Udostępnij za pośrednictwem


Konfigurowanie aplikacji Confluence SAML SSO by Microsoft na potrzeby logowania jednokrotnego przy użyciu usługi Microsoft Entra ID

Z tego artykułu dowiesz się, jak zintegrować aplikację Confluence SAML SSO by Microsoft z microsoft Entra ID. Po zintegrowaniu aplikacji Confluence SAML SSO by Microsoft z usługą Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do aplikacji Confluence SAML SSO by Microsoft.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Confluence SAML SSO by Microsoft przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Opis rozwiązania:

Użyj swojego konta Microsoft Entra z serwerem Atlassian Confluence, aby włączyć logowanie jednokrotne. Dzięki temu wszyscy użytkownicy organizacji mogą logować się do aplikacji Confluence przy użyciu poświadczeń firmy Microsoft Entra. Ta wtyczka używa protokołu SAML 2.0 na potrzeby federacji.

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

  • Aplikacja serwera Confluence zainstalowana na serwerze 64-bitowym systemu Windows (lokalnie lub w infrastrukturze IaaS w chmurze).
  • Serwer Confluence jest włączony za pomocą protokołu HTTPS.
  • Zwróć uwagę na obsługiwane wersje wtyczki Confluence podane w poniższej sekcji.
  • Serwer Confluence jest dostępny w Internecie, w szczególności na stronę logowania Microsoft Entra na potrzeby uwierzytelniania i powinien mieć możliwość odbierania tokenu z Microsoft Entra ID.
  • Poświadczenia administratora są konfigurowane w aplikacji Confluence.
  • Usługa WebSudo jest wyłączona w aplikacji Confluence.
  • Użytkownik testowy utworzony w aplikacji serwera Confluence.

Uwaga

Aby przetestować kroki opisane w tym artykule, nie zalecamy używania środowiska produkcyjnego platformy Confluence. Integrację należy najpierw przetestować w środowisku programistycznym lub przejściowym aplikacji, a dopiero później użyć środowiska produkcyjnego.

Uwaga

Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • nie używaj środowiska produkcyjnego, chyba że jest to konieczne.
  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja usługi Confluence SAML SSO od Microsoft z obsługą jednokrotnego logowania.

Uwaga

Aby uzyskać informacje na temat konfiguracji serwera proxy aplikacji dla aplikacji Confluence, zapoznaj się z tym artykułem.

Obsługiwane wersje aplikacji Confluence

Aktualnie obsługiwane są następujące wersje aplikacji Confluence:

  • Confluence: od 5.0 do 5.10
  • Confluence: od 6.0.1 do 6.15.9
  • Confluence: od 7.0.1 do 7.20.3
  • Confluence: od 8.0.0 do 8.9.8
  • Confluence: od 9.0.1 do 9.5.1

Uwaga

Pamiętaj, że nasza wtyczka Confluence była ostatnio obsługiwana w systemie Ubuntu 16.04, co nie jest już obsługiwane. Wtyczka obsługuje teraz tylko system Windows.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz Microsoft Entra SSO w środowisku testowym.

  • Aplikacja Confluence SAML SSO by Microsoft obsługuje SSO inicjowane przez SP.

Aby skonfigurować integrację aplikacji Confluence SAML SSO by Microsoft z usługą Microsoft Entra ID, należy dodać aplikację Confluence SAML SSO by Microsoft z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do Entra ID>aplikacji firmowych>Nowa aplikacja.
  3. W sekcji Dodawanie z galerii wpisz Confluence SAML SSO by Microsoft w polu wyszukiwania.
  4. Wybierz pozycję Confluence SAML SSO by Microsoft z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, aż aplikacja zostanie dodana do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do swojego klienta, dodać użytkowników lub grupy do aplikacji, przypisać role oraz przeprowadzić konfigurację logowania jednokrotnego (SSO). Dowiedz się więcej o kreatorach Microsoft 365.

