Samouczek: integracja logowania jednokrotnego (SSO) firmy Microsoft z aplikacją EasySSO for Confluence
Z tego samouczka dowiesz się, jak zintegrować aplikację EasySSO for Confluence z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu aplikacji EasySSO for Confluence z usługą Microsoft Entra ID można wykonywać następujące czynności:
- Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do aplikacji Confluence.
- Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Confluence przy użyciu kont Microsoft Entra.
- Zarządzaj kontami w jednej centralnej lokalizacji.
Wymagania wstępne
Do rozpoczęcia pracy potrzebne są następujące elementy:
- Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
- Subskrypcja aplikacji EasySSO for Confluence z obsługą logowania jednokrotnego.
Opis scenariusza
W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.
- Aplikacja EasySSO for Confluence obsługuje logowanie jednokrotne inicjowane przez dostawcę usług i dostawcę tożsamości.
- Aplikacja EasySSO for Confluence obsługuje aprowizowanie użytkowników just in time .
Dodawanie aplikacji EasySSO for Confluence z galerii
Aby skonfigurować integrację aplikacji EasySSO for Confluence z usługą Microsoft Entra ID, należy dodać aplikację EasySSO for Confluence z galerii do listy zarządzanych aplikacji SaaS.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
- Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
- W sekcji Dodawanie z galerii wpisz EasySSO for Confluence w polu wyszukiwania.
- Wybierz pozycję EasySSO for Confluence z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.
Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.
Konfigurowanie i testowanie aplikacji Microsoft Entra SSO for EasySSO for Confluence
Konfigurowanie i testowanie aplikacji Microsoft Entra SSO z aplikacją EasySSO for Confluence przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem aplikacji EasySSO for Confluence.
Aby skonfigurować i przetestować usługę Microsoft Entra SSO z aplikacją EasySSO for Confluence, wykonaj następujące kroki:
- Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
- Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z aplikacją B.Simon.
- Przypisz użytkownika testowego aplikacji Microsoft Entra — aby włączyć aplikację B.Simon do korzystania z logowania jednokrotnego firmy Microsoft Entra.
- Konfigurowanie aplikacji EasySSO for Confluence SSO — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
- Tworzenie użytkownika testowego aplikacji EasySSO for Confluence — aby mieć w aplikacji EasySSO for Confluence odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
- Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.
Konfigurowanie logowania jednokrotnego firmy Microsoft
Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
Przejdź do aplikacji >identity>Applications>Dla przedsiębiorstw EasySSO for Confluence>Single sign-on.
Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.
Jeśli chcesz skonfigurować aplikację w trybie inicjowany przez dostawcę tożsamości, w sekcji Podstawowa konfiguracja protokołu SAML wprowadź wartości następujących pól:
a. W polu tekstowym Identyfikator wpisz adres URL, korzystając z następującego wzorca:
https://<server-base-url>/plugins/servlet/easysso/saml
b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca:
https://<server-base-url>/plugins/servlet/easysso/saml
Kliknij przycisk Ustaw dodatkowe adresy URL i wykonaj następujący krok, jeśli chcesz skonfigurować aplikację w trybie inicjowania przez dostawcę usług:
W polu tekstowym Adres URL logowania wpisz adres URL, korzystając z następującego wzorca:
https://<server-base-url>/login.jsp
Uwaga
Te wartości nie są prawdziwe. Należy je zastąpić rzeczywistymi wartościami identyfikatora, adresu URL odpowiedzi i adresu URL logowania. W razie wątpliwości skontaktuj się z zespołem pomocy technicznej aplikacji EasySSO, aby uzyskać te wartości. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.
Aplikacja EasySSO for Confluence oczekuje asercji SAML w określonym formacie, co wymaga dodania mapowań atrybutów niestandardowych do konfiguracji atrybutów tokenu JĘZYKA SAML. Poniższy zrzut ekranu przedstawia listę atrybutów domyślnych.
