Zelfstudie: Azure AD SSO-integratie met JIRA SAML SSO door Microsoft - Microsoft Entra (2023)

In deze zelfstudie leert u hoe u JIRA SAML SSO van Microsoft integreert met Azure Active Directory (Azure AD). Wanneer u JIRA SAML SSO van Microsoft integreert met Azure AD, kunt u:

• Bepaal in Azure AD wie toegang heeft tot JIRA SAML SSO van Microsoft.
• Zorg ervoor dat uw gebruikers automatisch worden aangemeld bij JIRA SAML SSO door Microsoft met hun Azure AD-accounts.
• Beheer uw accounts op één centrale locatie: de Azure-portal.

Beschrijving

Gebruik uw Microsoft Azure Active Directory-account met de Atlassian JIRA-server om eenmalige aanmelding mogelijk te maken. Op deze manier kunnen alle gebruikers van uw organisatie de Azure AD-referenties gebruiken om zich aan te melden bij de JIRA-toepassing. Deze plug-in gebruikt SAML 2.0 voor federatie.

Vereisten

Om Azure AD-integratie met JIRA SAML SSO van Microsoft te configureren, hebt u de volgende items nodig:

• Een Azure AD-abonnement. Als je geen abonnement hebt, kun je eengratis account.
• JIRA Core en Software 6.4 tot 9.7.0 of JIRA Service Desk 3.0 tot 4.22.1 moeten worden geïnstalleerd en geconfigureerd op Windows 64-bits versie.
• JIRA-server is HTTPS ingeschakeld.
• Merk op dat de ondersteunde versies voor de JIRA-plug-in in het onderstaande gedeelte worden vermeld.
• De JIRA-server is bereikbaar op internet, met name op de aanmeldingspagina van Azure AD voor authenticatie en zou het token van Azure AD moeten kunnen ontvangen.
• Beheerdersreferenties worden ingesteld in JIRA.
• WebSudo is uitgeschakeld in JIRA.
• Testgebruiker gemaakt in de JIRA-servertoepassing.

Om aan de slag te gaan, hebt u de volgende items nodig:

• Gebruik uw productieomgeving niet, tenzij het noodzakelijk is.
• JIRA SAML SSO door Microsoft single sign-on (SSO) ingeschakeld abonnement.

Ondersteunde versies van JIRA

• JIRA Core en software: 6.4 tot 9.7.0.
• JIRA Servicedesk 3.0 tot 4.22.1.
• JIRA ondersteunt ook 5.2. Klik voor meer detailsMicrosoft Azure Active Directory eenmalige aanmelding voor JIRA 5.2.

Scenariobeschrijving

In deze zelfstudie configureert en test u Azure AD SSO in een testomgeving.

• JIRA SAML SSO door Microsoft ondersteuntSPSSO gestart.

JIRA SAML SSO door Microsoft toevoegen vanuit de galerie

Om de integratie van JIRA SAML SSO van Microsoft in Azure AD te configureren, moet u JIRA SAML SSO van Microsoft uit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

1. Meld u aan bij de Azure-portal met een werk- of schoolaccount of een persoonlijk Microsoft-account.
2. Selecteer in het linkernavigatievenster deAzure Active Directorydienst.
3. Navigeren naarEnterprise applicatiesen selecteer vervolgensAlle applicaties.
4. Selecteer om een ​​nieuwe toepassing toe te voegenNieuwe applicatie.
5. In deToevoegen vanuit de galerijsectie, typenJIRA SAML SSO door Microsoftin het zoekvak.
6. SelecteerJIRA SAML SSO door Microsoftvanuit het resultatenpaneel en voeg vervolgens de app toe. Wacht een paar seconden terwijl de app wordt toegevoegd aan uw Tenant.

Als alternatief kunt u ook deConfiguratiewizard Enterprise-app. In deze wizard kunt u een applicatie aan uw tenant toevoegen, gebruikers/groepen aan de app toevoegen, rollen toewijzen en ook de SSO-configuratie doorlopen.Meer informatie over Microsoft 365-wizards.

Configureer en test Azure AD SSO voor JIRA SAML SSO door Microsoft

Configureer en test Azure AD SSO met JIRA SAML SSO door Microsoft met behulp van een aangeroepen testgebruikerB.Simon. Om SSO te laten werken, moet u een koppelingsrelatie tot stand brengen tussen een Azure AD-gebruiker en de gerelateerde gebruiker in JIRA SAML SSO van Microsoft.

