Поделиться через

Настройка JIRA SAML SSO от Microsoft для единого входа с Microsoft Entra ID

В этой статье вы узнаете, как интегрировать JIRA SAML SSO by Microsoft с идентификатором Microsoft Entra ID. Когда вы интегрируете JIRA SAML SSO от Microsoft с Microsoft Entra ID, вы можете:

  • Управление в Microsoft Entra ID, кто имеет доступ к JIRA SAML SSO от Microsoft.
  • Включите автоматический вход пользователей в JIRA SAML SSO by Microsoft с помощью учетных записей Microsoft Entra.
  • Управляйте учетными записями в одном центральном месте.

Описание

Используйте учетную запись Microsoft Entra с сервером Atlassian JIRA, чтобы включить единый вход. Таким образом, все пользователи организации могут использовать учетные данные Microsoft Entra для входа в приложение JIRA. Этот подключаемый модуль использует для федерации SAML 2.0.

Предварительные условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

  • JIRA Core и Software 7.0 до 10.5.1 или JIRA Service Desk 3.0 до 5.12.22 должны быть установлены и настроены в windows 64-разрядной версии.
  • поддержка HTTPS на сервере JIRA;
  • Поддерживаемые версии плагина JIRA указаны в нижеследующем разделе.
  • Сервер JIRA доступен в Интернете, особенно на странице входа Microsoft Entra для проверки подлинности и должен иметь возможность получать маркер от идентификатора Microsoft Entra.
  • в JIRA должны быть настроены учетные данные администратора;
  • В JIRA отключен WebSudo.
  • в серверном приложении JIRA должен быть создан тестовый пользователь.

Примечание.

Чтобы проверить действия, описанные в этой статье, не рекомендуется использовать рабочую среду JIRA. Сначала протестируйте интеграцию в среде разработки или промежуточной среде приложения, а затем используйте ее в рабочей среде.

Чтобы приступить к работе, потребуется следующее.

  • Не используйте продуктивную среду, если в этом нет необходимости.
  • Подписка на JIRA SAML SSO by Microsoft с включенной функцией единого входа.

Примечание.

Эта интеграция также доступна для использования из облачной среды Microsoft Entra для государственных организаций США. Это приложение можно найти в коллекции облачных приложений Microsoft Entra для государственных организаций США и настроить его так же, как и в общедоступном облаке.

Поддерживаемые версии JIRA

  • JIRA Core и Software: 7.0 по 10.5.1.
  • JIRA Service Desk 3.0 до 5.12.22.
  • JIRA поддерживает также 5.2. Для получения дополнительных сведений выберите Microsoft Entra единый вход для JIRA 5.2.

Примечание.

Обратите внимание, что наш подключаемый модуль JIRA также работает в Ubuntu версии 16.04 и Linux.

Плагины единого входа (SSO) Майкрософт

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • JIRA SAML SSO by Microsoft поддерживает единый вход, инициированный SP.

Чтобы настроить интеграцию JIRA SAML SSO от Microsoft в Microsoft Entra ID, необходимо добавить JIRA SAML SSO от Microsoft из галереи в список управляемых приложений SaaS.

  1. Войдите в центр администрирования Microsoft Entra как минимум как Администратор облачных приложений.
  2. Перейдите к разделу Entra ID>корпоративные приложения>Новое приложение.
  3. В разделе Добавление из коллекции в поле поиска введите JIRA SAML SSO by Microsoft.
  4. В области результатов выберите JIRA SAML SSO by Microsoft и добавьте приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш тенант.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Подробнее о мастерах Microsoft 365.

Настройка и проверка Microsoft Entra SSO для JIRA SAML SSO от Microsoft

Настройте и проверьте Microsoft Entra SSO с JIRA SAML SSO от Microsoft, используя тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в JIRA SAML SSO от Microsoft.

Чтобы настроить и протестировать Microsoft Entra SSO с JIRA SAML SSO by Microsoft, выполните следующие действия.

