Freigeben über


Tutorial: Integration des einmaligen Anmeldens (SSO) von Microsoft Entra in EasySSO for Jira

In diesem Tutorial erfahren Sie, wie Sie EasySSO for Jira in Microsoft Entra ID integrieren. Die Integration von EasySSO for Jira in Microsoft Entra ID ermöglicht Ihnen Folgendes:

  • Sie können in Microsoft Entra ID steuern, wer Zugriff auf Jira hat.
  • Sie können Ihren Benutzer*innen ermöglichen, sich mit ihren Microsoft Entra-Konten automatisch bei Jira anzumelden.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

Für die ersten Schritte benötigen Sie Folgendes:

  • Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
  • EasySSO for Jira-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist

Beschreibung des Szenarios

In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

  • EasySSO for Jira unterstützt SP- und IDP-initiiertes einmaliges Anmelden.
  • EasySSO for Jira unterstützt die Just-In-Time-Benutzerbereitstellung.

Zum Konfigurieren der Integration von EasySSO for Jira in Microsoft Entra ID müssen Sie EasySSO for Jira aus dem Katalog der Liste mit den verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff EasySSO for Jira in das Suchfeld ein.
  4. Wählen Sie im Ergebnisbereich EasySSO for Jira aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. Mit diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer/Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra für EasySSO for Jira

Konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra mit EasySSO for Jira mithilfe eines Testbenutzers mit dem Namen B. Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in EasySSO for Jira eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra mit EasySSO for EasySSO for Jira die folgenden Schritte aus:

  1. Konfigurieren des einmaligen Anmeldens von Microsoft Entra, um Ihren Benutzer*innen die Verwendung dieses Features zu ermöglichen.
    1. Erstellen Sie einen Microsoft Entra-Testbenutzer, um Microsoft Entra-SSO mit dem Testbenutzer B. Simon zu testen.
    2. Zuweisen der Microsoft Entra-Testbenutzerin, um B.Simon die Verwendung des einmaligen Anmeldens von Microsoft Entra zu ermöglichen.
  2. Konfigurieren des einmaligen Anmeldens für EasySSO for Jira , um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren
    1. Erstellen eines EasySSO for Jira-Testbenutzers, um eine Entsprechung von B. Simon in EasySSO for Jira zu erhalten, die mit ihrer Darstellung in Microsoft Entra verknüpft ist.
  3. Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>EasySSO for Jira>Einmaliges Anmelden.

  3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

  4. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf das Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.

    Edit Basic SAML Configuration

  5. Führen Sie im Abschnitt Grundlegende SAML-Konfiguration die folgenden Schritte aus, wenn Sie die Anwendung im IDP-initiierten Modus konfigurieren möchten:

    a. Geben Sie im Textfeld Bezeichner eine URL im folgenden Format ein: https://<server-base-url>/plugins/servlet/easysso/saml

    b. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein: https://<server-base-url>/plugins/servlet/easysso/saml

  6. Klicken Sie auf Zusätzliche URLs festlegen, und führen Sie den folgenden Schritt aus, wenn Sie die Anwendung im SP-initiierten Modus konfigurieren möchten:

    Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein: https://<server-base-url>/login.jsp

    Hinweis

    Hierbei handelt es sich um Beispielwerte. Sie müssen diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und der Anmelde-URL aktualisieren. Diese Werte erhalten Sie im Zweifelsfall vom Supportteam für EasySSO. Sie können sich auch die Muster im Abschnitt Grundlegende SAML-Konfiguration ansehen.

  7. Die Anwendung EasySSO for Jira erwartet die SAML-Assertionen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute.

    image

  8. Darüber hinaus wird von der EasySSO for Jira-Anwendung erwartet, dass in der SAML-Antwort noch einige weitere Attribute zurückgegeben werden (siehe unten). Diese Attribute werden ebenfalls vorab aufgefüllt, Sie können sie jedoch nach Bedarf überprüfen.

    Name Quellattribut
    urn:oid:0.9.2342.19200300.100.1.1 user.userprincipalname
    urn:oid:0.9.2342.19200300.100.1.3 user.mail
    urn:oid:2.16.840.1.113730.3.1.241 user.displayname
    urn:oid:2.5.4.4 user.surname
    urn:oid:2.5.4.42 user.givenname

    Falls für Ihre Microsoft Entra-Benutzer*innen sAMAccountName konfiguriert ist, müssen Sie urn:oid:0.9.2342.19200300.100.1.1 dem Attribut sAMAccountName zuordnen.