Oprócz powyższych, aplikacja EasySSO for Confluence oczekuje, że kilka atrybutów zostanie przekazanych z powrotem w odpowiedzi SAML, która jest pokazana poniżej. Te atrybuty są również wstępnie wypełnione, ale można je przejrzeć zgodnie z wymaganiami.
Nazwisko Atrybut źródłowy urn:oid:0.9.2342.19200300.100.1.1 user.userprincipalname urn:oid:0.9.2342.19200300.100.1.3 user.mail urn:oid:2.16.840.1.113730.3.1.241 user.displayname urn:oid:2.5.4.4 user.surname urn:oid:2.5.4.42 user.givenname Jeśli użytkownicy usługi Microsoft Entra mają skonfigurowaną nazwę sAMAccountName , musisz mapować wartość urn:oid:0.9.2342.19200300.100.1.1 na atrybut sAMAccountName .
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML kliknij pozycję Pobierz linki dla opcji Certyfikat (Base64) lub Xml metadanych federacji i zapisz plik LUB wszystkie na komputerze. Będzie on potrzebny później do skonfigurowania aplikacji Confluence EasySSO.
Jeśli planujesz ręcznie wykonać konfigurację aplikacji EasySSO for Confluence przy użyciu certyfikatu, musisz również skopiować adres URL logowania i identyfikator entra firmy Microsoft z poniższej sekcji i zapisać je na komputerze.
Tworzenie użytkownika testowego aplikacji Microsoft Entra
W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
- Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy.
- Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
- We właściwościach użytkownika wykonaj następujące kroki:
- W polu Nazwa wyświetlana wprowadź wartość
B.Simon
. - W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład
B.Simon@contoso.com
. - Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
- Wybierz pozycję Przejrzyj i utwórz.
- W polu Nazwa wyświetlana wprowadź wartość
- Wybierz pozycję Utwórz.
Przypisywanie użytkownika testowego aplikacji Microsoft Entra
W tej sekcji włączysz aplikację B.Simon, aby korzystać z logowania jednokrotnego, udzielając dostępu do aplikacji EasySSO for Confluence.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
- Przejdź do aplikacji >dla przedsiębiorstw Identity>Applications>EasySSO for Confluence.
- Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
- Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
- W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
- Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
- W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.
Konfigurowanie aplikacji EasySSO for Confluence SSO
W innym oknie przeglądarki internetowej zaloguj się do firmowej witryny aplikacji EasySSO for Confluence jako administrator i przejdź do sekcji Zarządzanie aplikacjami .
Po lewej stronie znajdź pozycję EasySSO i kliknij ją. Następnie kliknij przycisk Konfiguruj .
Wybierz opcję SAML . Spowoduje to przejście do sekcji konfiguracji SAML.
Wybierz kartę Certyfikaty u góry i zostanie wyświetlony następujący ekran:
Teraz znajdź plik certyfikatu (Base64) lub plik metadanych zapisany we wcześniejszych krokach konfiguracji logowania jednokrotnego firmy Microsoft Entra. Dostępne są następujące opcje:
a. Użyj pobranego pliku metadanych federacji aplikacji do pliku lokalnego na komputerze. Wybierz przycisk radiowy Przekaż i postępuj zgodnie z oknem dialogowym przekazywania pliku specyficznym dla twojego systemu operacyjnego
OR
b. Otwórz plik metadanych federacji aplikacji, aby wyświetlić zawartość (w dowolnym edytorze zwykłego tekstu) pliku i skopiować go do schowka. Wybierz opcję Dane wejściowe i wklej zawartość schowka do pola tekstowego.
OR
c. W pełni ręczna konfiguracja. Otwórz certyfikat federacyjny aplikacji (Base64), aby wyświetlić zawartość (w dowolnym edytorze zwykłego tekstu) pliku i skopiować go do schowka. Wklej go w polu tekstowym IdP Token Signing Certificates (Certyfikaty podpisywania tokenów dostawcy tożsamości). Następnie przejdź do karty Ogólne i wypełnij pola Adres URL powiązania POST i Identyfikator jednostki z odpowiednimi wartościami dla adresu URL logowania i identyfikatora entra firmy Microsoft zapisanych wcześniej.