Konfiguracja i testowanie Microsoft Entra SSO dla Confluence SAML SSO by Microsoft

Konfigurowanie i testowanie aplikacji Microsoft Entra SSO z aplikacją Confluence SAML SSO by Microsoft przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne (SSO) działało, należy ustanowić relację połączenia między użytkownikiem Microsoft Entra a powiązanym użytkownikiem w Confluence SAML SSO by Microsoft.

Aby skonfigurować i przetestować aplikację Microsoft Entra SSO z aplikacją Confluence SAML SSO by Microsoft, wykonaj następujące kroki:

  1. Skonfiguruj Microsoft Entra SSO — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Utwórz użytkownika testowego Microsoft Entra — aby przetestować logowanie jednokrotne Microsoft Entra z B.Simon.
    2. Przypisz użytkownika testowego Microsoft Entra — aby umożliwić B.Simon korzystanie z logowania jednokrotnego Microsoft Entra.
  2. Skonfiguruj aplikację Confluence SAML SSO by Microsoft SSO — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Utwórz użytkownika testowego Confluence SAML SSO by Microsoft — aby mieć w Confluence SAML SSO by Microsoft odpowiednik użytkownika B.Simon, który jest połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie jednokrotnego logowania Microsoft Entra

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne Microsoft Entra.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Entra ID>Aplikacje przedsiębiorstw>Confluence SAML SSO by Microsoft>Logowanie jednokrotne.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę ołówka podstawową konfigurację protokołu SAML , aby edytować ustawienia.

    Zrzut ekranu przedstawiający sposób edytowania podstawowej konfiguracji protokołu SAML.

  5. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:

    a. W polu Identyfikator wpisz adres URL, korzystając z następującego wzorca: https://<DOMAIN:PORT>/

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://<DOMAIN:PORT>/plugins/servlet/saml/auth

    c. W polu tekstowym Adres URL logowania wpisz adres URL, korzystając z następującego wzorca: https://<DOMAIN:PORT>/plugins/servlet/saml/auth

    Uwaga

    Te wartości nie są prawdziwe. Zaktualizuj te wartości przy użyciu rzeczywistego identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Port jest opcjonalny, jeśli adres URL zawiera nazwę. Te wartości są odbierane podczas konfigurowania wtyczki Confluence, co zostało wyjaśnione w dalszej części artykułu.

  6. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML wybierz przycisk kopiowania, aby skopiować adres URL metadanych federacji aplikacji i zapisać go na komputerze.

    Zrzut ekranu przedstawia link pobierania certyfikatu.

Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra

Postępuj zgodnie z wytycznymi w przewodniku "Szybki start: tworzenie i przypisywanie konta użytkownika" , aby utworzyć testowe konto użytkownika o nazwie B.Simon.

Konfiguracja Confluence SAML SSO przy użyciu Microsoft SSO

  1. W innym oknie przeglądarki internetowej zaloguj się do instancji Confluence jako administrator.

  2. Najedź kursorem na ikonę koła zębatego i wybierz pozycję Dodatki.

    Zrzut ekranu przedstawiający wybraną ikonę koła zębatego i

  3. Pobierz wtyczkę z Centrum pobierania Microsoft. Ręcznie załaduj wtyczkę udostępnioną przez firmę Microsoft, korzystając z menu Załaduj dodatek. Pobieranie wtyczki jest objęte umową serwisową firmy Microsoft.

    Zrzut ekranu przedstawiający stronę

  4. Aby uruchomić konfigurację zwrotnego serwera proxy dla Confluence lub konfigurację równoważenia obciążenia, wykonaj następujące kroki:

    Uwaga

    Najpierw skonfiguruj serwer za pomocą poniższych instrukcji, a następnie zainstaluj wtyczkę.

    a. Dodaj poniższy atrybut w porcie łącznika w plikuserver.xml aplikacji serwera JIRA.

    scheme="https" proxyName="<subdomain.domain.com>" proxyPort="<proxy_port>" secure="true"

    Zrzut ekranu przedstawiający plik

    b. Zmień podstawowy adres URL w ustawieniach systemowych zgodnie z serwerem proxy/modułem równoważenia obciążenia.