  9. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat für Zertifikat (Base64) oder Verbundmetadaten-XML auf den Link Herunterladen, und speichern Sie die Datei(en) auf Ihrem Computer. Sie benötigen sie später für die Konfiguration von Jira EasySSO.

    The Certificate download link

    Wenn Sie die Konfiguration von EasySSO for EasySSO for Jira manuell mit einem Zertifikat ausführen möchten, müssen Sie außerdem die Werte für Anmelde-URL und Microsoft Entra-Bezeichner aus dem Abschnitt unten kopieren und auf dem Computer speichern.

Erstellen einer Microsoft Entra-Testbenutzerin

In diesem Abschnitt erstellen Sie einen Testbenutzer mit dem Namen B. Simon.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
  4. Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
    1. Geben Sie im Feld Anzeigename den Namen B.Simon ein.
    2. Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel: B.Simon@contoso.com.
    3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
    4. Klicken Sie auf Überprüfen + erstellen.
  5. Klicken Sie auf Erstellen.

Zuweisen der Microsoft Entra-Testbenutzerin

In diesem Abschnitt ermöglichen Sie es B.Simon, das einmalige Anmelden zu verwenden, indem Sie ihr Zugriff auf EasySSO for Jira gewähren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>EasySSO for Jira.
  3. Wählen Sie auf der Übersichtsseite der App Benutzer und Gruppen aus.
  4. Wählen Sie Benutzer/Gruppe hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
    1. Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste „Benutzer“ den Eintrag B. Simon aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
    2. Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
    3. Klicken Sie im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.

Konfigurieren des einmaligen Anmeldens für EasySSO for Jira

  1. Melden Sie sich bei Ihrer Atlassian JIRA-Instanz mit Administratorrechten an, und navigieren Sie zum Abschnitt Apps verwalten.

    Manage Apps

  2. Navigieren Sie auf der linken Seite zu EasySSO, und klicken Sie auf den Eintrag.

    Easy SSO

  3. Wählen Sie die Option SAML aus. Hierdurch gelangen Sie zum Abschnitt „SAML-Konfiguration“.

    SAML

  4. Wählen Sie oben die Registerkarte Zertifikate aus, und der folgende Bildschirm wird angezeigt:

    Metadata URL

  5. Navigieren Sie nun zum Zertifikat (Base64) oder zur Metadatendatei, das bzw. die Sie weiter oben bei der Konfiguration von Microsoft Entra-SSO gespeichert haben. Folgende Möglichkeiten, um fortzufahren, stehen zur Verfügung:

    a. Verwenden Sie die Metadatendatei des App-Verbunds, die Sie als lokale Datei auf Ihren Computer heruntergeladen haben. Aktivieren Sie das Optionsfeld Hochladen, und befolgen Sie das Dialogfeld „Datei hochladen“, das für Ihr Betriebssystem zutrifft.

    OR

    b. Öffnen Sie die Metadatendatei des App-Verbunds, um den Inhalt der Datei (in einem beliebigen Text-Editor) anzuzeigen und in die Zwischenablage zu kopieren. Wählen Sie die Option Eingabe aus, und fügen Sie den Inhalt der Zwischenablage in das Textfeld ein.

    OR

    c. Vollständig manuelle Konfiguration. Öffnen Sie das Zertifikat (Base64) des App-Verbunds, um den Inhalt der Datei (in einem beliebigen Text-Editor) anzuzeigen und in die Zwischenablage zu kopieren. Fügen Sie ihn in das Textfeld IdP-Tokensignaturzertifikate ein. Navigieren Sie dann zur Registerkarte Allgemein, und füllen Sie die Felder POST-Bindungs-URL und Entitäts-ID mit den entsprechenden Werten für Anmelde-URL und Microsoft Entra-Bezeichner, die Sie zuvor gespeichert haben, aus.

  6. Klicken Sie unten auf der Seite auf die Schaltfläche Speichern. Sie sehen dann, wie der Inhalt der Metadaten- oder Zertifikatsdatei in die Konfigurationsfelder analysiert wird. Die Jira-Konfiguration von EasySSO ist abgeschlossen.

