概述
Microsoft Entra 单一登录(SSO)插件使 Microsoft Entra 客户能够使用其工作或学校帐户登录到基于 Atlassian Jira 和 Confluence Server 的产品。 它实现基于 SAML 2.0 的 SSO。
工作原理
当用户想要登录到 Atlassian Jira 或 Confluence 应用程序时,他们将在登录页上看到“ 使用 Microsoft Entra ID ”按钮登录。 选择后,需要使用 Microsoft Entra 组织登录页(即其工作或学校帐户)登录。
用户进行身份验证后,他们应能够登录到应用程序。 如果他们已使用工作或学校帐户的 ID 和密码进行身份验证,则他们直接登录到应用程序。
登录在 Jira 和 Confluence 上可用。 如果用户登录到 Jira 应用程序,并且 Confluence 在同一浏览器窗口中打开,则无需为其他应用提供凭据。
用户还可以通过工作或学校帐户下的“我的应用”访问 Atlassian 产品。 应该在不要求凭据的情况下让他们登录。
注释
用户预配不是通过插件完成的。
观众
Jira 和 Confluence 管理员可以使用插件通过 Microsoft Entra ID 启用 SSO。
假设
- Jira 和 Confluence 实例已启用 HTTPS。
- 用户已在 Jira 或 Confluence 中创建。
- 用户在 Jira 或 Confluence 中分配了角色。
- 管理员有权访问配置插件所需的信息。
- Jira 或 Confluence 也可在公司网络外部使用。
- 该插件仅适用于 Jira 和 Confluence 的本地版本。
先决条件
在安装插件之前,请注意以下信息:
- Jira 和 Confluence 安装在 Windows 64 位版本上。
- Jira 和 Confluence 版本已启用 HTTPS。
- Jira 和 Confluence 在 Internet 上可用。
- Jira 和 Confluence 的管理员凭据已到位。
- Microsoft Entra ID 的管理员凭据已到位。
- 在 Jira 和 Confluence 中禁用 WebSudo。
支持的 Jira 和 Confluence 版本
该插件支持以下版本的 Jira 和 Confluence:
- Jira 核心和软件:6.0 到 9.10.0
- Jira 服务台:3.0.0 到 4.22.1。
- JIRA 还支持 5.2。 有关详细信息,请选择 JIRA 5.2 Microsoft Entra 单一登录。
- Confluence:5.0 到 5.10。
- Confluence:6.0.1 到 6.15.9。
- Confluence:7.0.1 到 8.5.1。
安装
若要安装插件,请执行以下步骤:
以管理员身份登录到 Jira 或 Confluence 实例。
转到 Jira/Confluence 管理控制台,然后选择 “加载项”。
从Microsoft下载中心下载 Microsoft SAML SSO 插件 for Jira/ Microsoft SAML SSO Plugin for Confluence。
相应版本的插件将显示在搜索结果中。
选择插件,并安装通用插件管理器(UPM)。
安装插件后,它将显示在“管理加载项”的“用户安装加载项”部分中。
插件配置
在开始使用插件之前,必须对其进行配置。 选择插件,选择“ 配置 ”按钮,并提供配置详细信息。
下图显示了 Jira 和 Confluence 中的配置屏幕:
元数据 URL:用于从 Microsoft Entra ID 获取联合元数据的 URL。
标识符:Microsoft Entra ID 用于验证请求源的 URL。 它映射到Microsoft Entra ID 中的 Identifier 元素。 插件会自动将此 URL 派生为 https:// <domain:port>/。
回复 URL:标识提供者(IdP)中用于启动 SAML 登录的回复 URL。 它映射到Microsoft Entra ID 中的 Reply URL 元素。 插件会自动将此 URL 派生为 https:// <domain:port>/plugins/servlet/saml/auth。
