Поделиться через


Настройка Atlassian Jira/Confluence для единого входа в идентификаторе Microsoft Entra

Обзор

Подключаемый модуль единого входа (SSO) Microsoft Entra позволяет клиентам Microsoft Entra использовать свою рабочую или учебную учетную запись для входа в продукты на основе Atlassian Jira и Confluence Server. Реализуется SSO на базе SAML 2.0.

Принцип работы

Когда пользователи хотят войти в приложение Atlassian Jira или Confluence, они видят кнопку Вход с помощью Microsoft Entra ID на странице входа. Когда они выбирают его, они должны войти с помощью страницы входа в организацию Microsoft Entra (т. е. их рабочая или учебная учетная запись).

После проверки подлинности пользователи смогут войти в приложение. Если они уже прошли проверку подлинности с идентификатором и паролем для своей рабочей или учебной учетной записи, то они непосредственно входят в приложение.

Вход в систему осуществляется как в Jira, так и в Confluence. Если пользователи вошли в приложение Jira и Confluence открываются в том же окне браузера, они не должны предоставлять учетные данные для другого приложения.

Пользователи также могут получить доступ к продукту Atlassian через мои приложения в рабочей или учебной учетной записи. Они должны войти в систему без запроса учетных данных.

Примечание.

Подготовка пользователей не выполняется через подключаемый модуль.

Публика

Администраторы Jira и Confluence могут использовать подключаемый модуль для включения единого входа с помощью идентификатора Microsoft Entra.

Предположения

  • Экземпляры Jira и Confluence с поддержкой HTTPS.
  • Пользователи уже созданы в Jira или Confluence.
  • Пользователи имеют роли, назначенные в Jira или Confluence.
  • Администраторы имеют доступ к информации, необходимой для настройки подключаемого модуля.
  • Jira или Confluence также доступен за пределами корпоративной сети.
  • Подключаемый модуль работает только с локальной версией Jira и Confluence.

Предпосылки

Перед установкой подключаемого модуля обратите внимание на следующие сведения:

  • Jira и Confluence устанавливаются в 64-разрядную версию Windows.
  • Версии Jira и Confluence поддерживают протокол HTTPS.
  • Jira и Confluence доступны в Интернете.
  • Учетные данные администратора используются для Jira и Confluence.
  • Учетные данные администратора в наличии для Microsoft Entra ID.
  • WebSudo отключен в Jira и Confluence.

Поддерживаемые версии Jira и Confluence

Подключаемый модуль поддерживает следующие версии Jira и Confluence:

  • Jira Core и Программное обеспечение: от 6.0 до 9.10.0
  • Jira Service Desk: 3.0.0 до 4.22.1.
  • JIRA поддерживает также 5.2. Для получения дополнительных сведений выберите Microsoft Entra единый вход для JIRA 5.2.
  • Confluence: 5.0 до 5.10.
  • Confluence: 6.0.1 до 6.15.9.
  • Confluence: 7.0.1 до 8.5.1.

Установка

Чтобы установить подключаемый модуль, выполните следующие действия.

  1. Зайдите в свою инсталляцию Jira или Confluence в качестве администратора.

  2. Перейдите в административную консоль Jira/Confluence и выберите Дополнения.

  3. В Центре загрузки Майкрософт загрузите плагин Microsoft SAML для единого входа в Jira/ , плагин Microsoft SAML для единого входа в Confluence.

    В результатах поиска появится соответствующая версия подключаемого модуля.

  4. Выберите подключаемый модуль, а универсальный диспетчер подключаемых модулей (UPM) устанавливает его.

После установки плагина он появится в разделе Установленные надстройки в Управление надстройками.

Конфигурация подключаемого модуля

Перед началом работы с подключаемым модулем необходимо настроить его. Выберите подключаемый модуль, нажмите кнопку Настроить и укажите сведения о конфигурации.

На следующем рисунке показан экран конфигурации в Jira и Confluence:

экран конфигурации подключаемого модуля

  • URL-адрес метаданных: URL-адрес для получения метаданных федерации из идентификатора Microsoft Entra.

  • идентификаторы: URL-адрес, который Microsoft Entra ID использует для проверки источника запроса. Он сопоставляется с элементом идентификатора в Microsoft Entra ID. Подключаемый модуль автоматически выводит этот URL-адрес как https://<domain:port>/.

  • URL-адрес ответа: URL-адрес ответа в поставщике удостоверений, который инициирует аутентификацию SAML. Элемент URL-адреса ответа сопоставляется с элементом в идентификаторе Microsoft Entra ID. Подключаемый модуль автоматически извлекает этот URL-адрес как https://<domain:port>/plugins/servlet/saml/auth.

  • URL-адрес входа: URL-адрес входа в поставщике идентификации, инициирующий вход SAML. Он сопоставляется с элементом Sign On в системе идентификации Microsoft Entra ID. Подключаемый модуль автоматически извлекает этот URL-адрес как https://<domain:port>/plugins/servlet/saml/auth.