  7. Für eine optimale Testerfahrung navigieren Sie zur Registerkarte Aussehen und Verhalten, und aktivieren Sie die Option SAML-Anmeldeschaltfläche. Dadurch wird eine separate Schaltfläche auf dem EasySSO for Jira-Anmeldebildschirm aktiviert,die speziell dem End-to-End-Testen Ihrer Microsoft Entra SAML-Integration dient. Sie können diese Schaltfläche aktiviert lassen und außerdem ihre Platzierung, Farbe und Übersetzung für den Produktionsmodus konfigurieren.

    Look & Feel

    Hinweis

    Sollten Probleme auftreten, wenden Sie sich an das EasySSO-Supportteam.

Erstellen eines EasySSO for Jira-Testbenutzers

In diesem Abschnitt wird in Jira ein Benutzer mit dem Namen Britta Simon erstellt. EasySSO für Jira unterstützt die Just-In-Time-Benutzerbereitstellung (standardmäßig deaktiviert). Um die Benutzerbereitstellung zu aktivieren, müssen Sie die Option Benutzer bei erfolgreicher Anmeldung erstellen im Abschnitt „Allgemein“ der EasySSO-Plug-In-Konfiguration explizit aktivieren. Ist ein Benutzer noch nicht in Jira vorhanden, wird nach der Authentifizierung ein neuer Benutzer erstellt.

Wenn Sie die automatische Benutzerbereitstellung bei der ersten Benutzeranmeldung jedoch nicht aktivieren möchten, müssen Benutzer in Back-End-Benutzerverzeichnissen vorhanden sein, die von der Jira-Instanz verwendet werden, wie z. B. „LDAP“ oder „Atlassian Crowd“.

User provisioning

Testen des einmaligen Anmeldens

IdP-initiierter Workflow

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

  • Klicken Sie auf Diese Anwendung testen. Dadurch sollten Sie automatisch bei der EasySSO for Jira-Instanz angemeldet werden, für die Sie das einmalige Anmelden eingerichtet haben.

Sie können auch den Microsoft-Bereich „Meine Apps“ verwenden, um die Anwendung in einem beliebigen Modus zu testen. Beim Klicken auf die Kachel „EasySSO for Jira“ in „Meine Apps“ geschieht Folgendes: Wenn Sie die Anwendung im SP-Modus konfiguriert haben, werden Sie zum Initiieren des Anmeldeflows zur Anmeldeseite der Anwendung weitergeleitet. Wenn Sie die Anwendung im IDP-Modus konfiguriert haben, sollten Sie automatisch bei der EasySSO for Jira-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

SP-initiierter Workflow

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden über die EasySSO for Jira-Schaltfläche SAML Login (SAML-Anmeldung).

User SAML login

In diesem Szenario wird davon ausgegangen, dass Sie auf der Jira EasySSO-Konfigurationsseite auf der Registerkarte Look & Feel (Erscheinungsbild) die Schaltfläche SAML Login (SAML-Anmeldung) aktiviert haben (siehe oben). Öffnen Sie die Jira-Anmelde-URL im Inkognitomodus des Browsers, um Beeinträchtigungen der vorhandenen Sitzungen zu vermeiden. Klicken Sie auf die Schaltfläche SAML Login (SAML-Anmeldung), und Sie werden zum Microsoft Entra-Benutzerauthentifizierungsflow umgeleitet. Wenn der Vorgang erfolgreich abgeschlossen wurde, werden Sie über SAML als authentifizierter Benutzer zurück an Ihre Jira-Instanz umgeleitet.

Möglicherweise wird der folgende Bildschirm angezeigt, nachdem Sie von Microsoft Entra ID umgeleitet wurden.

EasySSO failure screen

In diesem Fall müssen Sie die Anweisungen auf dieser Seite befolgen, um Zugriff auf die Datei atlassian-jira.log zu erhalten. Details zum Fehler können Sie mithilfe der Referenz-ID auf der EasySSO-Fehlerseite ermitteln.

Sollten bei den Protokollmeldungen Probleme auftreten, wenden Sie sich an das EasySSO-Supportteam.

Nächste Schritte

Nach dem Konfigurieren von EasySSO for Jira können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.