Voer de volgende stappen uit om Azure AD SSO met JIRA SAML SSO van Microsoft te configureren en te testen:

1. Configureer Azure AD SSO- om uw gebruikers in staat te stellen deze functie te gebruiken.
   1. Maak een Azure AD-testgebruiker- om eenmalige aanmelding van Azure AD met B.Simon te testen.
   2. Wijs de Azure AD-testgebruiker toe- om B.Simon in staat te stellen Azure AD eenmalige aanmelding te gebruiken.
2. Configureer JIRA SAML SSO door Microsoft SSO- om de instellingen voor eenmalige aanmelding aan de applicatiezijde te configureren.
   1. Maak JIRA SAML SSO door Microsoft-testgebruiker- een tegenhanger van B.Simon in JIRA SAML SSO van Microsoft te hebben die is gekoppeld aan de Azure AD-representatie van gebruiker.
3. SSO testen- om te controleren of de configuratie werkt.

Configureer Azure AD SSO

Volg deze stappen om Azure AD SSO in te schakelen in de Azure-portal.

1. In de Azure-portal, op deJIRA SAML SSO door Microsoftapplicatie-integratiepagina, vind deBeherensectie en selecteereenmalig inloggen.

2. Op deSelecteer een eenmalige aanmeldingsmethodepagina, selecteerSAML.

3. Op deStel eenmalige aanmelding in met SAMLpagina, klik op het potloodpictogram voorBasis SAML-configuratieom de instellingen te bewerken.

   

4. Op deBasis SAML-configuratiesectie, voert u de volgende stappen uit:

   A. In deIdentificatieTyp een URL met behulp van het volgende patroon:https:///

   B. In deAntwoord-URLtypt u een URL volgens het volgende patroon:https:///plugins/servlet/saml/auth

   A. In deAanmeldings-URLtypt u een URL volgens het volgende patroon:https:///plugins/servlet/saml/auth

   Opmerking

   See Also

   Quickstart: Azure Active Directory Naadloze eenmalige aanmelding - Microsoft Entra

   Deze waarden zijn niet reëel. Werk deze waarden bij met de werkelijke ID, antwoord-URL en aanmeldings-URL. Poort is optioneel als het een benoemde URL is. Deze waarden worden ontvangen tijdens de configuratie van de Jira-plug-in, wat verderop in de zelfstudie wordt uitgelegd.

5. Op deStel eenmalige aanmelding in met SAMLpagina, In deSAML-ondertekeningscertificaatsectie, klik op de kopieerknop om te kopiërenMetadata-URL van app-federatieen sla het op uw computer op.

   

6. Het kenmerk Naam-ID in Azure AD kan worden toegewezen aan elk gewenst gebruikerskenmerk door de sectie Kenmerken en claims te bewerken.

   

   A. Nadat u op Bewerken heeft geklikt, kan elk gewenst gebruikersattribuut worden toegewezen door op Unieke gebruikersidentificatie (naam-ID) te klikken.

   

   B. Op het volgende scherm kan de gewenste attribuutnaam, zoals user.userprincipalname, worden geselecteerd als een optie in het vervolgkeuzemenu Bronattribuut.

   

   C. De selectie kan vervolgens worden opgeslagen door bovenaan op de knop Opslaan te klikken.

   

   D. Nu wordt de kenmerkbron user.userprincipalname in Azure AD toegewezen aan de naam ID van het kenmerk in Azure AD, die door de SSO-invoegtoepassing wordt vergeleken met het kenmerk gebruikersnaam in Atlassian.

   

   Opmerking

   De SSO-service van Microsoft Azure ondersteunt SAML-authenticatie die gebruikersidentificatie kan uitvoeren met behulp van verschillende kenmerken, zoals voornaam (voornaam), achternaam (achternaam), e-mail (e-mailadres) en user principal name (gebruikersnaam). We raden aan om e-mail niet te gebruiken als verificatiekenmerk, omdat e-mailadressen niet altijd worden geverifieerd door Azure AD. De plug-in vergelijkt de waarden van het Atlassian-gebruikersnaamkenmerk met het NameID-kenmerk in Azure AD om de geldige gebruikersauthenticatie te bepalen.

7. Als uw Azure-tenant heeftgast gebruikersvolg dan de onderstaande configuratiestappen:

   A. Klik oppotloodpictogram om naar de sectie Kenmerken en claims te gaan.

   

   B. Klik opNaamIDop Attributen & Claims sectie.

   

   C. Stel de claimvoorwaarden in op basis van het gebruikerstype.

   

   Opmerking

   Geef de NameID-waarde alsuser.userprinciplenamevoor leden engebruiker.mailvoor externe gasten.

   D.Reddende wijzigingen en verifieer de SSO voor externe gastgebruikers.