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначьте тестового пользователя Microsoft Entra, чтобы B.Simon мог использовать единый вход Microsoft Entra.
  2. Настройка JIRA SAML SSO от Microsoft SSO — это необходимо для настройки параметров единого входа на стороне приложения.
    1. Создание тестового пользователя JIRA SAML SSO by Microsoft — для того чтобы в JIRA SAML SSO был создан аналог B.Simon, связанный с представлением пользователя Microsoft Entra.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка функции единого входа в Microsoft Entra

Выполните следующие шаги, чтобы включить Microsoft Entra SSO.

  1. Войдите в центр администрирования Microsoft Entra как минимум как Администратор облачных приложений.

  2. Перейдите к Entra ID>Enterprise приложения>JIRA SAML SSO от Microsoft>Единый вход.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML выберите значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

    Снимок экрана: изменение базовой конфигурации SAML.

  5. В разделе Базовая конфигурация SAML выполните приведенные ниже действия.

    a. В поле Идентификатор введите URL-адрес в следующем формате: https://<domain:port>/.

    б. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате: https://<domain:port>/plugins/servlet/saml/auth.

    a. В текстовом поле URL-адрес входа введите URL-адрес в формате https://<domain:port>/plugins/servlet/saml/auth.

    Примечание.

    Эти значения не являются реальными. Замените их фактическими значениями идентификатора, URL-адреса ответа и URL-адреса входа. Если это именованный URL-адрес, то порт указывать необязательно. Эти значения получены во время настройки подключаемого модуля Jira, который описан далее в статье.

  6. На странице "Настройка единого входа с помощью SAML" в разделе "Сертификат подписи SAML" нажмите кнопку "Копировать", чтобы скопировать URL-адрес метаданных федерации приложений и сохранить его на компьютере.

    Снимок экрана: ссылка на скачивание сертификата.

  7. Атрибут идентификатора имени в идентификаторе Microsoft Entra можно сопоставить с любым нужным пользовательским атрибутом, изменив раздел "Атрибуты и утверждения".

    Снимок экрана: изменение атрибутов и утверждений.

    a. После выбора "Изменить" любой нужный атрибут пользователя можно сопоставить, выбрав уникальный идентификатор пользователя (идентификатор имени).

    Снимок экрана: NameID в разделе

    б. На следующем экране нужное имя атрибута, например user.userprincipalname, можно выбрать в раскрывающемся меню "Исходный атрибут".

    Снимок экрана: выбор атрибутов и утверждений.

    с. Затем выбор можно сохранить, нажав кнопку "Сохранить" в верхней части страницы.

    Снимок экрана: сохранение атрибутов и утверждений.

    г. Теперь источник атрибута user.userprincipalname в Microsoft Entra ID сопоставляется с атрибутом Name ID в Microsoft Entra, который сравнивается с атрибутом имени пользователя в Atlassian через плагин единого входа (SSO).

    Снимок экрана: проверка атрибутов и утверждений.

    Примечание.

    Служба единого входа (SSO), предоставляемая Microsoft Azure, поддерживает аутентификацию SAML, которая может выполнять идентификацию пользователей с помощью различных атрибутов, таких как givenname (имя), surname (фамилия), email (адрес электронной почты) и основное имя пользователя (имя пользователя). Рекомендуем не использовать электронную почту в качестве атрибута проверки подлинности, так как адреса электронной почты не всегда проверяются системой Microsoft Entra ID. Подключаемый модуль сравнивает значения атрибута имени пользователя Atlassian с атрибутом NameID в Microsoft Entra ID, чтобы определить действительную аутентификацию пользователя.

  8. Если у клиента Azure есть гостевые пользователи , выполните следующие действия по настройке:

    a. Щелкните значок карандаша , чтобы перейти к разделу "Атрибуты и утверждения".

    Снимок экрана: изменение атрибутов и утверждений.

    б. Выберите NameID в разделе "Атрибуты и утверждения".

    Снимок экрана: NameID в разделе

    с. Настройте условия заявления в зависимости от типа пользователя.

    Снимок экрана: условия заявки.

    Примечание.

