本文介绍如何将 Confluence SAML SSO by Microsoft 与 Microsoft Entra ID 集成。 将 Confluence SAML SSO by Microsoft 与 Microsoft Entra ID 集成时,你可以:
- 在 Microsoft Entra ID 中控制谁有权访问 Confluence SAML SSO by Microsoft。
- 让用户使用其 Microsoft Entra 帐户自动登录 Confluence SAML SSO by Microsoft。
- 在一个中心位置管理帐户。
说明:
在 Atlassian Confluence 服务器上使用 Microsoft Entra 帐户启用单一登录。 这样,所有组织用户便可使用 Microsoft Entra 凭据登录到 Confluence 应用程序。 此插件使用 SAML 2.0 进行联合身份验证。
先决条件
本文中概述的方案假定你已具备以下先决条件:
- 安装在 Windows 64 位服务器(本地或云 IaaS 基础结构)上的 Confluence 服务器应用程序。
- Confluence 服务器已启用 HTTPS。
- 请注意,下面部分列出了支持的 Confluence 插件版本。
- Confluence 服务器可以通过 Internet 访问,特别是通过 Microsoft Entra 登录页面进行身份验证,并且应当可以接收来自 Microsoft Entra ID 的令牌。
- 管理员凭据将在 Confluence 中设置。
- WebSudo 在 Confluence 中已禁用。
- 在 Confluence 服务器应用程序中创建的测试用户。
注意
若要测试本文中的步骤,不建议使用 Confluence 的生产环境。 首先在应用程序的开发环境或过渡环境中测试集成,然后使用生产环境。
注意
此集成也可以通过 Microsoft Entra 美国政府云环境使用。 可以在“Microsoft Entra 美国政府云应用程序库”中找到此应用程序,并以公有云相同的方式对其进行配置。
要开始操作,你需要以下各项:
- 除非必要,请勿使用生产环境。
- 一个 Microsoft Entra 订阅。 如果没有订阅,可以获取一个免费帐户。
- 启用了 Confluence SAML SSO by Microsoft 单一登录 (SSO) 的订阅。
注意
有关 Confluence 的应用程序代理配置的信息,请参阅 本文 。
支持的 Confluence 版本
当前支持下列 Confluence 版本:
- Confluence:5.0 到 5.10
- Confluence:6.0.1 到 6.15.9
- Confluence:7.0.1 到 7.20.3
- Confluence:8.0.0 到 8.9.8
- Confluence:9.0.1 到 9.5.1
注意
请注意,我们的 Confluence 插件最后支持的版本是 Ubuntu 16.04,目前已不再支持。 插件现在仅支持 Windows。
方案描述
本文中,您将在测试环境中配置并测试 Microsoft Entra SSO。
- Confluence SAML SSO by Microsoft 支持 SP 发起的 SSO。
从库中添加 Confluence SAML SSO by Microsoft
要配置 Confluence SAML SSO by Microsoft 与 Microsoft Entra ID 的集成,需要从库中将 Confluence SAML SSO by Microsoft 添加到托管 SaaS 应用程序列表。
- 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
- 请导航到 Entra ID>企业应用>新应用。
- 在“从库中添加”部分的搜索框中,键入“Confluence SAML SSO by Microsoft”。
- 从结果面板中选择“Confluence SAML SSO by Microsoft”,然后添加应用。 等待几秒钟,以便将该应用添加到租户。
或者,也可以使用企业应用配置向导。 在此向导中,还可以将应用程序添加到租户、将用户/组添加到应用、分配角色以及演练 SSO 配置。 详细了解 Microsoft 365 向导。
配置和测试 Confluence SAML SSO by Microsoft 的 Microsoft Entra SSO