登录 URL:IdP 中启动 SAML 登录的登录 URL。 它映射到Microsoft Entra ID 中的 登录 元素。 插件会自动将此 URL 派生为 https:// <domain:port>/plugins/servlet/saml/auth。
IdP 实体 ID:IdP 使用的实体 ID。 解析元数据 URL 时,将填充此框。
登录 URL:IdP 中的登录 URL。 在解析元数据 URL 时,此框将从 Microsoft Entra ID 填充。
注销 URL:来自 IdP 的注销 URL。 在解析元数据 URL 时,此框将从 Microsoft Entra ID 填充。
X.509 证书:IdP 的 X.509 证书。 在解析元数据 URL 时,此框将从 Microsoft Entra ID 填充。
登录按钮名称:组织希望用户在登录页上看到的登录按钮的名称。
SAML 用户 ID 位置:SAML 响应中预期 Jira 或 Confluence 用户 ID 的位置。 它可以位于 NameID 或自定义属性名称中。
属性名称:需要用户 ID 的属性的名称。
启用主域发现:如果公司使用的是基于 Active Directory 联合身份验证服务(AD FS)的登录,则需进行这一选择。
域名:如果登录是基于 AD FS 的,那么这是域名。
启用单一注销:当用户从 Jira 或 Confluence 注销时,如果要从 Microsoft Entra ID 注销,请选择该选项。
如果希望仅通过 Microsoft Entra 凭据登录,请选中“强制 Azure 登录”复选框。
如果在应用程序代理设置中配置了本地 atlassian 应用程序,则勾选“启用应用程序代理”复选框。
- 对于应用代理设置,请按照 Microsoft Entra 应用程序代理文档中的步骤进行操作。
发布说明
JIRA:
| 插件版本 | 发布说明 | 支持的 JIRA 版本 |
|---|---|---|
| 1.0.20 | 错误修复: | Jira Core and Software: |
| JIRA SAML SSO 插件从移动浏览器重定向到错误的 URL。 | 7.0.0 到 9.10.0 | |
| 启用 JIRA 插件后,标记日志部分。 | ||
| 当用户通过 SSO 登录时,用户的最后一个登录日期不会更新。 | ||
| 1.0.19 | 新功能: | Jira Core and Software: |
| 应用程序代理支持 - 配置插件屏幕上的复选框以切换应用程序代理模式,以便根据需要指向应用程序代理模式使回复 URL 可编辑,以便根据需要将回复 URL 指向代理服务器 URL | 6.0 到 9.3.1 | |
| Jira 服务台:3.0.0 到 4.22.1 | ||
| 1.0.18 | 错误修复: | Jira Core and Software: |
| 修复选择 Jira Microsoft Entra SSO 插件的“配置”按钮时出现 405 错误的 Bug。 | 6.0 到 9.1.0。 | |
| JIRA 服务器无法正确呈现“项目设置页”。 | Jira 服务台:3.0.0 到 4.22.1。 | |
| JIRA 不强制 Microsoft Entra 登录。 需要额外选择一个按钮。 | ||
| 现已解决此版本中的安全修补程序。 这将保护你免受用户模拟漏洞的伤害。 | ||
| JIRA 服务台注销问题已解决。 |
合流:
| 插件版本 | 发布说明 | 支持的 JIRA 版本 |
|---|---|---|
| 6.3.9 | 错误修复: | Confluence 服务器:7.20.3 到 8.5.1 |
| 系统错误:无法在 SSO 插件上配置元数据链接。 | ||
| 6.3.8 | 新功能: | Confluence 服务器:5.0 到 7.20.1 |
| 应用程序代理支持 - 配置插件屏幕上的复选框以切换应用程序代理模式,以便根据需要将回复 URL 指向代理服务器 URL 进行编辑 | ||
| 6.3.7 | 错误修复: | Confluence 服务器:5.0 到 7.19.0 |
| “强制登录”功能允许 IT 管理员强制用户Microsoft Entra 身份验证。 这样,用户就不会看到用户名和密码框,他们被迫使用 SSO。 | ||
| “强制登录”可从插件进行配置 | ||