    Zrzut ekranu przedstawiający stronę

  5. Po zainstalowaniu wtyczki zostanie ona wyświetlona w sekcji Dodatki zainstalowane przez użytkownika w sekcji Zarządzanie dodatkiem. Wybierz pozycję Konfiguruj , aby skonfigurować nową wtyczkę.

  6. Wykonaj następujące kroki na stronie konfiguracji:

    Napiwek

    Upewnij się, że tylko jeden certyfikat jest zamapowany do aplikacji, aby zapobiec błędom podczas rozpoznawania metadanych. Jeśli dostępnych jest wiele certyfikatów, administrator otrzyma błąd podczas rozpoznawania metadanych.

    Zrzut ekranu przedstawiający stronę konfiguracji logowania jednokrotnego.

    1. W polu tekstowym Adres URL metadanych wklej skopiowaną wartość adresu URL metadanych federacji aplikacji i wybierz przycisk Rozwiąż . Spowoduje to odczytanie adresu URL metadanych IdP i uzupełnienie wszystkich pól informacjami.

    2. Skopiuj wartości Identyfikator, Adres URL odpowiedzi i Adres URL logowania , a następnie wklej je w polach tekstowych Identyfikator, Adres URL odpowiedzi i Adres URL logowania odpowiednio w sekcji Podstawowa konfiguracja protokołu SAML .

    3. W polu Nazwa przycisku logowania wpisz nazwę przycisku, który organizacja chce, aby użytkownicy widzieli na ekranie logowania.

    4. W polu Opis przycisku logowania wpisz opis przycisku, który organizacja chce, aby użytkownicy widzieli na ekranie logowania.

    5. W obszarze Domyślna grupa Wybierz grupę domyślną organizacji, aby przypisać do nowych użytkowników (grupy domyślne ułatwiają organizowanie praw dostępu do nowego konta użytkownika).

    6. W funkcji automatycznego tworzenia użytkownika (aprowizacja użytkowników JIT): automatyzuje tworzenie kont użytkowników w autoryzowanych aplikacjach internetowych, eliminując potrzebę ręcznej aprowizacji. Zmniejsza to obciążenie administracyjne i zwiększa produktywność. Ponieważ JIT opiera się na odpowiedzi logowania z usługi Azure AD, wprowadź wartości atrybutów SAML-response, które obejmują adres e-mail użytkownika, nazwisko i imię.

    7. W obszarze Lokalizacje identyfikatora użytkownika SAML wybierz opcję Identyfikator użytkownika znajduje się w elemencie NameIdentifier instrukcji o nazwie Subject lub identyfikator użytkownika znajduje się w elemencie Attribute. Ten identyfikator musi być identyfikatorem użytkownika aplikacji Confluence. Jeśli identyfikator użytkownika nie jest zgodny, system nie zezwala użytkownikom na logowanie.

      Uwaga

      Domyślna lokalizacja identyfikatora użytkownika SAML to Name Identifier. Można ją zmienić za pomocą opcji elementu Attribute, podając nazwę odpowiedniego atrybutu.

    8. Jeśli wybierzesz opcję Identyfikator użytkownika jest w opcji Atrybut, w polu tekstowym Nazwa atrybutu wpisz nazwę atrybutu, w którym oczekiwano identyfikatora użytkownika.

    9. Jeśli używasz domeny federacyjnej (na przykład usługi ADFS itd.) z identyfikatorem Entra firmy Microsoft, wybierz opcję Włącz odnajdywanie obszaru głównego i skonfiguruj nazwę domeny.

    10. W polu Nazwa domeny wpisz nazwę domeny w tym miejscu w przypadku logowania opartego na usługach ADFS.

    11. Sprawdź opcję Włącz wylogowanie jednokrotne , jeśli chcesz wylogować się z identyfikatora Entra firmy Microsoft, gdy użytkownik wyloguje się z aplikacji Confluence.