使用名为 B.Simon 的测试用户配置和测试 Confluence SAML SSO by Microsoft 的 Microsoft Entra SSO。 要运行 SSO,需要在 Microsoft Entra 用户与 Confluence SAML SSO by Microsoft 相关用户之间建立链接关系。
要配置并测试 Confluence SAML SSO by Microsoft 的 Microsoft Entra SSO,请执行以下步骤:
-
配置 Microsoft Entra SSO - 使用户能够使用此功能。
- 创建 Microsoft Entra 测试用户 - 使用 B.Simon 测试 Microsoft Entra 单一登录。
- 分配 Microsoft Entra 测试用户 - 使 B.Simon 能够使用 Microsoft Entra 单一登录。
-
配置 Confluence SAML SSO by Microsoft SSO - 在应用程序端配置单一登录设置。
- 创建 Confluence SAML SSO by Microsoft 测试用户 - 在 Confluence SAML SSO by Microsoft 中创建 B.Simon 的对应用户,并将其关联到该用户在 Microsoft Entra 中对应的身份。
- 测试 SSO - 验证配置是否正常工作。
配置 Microsoft Entra SSO
按照以下步骤启用 Microsoft Entra SSO。
至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>企业应用>Confluence SAML SSO by Microsoft>单一登录。
在“选择单一登录方法”页上选择“SAML”。
在 “使用 SAML 设置单一登录 ”页上,选择 基本 SAML 配置的 铅笔图标以编辑设置。
在“基本 SAML 配置”部分执行以下步骤:
a。 在“标识符”框中,使用以下模式键入 URL:
https://<DOMAIN:PORT>/b. 在“回复 URL”文本框中,使用以下模式键入 URL:
https://<DOMAIN:PORT>/plugins/servlet/saml/authc. 在“登录 URL”文本框中,使用以下模式键入 URL:
https://<DOMAIN:PORT>/plugins/servlet/saml/auth注意
这些值不是真实的。 请使用实际的“标识符”、“回复 URL”和“登录 URL”更新这些值。 端口可选,以防止其为命名 URL。 这些值是在 Confluence 插件配置期间接收的,本文稍后将对此进行介绍。
在“设置 SAML 单一登录”页上的“SAML 签名证书”部分,选择“复制”按钮以复制“应用联合元数据 URL”,并将其保存在计算机上。
创建和分配 Microsoft Entra 测试用户
请遵循创建和分配用户帐户快速指南中的指引,创建一个名为 B.Simon 的测试用户帐户。
配置 Confluence SAML SSO by Microsoft SSO
在另一个 Web 浏览器窗口中,以管理员身份登录 Confluence 实例。
将鼠标悬停在齿轮上并选择 加载项。
从 Microsoft 下载中心下载插件。 使用“上传加载项”菜单手动上传由 Microsoft 提供的插件。 Microsoft 服务协议涵盖了插件下载。
要运行 Confluence 反向代理方案或负载均衡器方案,请执行以下步骤:
注意
应先按照以下说明配置服务器,然后安装插件。
a。 在 JIRA 服务器应用程序的 server.xml 文件中的连接器端口中添加以下属性。
scheme="https" proxyName="<subdomain.domain.com>" proxyPort="<proxy_port>" secure="true"
b. 根据代理/负载均衡器,在系统设置中更改基本 URL。
插件安装后,它会显示在“管理加载项”部分的“用户已安装”加载项部分。 选择“ 配置 ”以配置新插件。
在配置页上执行下列步骤:
提示
请确保一个应用仅映射一个证书,以免在解析元数据时出错。 如果有多个证书,则管理员会在解析元数据时收到错误。
在 “元数据 URL ”文本框中,粘贴已复制 的应用联合元数据 URL 值,然后选择“ 解析 ”按钮。 它将读取 IdP 元数据 URL,并填充所有字段信息。
复制“标识符”、“回复 URL”和“登录 URL”值,并将其分别粘贴到“基本 SAML 配置”部分下的“标识符”、“回复 URL”和“登录 URL”文本框中。
