Поделиться через

Руководство по интеграции единого входа Microsoft Entra с EasySSO for Confluence

  • Статья

В этом руководстве вы узнаете, как интегрировать EasySSO for Confluence с идентификатором Microsoft Entra ID. Интеграция EasySSO for Confluence с идентификатором Microsoft Entra можно:

  • Контроль доступа к Confluence с помощью идентификатора Microsoft Entra.
  • Включите автоматический вход пользователей в Confluence с помощью учетных записей Microsoft Entra.
  • Управление учетными записями в одном центральном расположении.

Необходимые компоненты

Чтобы приступить к работе, потребуется следующее.

  • Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
  • Подписка EasySSO for Confluence с поддержкой единого входа.

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • EasySSO for Confluence поддерживает систему единого входа, инициируемого поставщиком услуг и поставщиком удостоверений.
  • EasySSO for Confluence поддерживает JIT-подготовку пользователей.

Чтобы настроить интеграцию EasySSO for Confluence с идентификатором Microsoft Entra ID, необходимо добавить EasySSO для Confluence из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
  3. В разделе Добавление из коллекции в поле поиска введите EasySSO for Confluence.
  4. Выберите EasySSO for Confluence в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для EasySSO for Confluence

Настройте и проверьте единый вход Microsoft Entra в EasySSO for Confluence с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в EasySSO for Confluence.

Чтобы настроить и проверить единый вход Microsoft Entra в EasySSO for Confluence, выполните следующие действия:

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
  2. Настройка единого входа в EasySSO for Confluence необходима, чтобы настроить параметры единого входа на стороне приложения.
    1. Создание тестового пользователя EasySSO для Confluence требуется для того, чтобы в EasySSO for Confluence был создан пользователь B.Simon, связанный с представлением пользователя Microsoft Entra.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

  2. Перейдите к приложениям>Identity>Applications>Enterprise EasySSO для единого входа Confluence.>

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

    Edit Basic SAML Configuration

  5. Если вы хотите настроить приложение в режиме, инициируемом поставщиком удостоверений, в разделе Базовая конфигурация SAML введите значения следующих полей.

    a. В текстовом поле Идентификатор введите URL-адрес в следующем формате: https://<server-base-url>/plugins/servlet/easysso/saml.

    b. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате: https://<server-base-url>/plugins/servlet/easysso/saml.

  6. Чтобы настроить приложение для работы в режиме, инициируемом поставщиком услуг, щелкните Задать дополнительные URL-адреса и выполните следующие действия.

    В текстовом поле URL-адрес входа введите URL-адрес в формате https://<server-base-url>/login.jsp.

    Примечание.

    Эти значения приведены для примера. Замените их фактическими значениями идентификатора, URL-адреса ответа и URL-адреса входа. Чтобы получить эти значения, обратитесь в группу поддержки клиентов EasySSO. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

  7. Приложение EasySSO for Confluence ожидает проверочные утверждения SAML в определенном формате, поэтому следует добавить настраиваемые сопоставления атрибутов в вашу конфигурацию атрибутов токена SAML. На следующем снимке экрана показан список атрибутов по умолчанию.

    image

  8. В дополнение к описанному выше приложение EasySSO for Confluence ожидает несколько дополнительных атрибутов в ответе SAML, как показано ниже. Эти атрибуты также заранее заполнены, но вы можете изменить их в соответствии со своими требованиями.

    Имя. Атрибут источника
    urn:oid:0.9.2342.19200300.100.1.1 user.userprincipalname
    urn:oid:0.9.2342.19200300.100.1.3 user.mail
    urn:oid:2.16.840.1.113730.3.1.241 user.displayname
    urn:oid:2.5.4.4 user.surname
    urn:oid:2.5.4.42 user.givenname

    Если у пользователей Microsoft Entra настроен sAMAccountName , необходимо сопоставить urn:oid:0.9.2342.19200300.100.1.1 на атрибут sAMAccountName .

  9. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML нажмите кнопку Скачать, чтобы скачать Сертификат (Base64) или XML метаданных федерации, и сохраните один из них или оба на компьютере. Они также потребуются позже, чтобы настроить EasySSO для Confluence.

    The Certificate download link

    Если вы планируете выполнить настройку EasySSO для Confluence вручную с сертификатом, необходимо также скопировать URL-адрес входа и идентификатор Microsoft Entra из раздела ниже и сохранить их на компьютере.

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Войдите в Центр администрирования Microsoft Entra как минимум пользователь Администратор istrator.
  2. Перейдите ко всем пользователям удостоверений>>.
  3. Выберите "Создать пользователя>" в верхней части экрана.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле "Отображаемое имя" введите B.Simon.
    2. В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Выберите Review + create (Просмотреть и создать).
  5. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к EasySSO for Confluence.

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите к приложениям>Identity>Applications>Enterprise EasySSO для Confluence.
  3. На странице обзора приложения выберите "Пользователи" и "Группы".
  4. Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
    1. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
    2. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
    3. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка единого входа в EasySSO for Confluence

  1. В другом окне веб-браузера войдите на корпоративный сайт EasySSO for Confluence в качестве администратора и перейдите к разделу "Управление приложениями ".