    Укажите значение NameID как user.userprincipalname для членов и user.mail для внешних гостей.

    г. Сохраните изменения и проверьте единый вход для внешних гостевых пользователей.

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в руководстве по созданию и назначению учетной записи пользователя быстрого старта, чтобы создать тестовую учетную запись пользователя B.Simon.

Настройте единую систему входа SAML для JIRA с помощью Microsoft SSO.

  1. В другом окне веб-браузера войдите в свой экземпляр JIRA в качестве администратора.

  2. Наведите указатель мыши на шестерёнку и выберите расширения.

    Снимок экрана показывает, как в меню настроек выбран пункт

  3. Скачайте подключаемый модуль из Центра загрузки Майкрософт. Вручную загрузите предоставленный корпорацией Майкрософт подключаемый модуль, используя меню Загрузить дополнение (Upload add-on). Загрузка подключаемого модуля выполняется в соответствии с соглашением об обслуживании Майкрософт.

    Снимок экрана показывает управление надстройками с выделенной ссылкой «Отправить надстройку».

  4. Для сценария использования обратного прокси-сервера JIRA или подсистемы балансировки нагрузки выполните приведенные ниже действия.

    Примечание.

    Сначала настройте сервер по приведённым ниже инструкциям, а затем установите плагин.

    a. Добавьте следующий атрибут в раздел порта соединителя в файле server.xml серверного приложения JIRA.

    scheme="https" proxyName="<subdomain.domain.com>" proxyPort="<proxy_port>" secure="true"

    Снимок экрана: файл server.xml в редакторе с добавленной новой строкой.

    б. Измените базовый URL-адрес в разделе системных параметров на соответствующий для подсистемы балансировки нагрузки или прокси-сервера.

    Снимок экрана: область параметров администрирования, в которой можно изменить базовый URL-адрес.

  5. После установки подключаемый модуль появится в разделе Установленные пользователем раздела Управление надстройками. Выберите Конфигурация, чтобы настроить новый плагин.

  6. Выполните следующие действия на странице настройки:

    Снимок экрана отображает страницу настройки единого входа Microsoft Entra для Jira.

    Совет

    Убедитесь, что с приложением сопоставлен только один сертификат, чтобы при разрешении метаданных не возникла ошибка. Если имеется несколько сертификатов, то при разрешении метаданных администратор увидит сообщение об ошибке.

    a. В текстовое поле URL-адреса метаданных вставьте скопированное значение URL-адреса метаданных федерации приложений и нажмите кнопку Resolve. Читает URL-адрес метаданных IdP и заполняет всю информацию.

    б. Скопируйте значения идентификатора, URL-адреса ответа и URL-адреса входа и вставьте их в соответствующие поля идентификатора, URL-адреса ответа и URL-адреса входа в разделе Домены и URL-адреса приложения JIRA SAML SSO by Microsoft на портале Azure.

    с. В поле Имя кнопки входа введите имя кнопки, которую должны видеть на экране входа пользователи вашей организации.

    г. В поле Login Button Description (Описание кнопки входа) введите описание кнопки, которое будут видеть пользователи на экране входа.

    д) В группе по умолчанию выберите группу по умолчанию вашей организации, чтобы назначать новым пользователям. Группы по умолчанию упрощают упорядоченный доступ к новым учетным записям пользователей.

    е) В разделе Расположение идентификатора пользователя SAML выберите либо Идентификатор пользователя находится в элементе NameIdentifier утверждения Subject, либо Идентификатор пользователя находится в элементе Attribute. Этим идентификатором должен быть идентификатор пользователя JIRA. Если идентификатор пользователя не совпадает, система не позволяет пользователям входить в систему.

    Примечание.

    По умолчанию идентификатор пользователя SAML указан в идентификаторе имени. Его можно заменить атрибутом и ввести имя соответствующего атрибута.

    ж. Если выбрать идентификатор пользователя в элементе атрибута, введите в поле имя атрибута название атрибута, в котором ожидается идентификатор пользователя.