    12. Włącz pole wyboru Wymuś logowanie Azure, jeśli chcesz się zalogować tylko za pośrednictwem konta Microsoft Entra.

      Uwaga

      Aby włączyć domyślny formularz logowania administratora na stronie logowania, gdy wymuszone logowanie do Azure jest włączone, dodaj parametr zapytania w adresie URL przeglądarki. https://<DOMAIN:PORT>/login.action?force_azure_login=false

    13. Zaznacz pole wyboru Użyj serwera proxy aplikacji, jeśli skonfigurowałeś lokalną aplikację Atlassian w konfiguracji serwera proxy aplikacji. W przypadku konfiguracji serwera proxy aplikacji wykonaj kroki opisane w dokumentacji serwera proxy aplikacji firmy Microsoft.

    14. Wybierz przycisk Zapisz , aby zapisać ustawienia.

      Uwaga

      Aby uzyskać więcej informacji na temat instalacji i rozwiązywania problemów, odwiedź stronę MS Confluence SSO Connector Admin Guide (Przewodnik administratora łącznika logowania jednokrotnego ms Confluence). Istnieje również często zadawane pytania dotyczące twojej pomocy.

Tworzenie użytkownika testowego dla Confluence SAML SSO przez Microsoft

Aby umożliwić użytkownikom firmy Microsoft Entra logowanie się do lokalnego serwera Confluence, należy ich aprowizować w aplikacji Confluence SAML SSO by Microsoft. W przypadku aplikacji Confluence SAML SSO by Microsoft aprowizowanie to zadanie wykonywane ręcznie.

Aby aprowizować konto użytkownika, wykonaj następujące kroki:

  1. Zaloguj się do lokalnego serwera Confluence jako administrator.

  2. Najedź wskaźnikiem myszy na ikonę koła zębatego i wybierz Zarządzanie użytkownikami.

    Dodaj pracownika

  3. W sekcji Użytkownicy wybierz kartę Dodaj użytkowników . Na stronie dialogowej Dodawanie użytkownika wykonaj następujące kroki:

    Zrzut ekranu przedstawiający kartę

    a. W polu tekstowym Username (Nazwa użytkownika ) wpisz adres e-mail użytkownika, taki jak B.Simon.

    b. W polu tekstowym Pełna nazwa wpisz pełną nazwę użytkownika, na przykład B.Simon.

    c. W polu tekstowym Email (Adres e-mail) wpisz adres e-mail użytkownika, taki jak B.Simon@contoso.com.

    d. W polu tekstowym Password (Hasło ) wpisz hasło dla B.Simon.

    e. Wybierz pozycję Potwierdź hasło ponownie wprowadź hasło.

    f. Wybierz przycisk Dodaj .

Testowanie SSO

W tej sekcji przetestujesz konfigurację jednokrotnego logowania Microsoft Entra za pomocą następujących opcji.

  • Wybierz pozycję Przetestuj tę aplikację. Ta opcja przekierowuje do aplikacji Confluence SAML SSO by Microsoft Sign-on URL, gdzie można zainicjować przepływ logowania.

  • Przejdź bezpośrednio do adresu URL logowania jednokrotnego SAML platformy Confluence by Microsoft i zainicjuj przepływ logowania z tego miejsca.

  • Możesz użyć usługi Microsoft Moje aplikacje. Po wybraniu kafelka Confluence SAML SSO by Microsoft w obszarze Moje aplikacje następuje przekierowanie do adresu URL logowania Confluence SAML SSO by Microsoft. Aby uzyskać więcej informacji na temat moich aplikacji, zobacz Introduction to the My Apps( Wprowadzenie do aplikacji My Apps).

Po skonfigurowaniu aplikacji Confluence SAML SSO by Microsoft można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą usługi Microsoft Defender for Cloud Apps.