcji Dodawanie z galerii wpisz Confluence SAML SSO by Microsoft w polu wyszukiwania.
- Wybierz pozycję Confluence SAML SSO by Microsoft z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, aż aplikacja zostanie dodana do dzierżawy.
Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do swojego klienta, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o kreatorach Microsoft 365.
Konfiguracja i testowanie Microsoft Entra SSO dla Confluence SAML SSO by Microsoft
Konfigurowanie i testowanie aplikacji Microsoft Entra SSO z aplikacją Confluence SAML SSO by Microsoft przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne (SSO) działało, należy ustanowić relację połączenia między użytkownikiem Microsoft Entra a powiązanym użytkownikiem w Confluence SAML SSO by Microsoft.
Aby skonfigurować i przetestować aplikację Microsoft Entra SSO z aplikacją Confluence SAML SSO by Microsoft, wykonaj następujące kroki:
-
Skonfiguruj Microsoft Entra SSO — aby umożliwić użytkownikom korzystanie z tej funkcji.
- Utwórz użytkownika testowego Microsoft Entra — aby przetestować logowanie jednokrotne Microsoft Entra z B.Simon.
- Przypisz użytkownika testowego Microsoft Entra — aby umożliwić B.Simon korzystanie z logowania jednokrotnego Microsoft Entra.
-
Skonfiguruj aplikację Confluence SAML SSO by Microsoft SSO — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
- Utwórz użytkownika testowego Confluence SAML SSO by Microsoft — aby mieć w Confluence SAML SSO by Microsoft odpowiednik użytkownika B.Simon, który jest połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
- Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.
Konfigurowanie jednokrotnego logowania Microsoft Entra
Wykonaj następujące kroki, aby włączyć logowanie jednokrotne Microsoft Entra.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do Entra ID>Aplikacje przedsiębiorstw>Confluence SAML SSO by Microsoft>Logowanie jednokrotne.
Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę ołówka podstawową konfigurację protokołu SAML , aby edytować ustawienia.
W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:
a. W polu Identyfikator wpisz adres URL, korzystając z następującego wzorca:
https://<DOMAIN:PORT>/
b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca:
https://<DOMAIN:PORT>/plugins/servlet/saml/auth
c. W polu tekstowym Adres URL logowania wpisz adres URL, korzystając z następującego wzorca:
https://<DOMAIN:PORT>/plugins/servlet/saml/auth
Uwaga
Te wartości nie są prawdziwe. Zaktualizuj te wartości przy użyciu rzeczywistego identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Port jest opcjonalny, jeśli adres URL zawiera nazwę. Te wartości są odbierane podczas konfigurowania wtyczki Confluence, co zostało wyjaśnione w dalszej części artykułu.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML wybierz przycisk kopiowania, aby skopiować adres URL metadanych federacji aplikacji i zapisać go na komputerze.
Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra
Postępuj zgodnie z wytycznymi w przewodniku "Szybki start: tworzenie i przypisywanie konta użytkownika"
Konfiguracja Confluence SAML SSO przy użyciu Microsoft SSO
W innym oknie przeglądarki internetowej zaloguj się do instancji Confluence jako administrator.
Najedź kursorem na ikonę koła zębatego i wybierz pozycję Dodatki.
Pobierz wtyczkę z Centrum pobierania Microsoft. Ręcznie załaduj wtyczkę udostępnioną przez firmę Microsoft, korzystając z menu Załaduj dodatek. Pobieranie wtyczki jest objęte umową serwisową firmy Microsoft.
Aby uruchomić konfigurację zwrotnego serwera proxy dla Confluence lub konfigurację równoważenia obciążenia, wykonaj następujące kroki:
Uwaga
Najpierw skonfiguruj serwer za pomocą poniższych instrukcji, a następnie zainstaluj wtyczkę.
a. Dodaj poniższy atrybut w porcie łącznika w plikuserver.xml aplikacji serwera JIRA.
scheme="https" proxyName="<subdomain.domain.com>" proxyPort="<proxy_port>" secure="true"
b. Zmień podstawowy adres URL w ustawieniach systemowych zgodnie z serwerem proxy/modułem równoważenia obciążenia.
Po zainstalowaniu wtyczki zostanie ona wyświetlona w sekcji Dodatki zainstalowane przez użytkownika w sekcji Zarządzanie dodatkiem. Wybierz pozycję Konfiguruj , aby skonfigurować nową wtyczkę.
Wykonaj następujące kroki na stronie konfiguracji:
Napiwek
Upewnij się, że tylko jeden certyfikat jest zamapowany do aplikacji, aby zapobiec błędom podczas rozpoznawania metadanych. Jeśli dostępnych jest wiele certyfikatów, administrator otrzyma błąd podczas rozpoznawania metadanych.
W polu tekstowym Adres URL metadanych wklej skopiowaną wartość adresu URL metadanych federacji aplikacji i wybierz przycisk Rozwiąż . Spowoduje to odczytanie adresu URL metadanych IdP i uzupełnienie wszystkich pól informacjami.
Skopiuj wartości Identyfikator, Adres URL odpowiedzi i Adres URL logowania , a następnie wklej je w polach tekstowych Identyfikator, Adres URL odpowiedzi i Adres URL logowania odpowiednio w sekcji Podstawowa konfiguracja protokołu SAML .
W polu Nazwa przycisku logowania wpisz nazwę przycisku, który organizacja chce, aby użytkownicy widzieli na ekranie logowania.
W polu Opis przycisku logowania wpisz opis przycisku, który organizacja chce, aby użytkownicy widzieli na ekranie logowania.