    х. В функции автоматического создания пользователей (JIT-подготовка пользователей): она автоматизирует создание учетной записи пользователя в авторизованных веб-приложениях без необходимости подготовки вручную. Это снижает административную нагрузку и повышает производительность. Так как JIT использует ответ на вход из Azure AD, введите значения атрибута SAML-response, которые включают адрес электронной почты пользователя, фамилию и имя.

    и. Если вы используете федеративный домен (например, ADFS и т. д.) с идентификатором Microsoft Entra, выберите параметр "Включить обнаружение домашней области " и настройте доменное имя.

    ж. В поле Доменное имя введите доменное имя, если вы используете вход на основе AD FS.

    k. Выберите «Включить единый выход», если хотите выйти из Microsoft Entra ID, когда пользователь выходит из JIRA.

    л. Включите Принудительный вход в Azure, если вы хотите войти, используя только учетные данные Microsoft Entra ID.

    Примечание.

    Чтобы включить форму входа по умолчанию для входа администратора на странице входа при включенном параметре принудительного входа в Azure, добавьте параметр запроса в URL-адресе в браузере. https://<domain:port>/login.jsp?force_azure_login=false

    m. Выберите Включить использование прокси сервера в приложении, если вы настроили локальное приложение Atlassian в среде прокси сервера приложения.

    • Для настройки прокси приложения выполните действия, описанные в документации по прокси приложениям Microsoft Entra.

    n. Нажмите кнопку Сохранить, чтобы сохранить параметры.

    Примечание.

    Дополнительные сведения об установке и устранении неполадок см. в руководстве администратора соединителя единого входа MS JIRA Есть также вопросы и ответы для вашей помощи.

Создание тестового пользователя для JIRA SAML SSO от Microsoft

Чтобы пользователи Microsoft Entra могли авторизоваться на локальном сервере JIRA, они должны быть настроены в JIRA SAML SSO через Microsoft. Для JIRA SAML SSO by Microsoft подготовка выполняется вручную.

Чтобы подготовить учетную запись пользователя, сделайте следующее:

  1. Войдите на локальный сервер JIRA в качестве администратора.

  2. Наведите указатель мыши на значок шестеренки и выберите управление пользователями.

    Снимок экрана: меню

  3. Вы перенаправляетесь на страницу "Доступ администратора", чтобы ввести пароль и нажмите кнопку "Подтвердить ".

    Снимок экрана: страница доступа с правами администратора, на которой вводятся учетные данные.

  4. В разделе вкладки "Управление пользователями " выберите "Создать пользователя".

    Снимок экрана: вкладка User management (Управление пользователями), на которой можно создать пользователя.

  5. На странице Create New User (Создание пользователя) выполните следующие действия.

    Скриншот показывает диалоговое окно

    a. В текстовом поле Email address (Адрес электронной почты) введите адрес электронной почты пользователя, например B.simon@contoso.com.

    б. В текстовом поле Full Name (Полное имя) введите полное имя пользователя, например B.Simon.

    с. В текстовом поле Username (Имя пользователя) введите электронный адрес пользователя, например B.simon@contoso.com.

    г. В текстовом поле Password (Пароль) введите пароль пользователя.

    д) Выберите Создать пользователя.

Проверка SSO

В этом разделе вы проверяете конфигурацию единого входа Microsoft Entra с помощью следующих параметров.

  • Выберите "Тестировать это приложение", этот параметр перенаправляется на JIRA SAML SSO by Microsoft Sign-on URL-адрес, где можно инициировать поток входа.

  • Перейдите напрямую по URL-адресу для входа в JIRA SAML SSO от Microsoft и начните процесс входа оттуда.

  • Вы можете использовать портал "Мои приложения" корпорации Майкрософт. При выборе плитки JIRA SAML SSO by Microsoft в приложении "Мои приложения" вас перенаправят на URL-адрес для входа в JIRA SAML SSO by Microsoft. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Связанное содержимое

После настройки JIRA SAML SSO by Microsoft вы можете применить управление сеансами, которое в реальном времени защищает конфиденциальные данные вашей организации от хищения и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.