在“登录按钮名”中键入组织希望用户在登录屏幕上看到的按钮名称。
在登录按钮说明中,键入你的组织希望用户在登录屏幕上看到的按钮的说明。
在“默认组”中,选择要分配给新用户的组织默认组(默认组有助于为新用户帐户有序分配访问权限)。
在“自动创建用户”功能(JIT 用户设置)中:它自动在授权的 Web 应用程序中创建用户帐户,而无需手动预配。 这样可以减少管理性工作负荷并提高工作效率。 由于 JIT 依赖于来自 Azure AD 的登录响应,因此请输入 SAML 响应属性值,其中包括用户的电子邮件地址、姓氏和名字。
在“SAML 用户 ID 位置”中,选择“用户 ID 位于 Subject 语句的 NameIdentifier 元素之中”或“用户 ID 位于 Attribute 元素之中”。 此 ID 必须是 Confluence 用户 ID。 如果用户 ID 不匹配,则系统不允许用户登录。
注意
默认 SAML 用户 ID 位置是名称标识符。 可将其更改为属性选项,并输入适当的属性名称。
如果选择“用户 ID 位于属性元素之中”选项,则请在“属性名称”文本框内键入应该出现用户 ID 的属性名称。
如果要将联合域(如 ADFS 等)与 Microsoft Entra ID 一起使用,请选择 “启用主领域发现 ”选项并配置 域名。
如果是基于 ADFS 的登录,请在“域名”中键入域名。
如果你希望用户在从 Confluence 注销时从 Microsoft Entra ID 注销,请选择“启用单一注销”。
如果希望仅通过 Microsoft Entra 凭据登录,请选中“强制 Azure 登录”复选框。
注意
要在启用“强制 Azure 登录”时在登录页面上启用管理员登录的默认登录表单,请在浏览器 URL 中添加查询参数。
https://<DOMAIN:PORT>/login.action?force_azure_login=false如果在应用程序代理设置中配置了本地 atlassian 应用程序,则勾选“启用应用程序代理”复选框。 对于应用代理设置,请按照 Microsoft Entra 应用程序代理文档中的步骤进行操作。
选择“ 保存 ”按钮保存设置。
注意
有关安装和故障排除的详细信息,请访问 MS Confluence SSO 连接器管理员指南, 还有一个常见问题解答可供您参考。
创建 Confluence SAML SSO by Microsoft 测试用户
要使 Microsoft Entra 用户能够登录 Confluence 本地服务器,必须将其预配到 Confluence SAML SSO by Microsoft 中。 对于 Confluence SAML SSO by Microsoft,预配是一项手动任务。
要预配用户帐户,请执行以下步骤:
以管理员身份登录到 Confluence 本地服务器。
将鼠标悬停在齿轮上并选择 “用户管理”。
在“用户”部分下,选择“ 添加用户 ”选项卡。在 “添加用户 ”对话框页上,执行以下步骤:
a。 在“用户名”文本框中,键入用户的电子邮件(例如 B.Simon)。
b. 在“全名”文本框中,键入用户(例如 B.Simon)的全名。
c. 在“电子邮件”文本框中,键入用户的电子邮件地址(例如 B.Simon@contoso.com)。
d. 在“密码”文本框中,键入 B.Simon 的密码。
e. 选择“ 确认密码 ”重新输入密码。
f。 选择“添加”按钮。
测试 SSO
在本部分,你将使用以下选项测试 Microsoft Entra 单一登录配置。
选择测试此应用程序,此选项会将您重定向到由 Microsoft 提供的 Confluence SAML SSO 登录 URL,您可以通过该链接启动登录流程。
直接转到 Confluence SAML SSO by Microsoft 登录 URL,并从中启动登录流。
你可使用 Microsoft 的“我的应用”。 在“我的应用”中选择 Confluence SAML SSO by Microsoft 磁贴时,此选项会重定向到 Confluence SAML SSO by Microsoft 登录 URL。 有关“我的应用”的详细信息,请参阅“我的应用”简介。
相关内容
配置 Confluence SAML SSO by Microsoft 后,就可以强制实施会话控制,实时防止组织的敏感数据外泄和渗透。 会话控制从条件访问扩展而来。 了解如何通过 Microsoft Defender for Cloud Apps 强制实施会话控制。