W obszarze Domyślna grupa Wybierz grupę domyślną organizacji, aby przypisać do nowych użytkowników (grupy domyślne ułatwiają organizowanie praw dostępu do nowego konta użytkownika).
W funkcji automatycznego tworzenia użytkownika (aprowizacja użytkowników JIT): automatyzuje tworzenie kont użytkowników w autoryzowanych aplikacjach internetowych, eliminując potrzebę ręcznej aprowizacji. Zmniejsza to obciążenie administracyjne i zwiększa produktywność. Ponieważ JIT opiera się na odpowiedzi logowania z usługi Azure AD, wprowadź wartości atrybutów SAML-response, które obejmują adres e-mail użytkownika, nazwisko i imię.
W obszarze Lokalizacje identyfikatora użytkownika SAML wybierz opcję Identyfikator użytkownika znajduje się w elemencie NameIdentifier instrukcji o nazwie Subject lub identyfikator użytkownika znajduje się w elemencie Attribute. Ten identyfikator musi być identyfikatorem użytkownika aplikacji Confluence. Jeśli identyfikator użytkownika nie jest zgodny, system nie zezwala użytkownikom na logowanie.
Uwaga
Domyślna lokalizacja identyfikatora użytkownika SAML to Name Identifier. Można ją zmienić za pomocą opcji elementu Attribute, podając nazwę odpowiedniego atrybutu.
Jeśli wybierzesz opcję Identyfikator użytkownika jest w opcji Atrybut, w polu tekstowym Nazwa atrybutu wpisz nazwę atrybutu, w którym oczekiwano identyfikatora użytkownika.
Jeśli używasz domeny federacyjnej (na przykład usługi ADFS itd.) z identyfikatorem Entra firmy Microsoft, wybierz opcję Włącz odnajdywanie obszaru głównego i skonfiguruj nazwę domeny.
W polu Nazwa domeny wpisz nazwę domeny w tym miejscu w przypadku logowania opartego na usługach ADFS.
Sprawdź opcję Włącz wylogowanie jednokrotne , jeśli chcesz wylogować się z identyfikatora Entra firmy Microsoft, gdy użytkownik wyloguje się z aplikacji Confluence.
Włącz pole wyboru Wymuś logowanie Azure, jeśli chcesz się zalogować tylko za pośrednictwem konta Microsoft Entra.
Uwaga
Aby włączyć domyślny formularz logowania administratora na stronie logowania, gdy wymuszone logowanie do Azure jest włączone, dodaj parametr zapytania w adresie URL przeglądarki.
https://<DOMAIN:PORT>/login.action?force_azure_login=false
Zaznacz pole wyboru Użyj serwera proxy aplikacji, jeśli skonfigurowałeś lokalną aplikację Atlassian w konfiguracji serwera proxy aplikacji. W przypadku konfiguracji serwera proxy aplikacji wykonaj kroki opisane w dokumentacji serwera proxy aplikacji firmy Microsoft.
Wybierz przycisk Zapisz , aby zapisać ustawienia.
Uwaga
Aby uzyskać więcej informacji na temat instalacji i rozwiązywania problemów, odwiedź stronę MS Confluence SSO Connector Admin Guide (Przewodnik administratora łącznika logowania jednokrotnego ms Confluence). Istnieje również często zadawane pytania dotyczące twojej pomocy.
Tworzenie użytkownika testowego dla Confluence SAML SSO przez Microsoft
Aby umożliwić użytkownikom firmy Microsoft Entra logowanie się do lokalnego serwera Confluence, należy ich aprowizować w aplikacji Confluence SAML SSO by Microsoft. W przypadku aplikacji Confluence SAML SSO by Microsoft aprowizowanie to zadanie wykonywane ręcznie.
Aby aprowizować konto użytkownika, wykonaj następujące kroki:
Zaloguj się do lokalnego serwera Confluence jako administrator.
Najedź wskaźnikiem myszy na ikonę koła zębatego i wybierz Zarządzanie użytkownikami.
W sekcji Użytkownicy wybierz kartę Dodaj użytkowników . Na stronie dialogowej Dodawanie użytkownika wykonaj następujące kroki:
a. W polu tekstowym Username (Nazwa użytkownika ) wpisz adres e-mail użytkownika, taki jak B.Simon.
b. W polu tekstowym Pełna nazwa wpisz pełną nazwę użytkownika, na przykład B.Simon.
c. W polu tekstowym Email (Adres e-mail) wpisz adres e-mail użytkownika, taki jak B.Simon@contoso.com.
d. W polu tekstowym Password (Hasło ) wpisz hasło dla B.Simon.
e. Wybierz pozycję Potwierdź hasło ponownie wprowadź hasło.
f. Wybierz przycisk Dodaj .
Testowanie SSO
W tej sekcji przetestujesz konfigurację jednokrotnego logowania Microsoft Entra za pomocą następujących opcji.
Wybierz pozycję Przetestuj tę aplikację. Ta opcja przekierowuje do aplikacji Confluence SAML SSO by Microsoft Sign-on URL, gdzie można zainicjować przepływ logowania.
Przejdź bezpośrednio do adresu URL logowania jednokrotnego SAML platformy Confluence by Microsoft i zainicjuj przepływ logowania z tego miejsca.
Możesz użyć usługi Microsoft Moje aplikacje. Po wybraniu kafelka Confluence SAML SSO by Microsoft w obszarze Moje aplikacje następuje przekierowanie do adresu URL logowania Confluence SAML SSO by Microsoft. Aby uzyskać więcej informacji na temat moich aplikacji, zobacz
Introduction to the My Apps ( Wprowadzenie do aplikacji My Apps).
Powiązana zawartość
Po skonfigurowaniu aplikacji Confluence SAML SSO by Microsoft można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender for Cloud Apps.