Kliknij przycisk Zapisz w dolnej części strony. Zobaczysz, że zawartość plików metadanych lub certyfikatów zostanie przeanalizowana w polach konfiguracji. Konfiguracja aplikacji EasySSO for Confluence została ukończona.
Aby uzyskać najlepsze środowisko testowania, przejdź do karty Look &Feel i zaznacz opcję Przycisk logowania SAML. Spowoduje to włączenie oddzielnego przycisku na ekranie logowania platformy Confluence specjalnie w celu przetestowania kompleksowej integracji rozwiązania Microsoft Entra SAML. Możesz również pozostawić ten przycisk i skonfigurować jego umieszczanie, kolor i tłumaczenie dla trybu produkcyjnego.
Uwaga
Jeśli masz jakiekolwiek problemy, skontaktuj się z zespołem pomocy technicznej aplikacji EasySSO.
Tworzenie użytkownika testowego aplikacji EasySSO for Confluence
W tej sekcji w aplikacji Confluence jest tworzony użytkownik o nazwie Britta Simon. Aplikacja EasySSO for Confluence obsługuje aprowizację użytkowników just in time, która jest domyślnie wyłączona . Aby włączyć aprowizację użytkowników, musisz jawnie zaznaczyć opcję Utwórz użytkownika po pomyślnym zalogowaniu w sekcji Ogólne konfiguracji wtyczki EasySSO. Jeśli użytkownik jeszcze nie istnieje w aplikacji Confluence, zostanie utworzony po uwierzytelnieniu.
Jeśli jednak nie chcesz włączyć automatycznej aprowizacji użytkowników podczas pierwszego logowania użytkownika, użytkownicy muszą istnieć w katalogach użytkowników zaplecza, z których korzysta wystąpienie Confluence, takie jak LDAP lub Atlassian Crowd.
Testowanie logowania jednokrotnego
Przepływ pracy inicjowany przez dostawcę tożsamości
W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft przy użyciu Moje aplikacje.
Po kliknięciu kafelka EasySSO for Confluence w Moje aplikacje powinno nastąpić automatyczne zalogowanie do wystąpienia aplikacji Confluence, dla którego skonfigurowano logowanie jednokrotne. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.
Przepływ pracy inicjowany przez dostawcę usług
W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft Entra przy użyciu przycisku Confluence SAML Login (Logowanie saml ).
W tym scenariuszu zakłada się, że włączono przycisk logowania SAML na karcie Look &Feel na stronie konfiguracji Aplikacji Confluence EasySSO (patrz powyżej). Otwórz adres URL logowania aplikacji Confluence w trybie incognito przeglądarki, aby uniknąć jakiejkolwiek ingerencji w istniejące sesje. Kliknij przycisk Logowania SAML i nastąpi przekierowanie do przepływu uwierzytelniania użytkownika Entra firmy Microsoft. Po pomyślnym zakończeniu nastąpi przekierowanie z powrotem do wystąpienia platformy Confluence jako uwierzytelniony użytkownik za pośrednictwem protokołu SAML.
Istnieje możliwość, że po przekierowaniu z powrotem z identyfikatora Entra firmy Microsoft może wystąpić następujący ekran
W takim przypadku musisz postępować zgodnie z instrukcjami na tej stronie , aby uzyskać dostęp do pliku atlassian-confluence.log . Szczegóły błędu będą dostępne według identyfikatora referencyjnego znalezionego na stronie błędu EasySSO.
Jeśli masz problemy z szyfrowaniem komunikatów dziennika, skontaktuj się z zespołem pomocy technicznej aplikacji EasySSO.
Następne kroki
Po skonfigurowaniu aplikacji EasySSO for Confluence możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.