Udostępnij za pośrednictwem

Samouczek: integracja logowania jednokrotnego (SSO) firmy Microsoft z aplikacją EasySSO for Jira

  • Artykuł

Z tego samouczka dowiesz się, jak zintegrować aplikację EasySSO for Jira z usługą Microsoft Entra ID. Po zintegrowaniu aplikacji EasySSO for Jira z usługą Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do aplikacji Jira.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Jira przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja aplikacji EasySSO for Jira z obsługą logowania jednokrotnego .

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.

  • Usługa EasySSO for Jira obsługuje logowanie jednokrotne inicjowane przez dostawcę usług i dostawcę tożsamości .
  • Usługa EasySSO for Jira obsługuje aprowizowanie użytkowników just in time .

Aby skonfigurować integrację aplikacji EasySSO for Jira z usługą Microsoft Entra ID, należy dodać aplikację EasySSO for Jira z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
  3. W sekcji Dodawanie z galerii wpisz EasySSO for Jira w polu wyszukiwania.
  4. Wybierz pozycję EasySSO for Jira z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie aplikacji Microsoft Entra SSO for EasySSO for Jira

Skonfiguruj i przetestuj usługę Microsoft Entra SSO z aplikacją EasySSO for Jira przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem aplikacji EasySSO for Jira.

Aby skonfigurować i przetestować usługę Microsoft Entra SSO z aplikacją EasySSO for Jira, wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z aplikacją B.Simon.
    2. Przypisz użytkownika testowego aplikacji Microsoft Entra — aby włączyć aplikację B.Simon do korzystania z logowania jednokrotnego firmy Microsoft Entra.
  2. Konfigurowanie aplikacji EasySSO for Jira SSO — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Tworzenie użytkownika testowego aplikacji EasySSO for Jira — aby mieć w aplikacji EasySSO for Jira odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do aplikacji >dla przedsiębiorstw Aplikacji dla>>przedsiębiorstw EasySSO for Jira>Single sign-on.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.

    Edit Basic SAML Configuration

  5. Jeśli chcesz skonfigurować aplikację w trybie inicjowanym przez dostawcę tożsamości, w sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:

    a. W polu tekstowym Identyfikator wpisz adres URL, korzystając z następującego wzorca: https://<server-base-url>/plugins/servlet/easysso/saml

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https://<server-base-url>/plugins/servlet/easysso/saml

  6. Kliknij przycisk Ustaw dodatkowe adresy URL i wykonaj następujący krok, jeśli chcesz skonfigurować aplikację w trybie inicjowania przez dostawcę usług:

    W polu tekstowym Adres URL logowania wpisz adres URL, korzystając z następującego wzorca: https://<server-base-url>/login.jsp

    Uwaga

    Te wartości nie są prawdziwe. Należy je zastąpić rzeczywistymi wartościami identyfikatora, adresu URL odpowiedzi i adresu URL logowania. W razie wątpliwości skontaktuj się z zespołem pomocy technicznej aplikacji EasySSO, aby uzyskać te wartości. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

  7. Aplikacja EasySSO for Jira oczekuje asercji SAML w określonym formacie, co wymaga dodania mapowań atrybutów niestandardowych do konfiguracji atrybutów tokenu JĘZYKA SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych.

    image

  8. Oprócz powyższych aplikacja EasySSO for Jira oczekuje, że kilka atrybutów zostanie przekazanych z powrotem w odpowiedzi SAML, która jest pokazana poniżej. Te atrybuty są również wstępnie wypełnione, ale można je przejrzeć zgodnie z wymaganiami.

    Nazwisko Atrybut źródłowy
    urn:oid:0.9.2342.19200300.100.1.1 user.userprincipalname
    urn:oid:0.9.2342.19200300.100.1.3 user.mail
    urn:oid:2.16.840.1.113730.3.1.241 user.displayname
    urn:oid:2.5.4.4 user.surname
    urn:oid:2.5.4.42 user.givenname

    Jeśli użytkownicy usługi Microsoft Entra mają skonfigurowaną nazwę sAMAccountName , musisz mapować wartość urn:oid:0.9.2342.19200300.100.1.1 na atrybut sAMAccountName .

  9. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML kliknij pozycję Pobierz linki dla opcji Certyfikat (Base64) lub Xml metadanych federacji i zapisz plik LUB wszystkie na komputerze. Będzie on potrzebny później do skonfigurowania programu Jira EasySSO.

    The Certificate download link

    Jeśli planujesz ręcznie wykonać konfigurację aplikacji EasySSO for Jira przy użyciu certyfikatu, musisz również skopiować adres URL logowania i identyfikator entra firmy Microsoft z poniższej sekcji i zapisać je na komputerze.

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
  2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do aplikacji EasySSO for Jira.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do aplikacji>dla przedsiębiorstw Identity>Applications>EasySSO for Jira.
  3. Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
  4. Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
    1. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
    2. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
    3. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Konfigurowanie aplikacji EasySSO dla logowania jednokrotnego w usłudze Jira

  1. Zaloguj się do wystąpienia usługi Atlassian Jira przy użyciu uprawnień Administracja istratora i przejdź do sekcji Zarządzanie aplikacjami.