  • Идентификатор сущности IdP: идентификатор сущности, который использует ваш поставщик удостоверений. Это поле заполняется при разрешении URL-адреса метаданных.

  • URL-адрес входа: URL-адрес входа от вашего поставщика удостоверений (IdP). Это поле заполняется идентификатором Microsoft Entra при разрешении URL-адреса метаданных.

  • URL выхода: URL для выхода из вашей системы IdP. Это поле заполняется идентификатором Microsoft Entra при разрешении URL-адреса метаданных.

  • сертификат X.509: Ваш сертификат X.509 поставщика удостоверений. Это поле заполняется идентификатором Microsoft Entra при разрешении URL-адреса метаданных.

  • имя кнопки входа: имя кнопки входа, которую ваша организация хочет видеть на странице входа.

  • расположение идентификатора пользователя SAML: место, где ожидается идентификатор пользователя Jira или Confluence в ответе SAML. Он может находиться в NameID или в пользовательском атрибуте имени.

  • имя атрибута: имя атрибута, в котором ожидается идентификатор пользователя.

  • Включить обнаружение домашней области: выбор, который следует сделать, если компания использует службы федерации Active Directory (AD FS) для входа на основе AD FS.

  • Доменное имя: доменное имя, если вход осуществляется через AD FS.

  • Включить единый вход. Выбор, который нужно сделать, если вы хотите выйти из идентификатора Microsoft Entra, когда пользователь выходит из Jira или Confluence.

  • Установите флажок Принудительный вход только через Azure, если вы хотите использовать учетные данные Microsoft Entra для входа.

  • Установите флажок "Использовать прокси приложения", если вы настроили ваше внутреннее Atlassian приложение в конфигурации прокси сервера.

    • Для настройки прокси приложения выполните действия, описанные в документации по прокси приложениям Microsoft Entra.

Примечания к выпуску

JIRA:

Версия подключаемого модуля Примечания к выпуску Поддерживаемые версии JIRA
1.0.20 Исправления ошибок: Jira Core и Программное обеспечение
Плагин JIRA SAML SSO перенаправляет на неверный URL-адрес из мобильного браузера. 7.0.0 до 9.10.0
Раздел журнала отметок после включения плагина JIRA.
Дата последнего входа для пользователя не обновляется при входе пользователя с помощью единого входа.
1.0.19 Новая функция: Jira Core и Программное обеспечение
Поддержка прокси приложения - Установите флажок на экране настроек подключаемого модуля, чтобы переключить режим прокси приложения и сделать URL-адрес ответа редактируемым. Это позволит вам при необходимости указывать URL-адрес прокси-сервера. 6.0 до 9.3.1
Jira Service Desk: 3.0.0 до 4.22.1
1.0.18 Исправления ошибок: Jira Core и Программное обеспечение
Исправлена ошибка 405 при нажатии кнопки "Настройка" подключаемого модуля Jira Microsoft Entra SSO. От 6.0 до 9.1.0.
Сервер JIRA не отображает страницу параметров проекта правильно. Jira Service Desk: 3.0.0 до 4.22.1.
JIRA не заставляет использовать вход в Microsoft Entra. Требовалось выбрать дополнительную кнопку.
Теперь исправление безопасности в этой версии устранено. Это позволит защитить вас от уязвимости подделки пользователей.
Проблема выхода из службы поддержки JIRA решена.

Слияние:

Версия подключаемого модуля Примечания к выпуску Поддерживаемые версии JIRA
6.3.9 Исправления ошибок: Сервер Confluence: 7.20.3 – 8.5.1
Системная ошибка: Невозможно настроить ссылку на метаданные в плагинах единого входа.
6.3.8 Новая функция: Сервер Confluence: 5.0 –7.20.1
Поддержка прокси приложения - Установите флажок на экране настройки плагина, чтобы включить режим прокси приложения, позволяющий редактировать URL-адрес ответа в соответствии с необходимостью указания его на URL-адрес прокси-сервера.
6.3.7 Исправления ошибок: Сервер Confluence: 5.0 –7.19.0
Функция принудительного входа позволяет ИТ-администраторам принудительно выполнять проверку подлинности Microsoft Entra пользователям. Таким образом пользователи не видят поле имени пользователя и пароля и обязаны использовать аутентификацию SSO.
Параметр Force Login можно настроить из плагина.
Вы можете передать строку домена в Microsoft Entra ID, чтобы Microsoft Entra ID мог напрямую перенаправить пользователя на ваш сервер федерации.

Устранение неполадок

  • Вы получаете множественные ошибки сертификата: войдите в Microsoft Entra ID и удалите все сертификаты, которые доступны для приложения. Убедитесь, что присутствует только один сертификат.