    Manage Apps

  2. На левой стороне найдите пункт EasySSO и щелкните его. Затем нажмите кнопку Configure (Настройка).

    Easy SSO

  3. Выберите параметр SAML. Вы перейдете к разделу конфигурации SAML.

    SAML

  4. В верхней части окна выберите Сертификаты, и отобразится следующий экран:

    Metadata URL

  5. Теперь найдите сертификат (Base64) или файл метаданных, сохраненный на предыдущих шагах конфигурации единого входа Microsoft Entra. Далее можно воспользоваться одним из следующих вариантов:

    a. Используйте файл метаданных федерации приложений, загруженный в локальный файл на компьютере. Выберите переключатель Upload (Отправить) и выполните инструкции в диалоговом окне отправки файла, которые зависят от вашей операционной системы.

    ИЛИ

    b. Откройте файл метаданных федерации приложений, чтобы просмотреть содержимое файла (в любом редакторе обычного текста) и скопировать его в буфер обмена. Выберите параметр Input (Входные данные) и вставьте содержимое буфера обмена в текстовое поле.

    ИЛИ

    c. Полная настройка вручную. Откройте сертификат (Base64) федерации приложений, чтобы просмотреть содержимое файла (в любом редакторе обычного текста) и скопировать его в буфер обмена. Вставьте файл в текстовое поле IdP Token Signing Certificates (IdP-сертификаты для подписи маркеров). Затем перейдите на вкладку "Общие" и заполните поля URL-адреса привязки POST и идентификатора сущности соответствующими значениями для URL-адреса входа и идентификатора записи Майкрософт, сохраненных ранее.

  6. В нижней части страницы нажмите кнопку Save (Сохранить). Содержимое файлов метаданных или сертификатов анализируется в полях конфигурации. Настройка EasySSO for Confluence завершена.

  7. Для лучшего тестирования перейдите на вкладку Look & Feel (Дизайн и функциональность) и установите флажок SAML Login Button (Кнопка входа SAML). Это позволит включить отдельную кнопку на экране входа Confluence специально для проверки завершения интеграции Microsoft Entra SAML. Эту кнопку можно оставить включенной, а также настроить ее размещение, цвет и преобразовать ее для рабочего режима.

    Look & Feel

    Примечание.

    Если у вас возникнут проблемы, обратитесь в группу поддержки EasySSO.

Создание тестового пользователя EasySSO for Confluence

В этом разделе показано, как создать в Confluence пользователя Britta Simon. Приложение EasySSO for Confluence поддерживает JIT-подготовку пользователей, которая отключена по умолчанию. Чтобы включить подготовку пользователей, необходимо в разделе General (Общие) подключаемого модуля конфигурации EasySSO явно установить флажок Create user on successful login (Создать пользователя при успешном входе). Если пользователь еще не существует в Confluence, он создается после проверки подлинности.

Но если вы не хотите включать автоматическую подготовку пользователей при первом входе в систему, они должны существовать во внутренних каталогах пользователей, которые использует экземпляр Confluence, например LDAP или Atlassian Crowd.

User provisioning

Проверка единого входа

Рабочий процесс, инициированный поставщиком удостоверений

В этом разделе описана проверка конфигурации единого входа Microsoft Entra с помощью Мои приложения.

Щелкнув элемент EasySSO для Confluence на портале "Мои приложения", вы автоматически войдете в экземпляр Confluence, для которого настроен единый вход. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Рабочий процесс, инициированный поставщиком услуг

В этом разделе описана проверка конфигурации единого входа Microsoft Entra с помощью кнопки Confluence SAML Login .

User SAML login

В этом сценарии предполагается, что вы включили параметр SAML Login Button (Кнопка входа SAML) на вкладке Look & Feel (Дизайн и функциональность) на странице конфигурации EasySSO для Confluence (см. выше). Откройте URL-адрес входа Confluence в браузере в режиме инкогнито, чтобы избежать пересечений с существующими сеансами. Нажмите кнопку "Имя входа SAML" , и вы будете перенаправлены в поток проверки подлинности пользователя Microsoft Entra. После успешного завершения вы будете перенаправлены к экземпляру Confluence в качестве пользователя, прошедшего проверку подлинности с помощью SAML.

Существует вероятность, что вы можете столкнуться со следующим экраном после перенаправления обратно из идентификатора Microsoft Entra

EasySSO failure screen

В этом случае необходимо выполнить инструкции на этой странице, чтобы получить доступ к файлу atlassian-confluence.log. Подробные сведения об этой ошибке см. по ссылочному идентификатору на странице ошибки EasySSO.

Если у вас возникнут проблемы с приемом сообщений журнала, обратитесь в группу поддержки EasySSO.

Следующие шаги

После настройки EasySSO for Confluence вы можете применить функцию управления сеансом, которая защищает от хищения данных и несанкционированного доступа к конфиденциальным данным вашей организации в реальном времени. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.