    Manage Apps

  2. Po lewej stronie znajdź pozycję EasySSO i kliknij ją.

    Easy SSO

  3. Wybierz opcję SAML . Spowoduje to przejście do sekcji konfiguracji SAML.

    SAML

  4. Wybierz kartę Certyfikaty u góry i zostanie wyświetlony następujący ekran:

    Metadata URL

  5. Teraz znajdź plik certyfikatu (Base64) lub plik metadanych zapisany we wcześniejszych krokach konfiguracji logowania jednokrotnego firmy Microsoft Entra. Dostępne są następujące opcje:

    a. Użyj pobranego pliku metadanych federacji aplikacji do pliku lokalnego na komputerze. Wybierz przycisk radiowy Przekaż i postępuj zgodnie z oknem dialogowym przekazywania pliku specyficznym dla systemu operacyjnego.

    OR

    b. Otwórz plik metadanych federacji aplikacji, aby wyświetlić zawartość (w dowolnym edytorze zwykłego tekstu) pliku i skopiować go do schowka. Wybierz opcję Dane wejściowe i wklej zawartość schowka do pola tekstowego.

    OR

    c. W pełni ręczna konfiguracja. Otwórz certyfikat federacyjny aplikacji (Base64), aby wyświetlić zawartość (w dowolnym edytorze zwykłego tekstu) pliku i skopiować go do schowka. Wklej go w polu tekstowym IdP Token Signing Certificates (Certyfikaty podpisywania tokenów dostawcy tożsamości). Następnie przejdź do karty Ogólne i wypełnij pola Adres URL powiązania POST i Identyfikator jednostki z odpowiednimi wartościami dla adresu URL logowania i identyfikatora entra firmy Microsoft zapisanych wcześniej.

  6. Kliknij przycisk Zapisz w dolnej części strony. Zobaczysz, że zawartość plików metadanych lub certyfikatów zostanie przeanalizowana w polach konfiguracji. Konfiguracja aplikacji EasySSO for Jira została ukończona.

  7. Aby uzyskać najlepsze środowisko testowania, przejdź do karty Look &Feel i zaznacz opcję Przycisk logowania SAML. Spowoduje to włączenie oddzielnego przycisku na ekranie logowania jira specjalnie w celu przetestowania kompleksowej integracji rozwiązania Microsoft Entra SAML. Możesz również pozostawić ten przycisk i skonfigurować jego umieszczanie, kolor i tłumaczenie dla trybu produkcyjnego.

    Look & Feel

    Uwaga

    Jeśli masz jakiekolwiek problemy, skontaktuj się z zespołem pomocy technicznej aplikacji EasySSO.

Tworzenie użytkownika testowego aplikacji EasySSO for Jira

W tej sekcji w aplikacji Jira jest tworzony użytkownik o nazwie Britta Simon. Aplikacja EasySSO for Jira obsługuje aprowizację użytkowników just in time, która jest domyślnie wyłączona . Aby włączyć aprowizację użytkowników, musisz jawnie zaznaczyć opcję Utwórz użytkownika po pomyślnym zalogowaniu w sekcji Ogólne konfiguracji wtyczki EasySSO. Jeśli użytkownik jeszcze nie istnieje w programie Jira, zostanie utworzony po uwierzytelnieniu.

Jeśli jednak nie chcesz włączyć automatycznej aprowizacji użytkowników podczas pierwszego logowania użytkownika, użytkownicy muszą istnieć w katalogach użytkowników zaplecza, z których korzysta wystąpienie jira, takie jak LDAP lub Atlassian Crowd.

User provisioning

Testowanie logowania jednokrotnego

Przepływ pracy inicjowany przez dostawcę tożsamości

W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft z następującymi opcjami.

  • Kliknij pozycję Przetestuj tę aplikację i powinno nastąpić automatyczne zalogowanie do aplikacji EasySSO for Jira, dla której skonfigurowano logowanie jednokrotne.

Możesz również użyć Moje aplikacje firmy Microsoft, aby przetestować aplikację w dowolnym trybie. Po kliknięciu kafelka EasySSO for Jira w Moje aplikacje, jeśli skonfigurowano go w trybie SP, nastąpi przekierowanie do strony logowania aplikacji w celu zainicjowania przepływu logowania i skonfigurowania w trybie dostawcy tożsamości powinno nastąpić automatyczne zalogowanie do aplikacji EasySSO for Jira, dla której skonfigurowano logowanie jednokrotne. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Przepływ pracy inicjowany przez dostawcę usług

W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft w usłudze Microsoft Entra przy użyciu przycisku Jira SAML Login (Logowanie saml ).

User SAML login

W tym scenariuszu zakłada się, że na karcie Look & Feel na stronie konfiguracji aplikacji Jira EasySSO włączono przycisklogowania SAML (zobacz powyżej). Otwórz adres URL logowania jira w trybie incognito przeglądarki, aby uniknąć ingerencji w istniejące sesje. Kliknij przycisk Logowania SAML i nastąpi przekierowanie do przepływu uwierzytelniania użytkownika Entra firmy Microsoft. Po pomyślnym zakończeniu nastąpi przekierowanie z powrotem do wystąpienia usługi Jira jako uwierzytelniony użytkownik za pośrednictwem protokołu SAML.

Istnieje możliwość wystąpienia następującego ekranu po przekierowaniu z powrotem z identyfikatora Entra firmy Microsoft.

EasySSO failure screen

W takim przypadku należy postępować zgodnie z instrukcjami na tej stronie , aby uzyskać dostęp do pliku atlassian-jira.log . Szczegóły błędu będą dostępne według identyfikatora referencyjnego znalezionego na stronie błędu EasySSO.

Jeśli masz problemy z szyfrowaniem komunikatów dziennika, skontaktuj się z zespołem pomocy technicznej aplikacji EasySSO.

Następne kroki

Po skonfigurowaniu aplikacji EasySSO dla programu Jira można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.