Maak een Azure AD-testgebruiker

In deze sectie maakt u een testgebruiker in de Azure-portal met de naam B.Simon.

1. Selecteer in het linkerdeelvenster van de Azure-portalAzure Active Directory, selecteerGebruikersen selecteer vervolgensAlle gebruikers.
2. SelecteerNieuwe gebruikerbovenaan het scherm.
3. In deGebruikereigenschappen, volg deze stappen:
   1. In deNaamveld, voer inB.Simon.
   2. In deGebruikersnaamVoer in het veld gebruikersnaam@bedrijfsdomein.extensie in. Bijvoorbeeld,B.Simon@contoso.com.
   3. Selecteer deLaat wachtwoord zienselectievakje in en noteer vervolgens de waarde die wordt weergegeven in hetWachtwoorddoos.
   4. KlikCreëren.

Wijs de Azure AD-testgebruiker toe

In deze sectie stelt u B.Simon in staat om eenmalige aanmelding van Azure te gebruiken door toegang te verlenen tot JIRA SAML SSO van Microsoft.

1. Selecteer in de Azure-portalEnterprise applicatiesen selecteer vervolgensAlle toepassingen.
2. Selecteer in de lijst met applicatiesJIRA SAML SSO door Microsoft.
3. Zoek op de overzichtspagina van de app hetBeherensectie en selecteerGebruikers en groepen.
4. SelecteerVoeg gebruiker toeen selecteer vervolgensGebruikers en groepenin deOpdracht toevoegendialoog.
5. In deGebruikers en groependialoogvenster, selecteerB.Simonuit de gebruikerslijst en klik vervolgens op deSelecteerknop onderaan het scherm.
6. Als u verwacht dat er een rol wordt toegewezen aan de gebruikers, kunt u deze selecteren in deSelecteer een rollaten vallen. Als er geen rol is ingesteld voor deze app, ziet u de rol "Standaardtoegang" geselecteerd.
7. In deOpdracht toevoegendialoogvenster, klik op deToewijzenknop.

Configureer JIRA SAML SSO door Microsoft SSO

1. Meld u in een ander webbrowservenster aan bij uw JIRA-instantie als beheerder.

2. Plaats de muisaanwijzer op het tandwiel en klik op deAdd-ons.

   

3. Download de plug-in vanMicrosoft Downloadcentrum. Upload de door Microsoft geleverde plug-in handmatig met behulp vanAdd-on uploadenmenu. Het downloaden van de plug-in valt onderMicrosoft-serviceovereenkomst.

   

4. Voer de volgende stappen uit om het JIRA reverse proxy-scenario of load balancer-scenario uit te voeren:

   Opmerking

   U moet eerst de server configureren met de onderstaande instructies en vervolgens de plug-in installeren.

   A. Voeg onderstaand attribuut toeverbindingsstukhaven binnenserver.xmlbestand van de JIRA-servertoepassing.

   scheme="https" proxyName="" proxyPort="" secure="true"

   

   B. WijzigingBasis-URLinSysteem instellingenvolgens proxy/loadbalancer.

   

5. Zodra de plug-in is geïnstalleerd, verschijnt deze inGebruiker geïnstalleerdadd-ons gedeelte vanAdd-on beherensectie. KlikConfigurerenom de nieuwe plug-in te configureren.

   

6. Voer de volgende stappen uit op de configuratiepagina:

   

   Tip

   Zorg ervoor dat er slechts één certificaat is toegewezen aan de app, zodat er geen fout optreedt bij het oplossen van de metadata. Als er meerdere certificaten zijn, krijgt de beheerder bij het oplossen van de metadata een foutmelding.

   A. In deMetadata-URLtekstvak, plakkenMetadata-URL van app-federatiewaarde die u hebt gekopieerd uit de Azure-portal en klik op deOplossenknop. Het leest de IdP-metadata-URL en vult alle veldinformatie in.

   B. Kopieer deIdentificatie, antwoord-URL en aanmeldings-URLwaarden en plak ze erinIdentificatie, antwoord-URL en aanmeldings-URLtekstvakken respectievelijk inJIRA SAML SSO per Microsoft-domein en URL'sgedeelte over Azure-portal.

   C. InNaam inlogknoptyp de naam van de knop die uw organisatie de gebruikers wil laten zien op het inlogscherm.

   D. InBeschrijving van de inlogknoptyp de beschrijving van de knop die uw organisatie de gebruikers wil laten zien op het inlogscherm.

   e. InSAML-gebruikers-ID-locatiesselecteer een van beideGebruikers-ID bevindt zich in het NameIdentifier-element van de Subject-instructieofGebruikers-ID bevindt zich in een kenmerkelement. Dit ID moet het JIRA-gebruikers-ID zijn. Als de gebruikers-ID niet overeenkomt, staat het systeem gebruikers niet toe om in te loggen.