  • Срок действия сертификата истекает в Microsoft Entra ID: надстройки обеспечивают автоматическое продление сертификата. После истечения срока действия сертификата новый сертификат должен быть помечен как активный, а неиспользуемые сертификаты следует удалить. Когда пользователь пытается войти в Jira в этом сценарии, подключаемый модуль извлекает и сохраняет новый сертификат.

  • Вы хотите отключить WebSudo (отключить безопасный сеанс администратора):

    • Для Jira безопасные сеансы администратора (то есть подтверждение пароля перед доступом к функциям администрирования) включены по умолчанию. Если вы хотите удалить эту возможность в экземпляре Jira, укажите следующую строку в файле jira-config.properties: jira.websudo.is.disabled = true

    • Для Confluence выполните действия на сайте поддержки Confluence .

  • поля, которые должны заполняться URL-адресом метаданных, не заполняются:

    • Проверьте правильность URL-адреса. Проверьте, сопоставлен ли правильный идентификатор клиента и приложения.

    • Введите URL-адрес в браузере и убедитесь, что вы получаете XML метаданных федерации.

  • Существует внутренняя ошибка сервера: просмотрите журналы в каталоге журналов установки. Если вы получаете ошибку, когда пользователь пытается войти с помощью единого входа Microsoft Entra, вы можете предоставить общий доступ к журналам в группе поддержки.

  • Ошибка "Идентификатор пользователя не найден", когда пользователь пытается войти: создайте идентификатор пользователя в Jira или Confluence.

  • Ошибка "Приложение не найдено" в идентификаторе Microsoft Entra ID: просмотрите, сопоставляется ли соответствующий URL-адрес с приложением в идентификаторе Microsoft Entra.

  • вам нужна поддержка: обратитесь в группу по интеграции системы Единого входа Microsoft Entra. Команда отвечает в 24-48 рабочих часов.

    Вы также можете отправить запрос в службу поддержки с помощью Microsoft через канал портала Azure.

Вопросы и ответы о подключаемых модулях

Ознакомьтесь со следующими часто задаваемыми вопросами, если у вас есть какие-либо запросы относительно этого подключаемого модуля.

Что делает подключаемый модуль?

Плагин предоставляет функциональность единого входа (SSO) для программного обеспечения Atlassian Jira (включая Jira Core, Jira Software, Jira Service Desk) и Confluence для локальной установки. Подключаемый модуль работает с Microsoft Entra ID в качестве поставщика удостоверений (IdP).

С какими продуктами Atlassian работает подключаемый модуль?

Подключаемый модуль работает с локальными версиями Jira и Confluence.

Работает ли подключаемый модуль в облачных версиях?

Нет. Подключаемый модуль поддерживает только локальные версии Jira и Confluence.

Какие версии Jira и Confluence поддерживают подключаемый модуль?

Подключаемый модуль поддерживает следующие версии:

  • Jira Core и Программное обеспечение: от 6.0 до 9.10.0
  • Jira Service Desk: 3.0.0 до 4.22.1.
  • JIRA поддерживает также 5.2. Для получения дополнительных сведений выберите Microsoft Entra единый вход для JIRA 5.2.
  • Confluence: 5.0 до 5.10.
  • Confluence: 6.0.1 до 6.15.9.
  • Confluence: 7.0.1 до 8.5.1.

Плагин бесплатный или платный?

Это бесплатная надстройка.

Нужно ли перезапустить Jira или Confluence после развертывания подключаемого модуля?

Перезагрузка не требуется. Вы можете сразу начать использовать подключаемый модуль.

Как получить поддержку подключаемого модуля?

Вы можете обратиться к группе интеграции Единого входа Microsoft Entra для любой поддержки, необходимой для этого подключаемого модуля. Команда отвечает в 24-48 рабочих часов.

Вы также можете отправить запрос в службу поддержки с помощью Microsoft через канал портала Azure.

Будет ли подключаемый модуль работать на установке Jira и Confluence в Mac или Ubuntu?

Мы проверили подключаемый модуль только на 64-разрядных установках Windows Server Jira и Confluence.

Работает ли подключаемый модуль с поставщиками удостоверений, кроме Microsoft Entra ID?

Нет. Он работает только с идентификатором Microsoft Entra.

С какой версией SAML работает подключаемый модуль?

Он работает с SAML 2.0.

Выполняет ли подключаемый модуль подготовку пользователей?

Нет. Подключаемый модуль предоставляет только одноразовую аутентификацию на основе SAML 2.0. Пользователь должен быть настроен в приложении перед использованием единого входа.

Поддерживает ли подключаемый модуль версии кластера Jira и Confluence?

Нет. Подключаемый модуль работает с локальными версиями Jira и Confluence.

Работает ли подключаемый модуль с HTTP-версиями Jira и Confluence?

Нет. Подключаемый модуль работает только с установками с поддержкой HTTPS.