| 可以将域字符串传递给 Microsoft Entra ID,以便Microsoft Entra ID 可以直接将用户重定向到联合服务器。 |
故障排除
收到多个证书错误:登录到 Microsoft Entra ID,并删除与应用相关的多个证书。 确保只有一个证书存在。
证书即将在 Microsoft Entra ID 中过期:加载项负责自动滚动更新证书。 当证书即将过期时,应将新证书标记为活动证书,并且应删除未使用的证书。 当用户尝试在此方案中登录到 Jira 时,插件会提取并保存新证书。
要禁用 WebSudo(禁用安全管理员会话):
对于 Jira,默认启用安全管理员会话(即访问管理功能之前的密码确认)。 如果要在 Jira 实例中删除此功能,请在 jira-config.properties 文件中指定以下行:
jira.websudo.is.disabled = true请参照 Confluence 支持站点上的步骤进行操作。
本应由元数据 URL 填充的字段没有被填充:
检查 URL 是否正确。 检查是否已映射正确的租户和应用 ID。
在浏览器中输入 URL,并查看是否收到联合元数据 XML。
存在内部服务器错误:查看安装日志目录中的日志。 如果用户尝试使用 Microsoft Entra SSO 登录时收到错误,则可以与支持团队共享日志。
当用户尝试登录时出现“找不到用户 ID”错误:在 Jira 或 Confluence 中创建用户 ID。
Microsoft Entra ID 中出现“找不到应用”错误:查看相应的 URL 是否映射到Microsoft Entra ID 中的应用。
需要支持:联系 Microsoft Entra SSO 集成团队。 团队在 24-48 小时内做出响应。
你还可以通过 Azure 门户渠道向 Microsoft 提交支持票证。
插件常见问题解答
如果有有关此插件的任何查询,请参阅下面的常见问题解答。
插件的作用是什么?
该插件为 Atlassian Jira(包括 Jira Core、Jira Software、Jira Service Desk)和 Confluence 本地软件提供单一登录(SSO)功能。 该插件将 Microsoft Entra ID 用作身份识别提供者(IdP)。
插件适用于哪些 Atlassian 产品?
该插件适用于 Jira 和 Confluence 的本地版本。
插件是否适用于云版本?
否。 该插件仅支持 Jira 和 Confluence 的本地版本。
插件支持哪些版本的 Jira 和 Confluence?
插件支持以下版本:
- Jira 核心和软件:6.0 到 9.10.0
- Jira 服务台:3.0.0 到 4.22.1。
- JIRA 还支持 5.2。 有关详细信息,请选择 JIRA 5.2 Microsoft Entra 单一登录。
- Confluence:5.0 到 5.10。
- Confluence:6.0.1 到 6.15.9。
- Confluence:7.0.1 到 8.5.1。
插件是免费还是付费?
这是一个免费的加载项。
部署插件后,是否需要重启 Jira 或 Confluence?
不需要重启。 可以立即开始使用插件。
如何获取对插件的支持?
可以联系 Microsoft Entra SSO 集成团队 ,以获取此插件所需的任何支持。 团队在 24-48 小时内做出响应。
你还可以通过 Azure 门户渠道向 Microsoft 提交支持票证。
插件是否适用于 Jira 和 Confluence 的 Mac 或 Ubuntu 安装?
我们仅在 Jira 和 Confluence 的 64 位 Windows Server 安装上测试了插件。
插件是否适用于除 Microsoft Entra ID 以外的 IdP?
否。 它仅适用于 Microsoft Entra ID。
插件使用哪个版本的 SAML?
它适用于 SAML 2.0。
插件是否进行用户预配?
否。 插件仅提供基于 SAML 2.0 的 SSO。 必须在 SSO 登录之前在应用程序中预配用户。
插件是否支持 Jira 和 Confluence 的群集版本?
否。 该插件适用于 Jira 和 Confluence 的本地版本。
插件是否适用于 Jira 和 Confluence 的 HTTP 版本?
否。 插件仅适用于启用 HTTPS 的安装。