   Opmerking

   Standaard SAML User ID-locatie is Name Identifier. U kunt dit wijzigen in een attribuutoptie en de juiste attribuutnaam invoeren.

   F. Als u selecteertGebruikers-ID bevindt zich in een kenmerkelementoptie, dan inAttribuut naamtyp de naam van het attribuut waar User ID wordt verwacht.

   G. Als u het gefedereerde domein (zoals ADFS etc.) met Azure AD gebruikt, klikt u op deHome Realm Discovery inschakelenoptie en configureer deDomeinnaam.

   H. InDomeinnaamtyp hier de domeinnaam in het geval van ADFS-gebaseerde login.

   i. RekeningSchakel eenmalige afmelding inals u zich wilt afmelden bij Azure AD wanneer een gebruiker zich afmeldt bij JIRA.

   J. InschakelenForceer Azure-aanmeldingselectievakje in als u zich alleen wilt aanmelden met Azure AD-referenties.

   Opmerking

   Als u het standaard aanmeldingsformulier voor beheerdersaanmelding op de aanmeldingspagina wilt inschakelen wanneer geforceerde azure-aanmelding is ingeschakeld, voegt u de queryparameter toe aan de browser-URL.https:///login.jsp?force_azure_login=false

   k.Gebruik van toepassingsproxy inschakelenselectievakje, als u uw atlassian-toepassing op locatie hebt geconfigureerd in een App Proxy-configuratie.

   • Volg voor het instellen van de app-proxy de stappen op deDocumentatie voor Azure AD-app-proxy.

   ik. KlikReddenknop om de instellingen op te slaan.

   Opmerking

   Ga voor meer informatie over installatie en probleemoplossing naarMS JIRA SSO Connector-beheerdershandleiding. Er is ook eenFAQvoor uw hulp.

Maak JIRA SAML SSO door Microsoft-testgebruiker

Om Azure AD-gebruikers in staat te stellen zich aan te melden bij de JIRA on-premises server, moeten ze door Microsoft zijn ingericht in JIRA SAML SSO. Voor JIRA SAML SSO van Microsoft is inrichting een handmatige taak.

Voer de volgende stappen uit om een ​​gebruikersaccount in te richten:

1. Meld u als beheerder aan bij uw JIRA on-premises server.

2. Plaats de muisaanwijzer op het tandwiel en klik op deGebruikersbeheer.

   

3. U wordt omgeleid naar de beheerderstoegangspagina om binnen te komenWachtwoorden klikBevestigenknop.

   

4. OnderGebruikersbeheertabbladgedeelte, klikgebruiker aanmaken.

   

5. Op de“Nieuwe gebruiker aanmaken”dialoogvenster voert u de volgende stappen uit:

   

   A. In deE-mailadrestypt u het e-mailadres van de gebruiker, bijvoorbeeld B.simon@contoso.com.

   B. In deVoor-en achternaamtyp de volledige naam van de gebruiker zoals B.Simon.

   C. In deGebruikersnaamtypt u het e-mailadres van de gebruiker, zoals B.simon@contoso.com.

   D. In deWachtwoordtyp het wachtwoord van user.

   e. KlikGebruiker maken.

SSO testen

In deze sectie test u uw Azure AD-configuratie voor eenmalige aanmelding met de volgende opties.

• Klik opTest deze applicatiein Azure-portal. Hiermee wordt u omgeleid naar JIRA SAML SSO via de Microsoft-aanmeldings-URL, waar u de inlogstroom kunt starten.

• Ga rechtstreeks naar JIRA SAML SSO via de aanmeldings-URL van Microsoft en start vanaf daar de inlogstroom.

• U kunt Microsoft Mijn Apps gebruiken. Wanneer u op de JIRA SAML SSO by Microsoft-tegel in Mijn apps klikt, wordt deze omgeleid naar JIRA SAML SSO by Microsoft Sign-on URL. Voor meer informatie over de Mijn Apps, zieInleiding tot de Mijn Apps.

Volgende stappen

Zodra je JIRA SAML SSO van Microsoft hebt geconfigureerd, kun je sessiebeheer afdwingen, dat exfiltratie en infiltratie van de gevoelige gegevens van je organisatie in realtime beschermt. Sessiebeheer strekt zich uit van voorwaardelijke toegang.Leer hoe u sessiebeheer kunt afdwingen met Microsoft Defender voor Cloud Apps.