使用 Microsoft Entra ID 配置 Atlassian Cloud 进行单一登录

本文介绍如何将 Atlassian Cloud 与 Microsoft Entra ID 集成。 将 Atlassian Cloud 与 Microsoft Entra ID 集成后，可以：

• 在Microsoft Entra ID中控制谁有权访问 Atlassian Cloud。
• 让用户使用其Microsoft Entra帐户自动登录到 Atlassian Cloud。
• 在中心位置管理帐户。

先决条件

本文中概述的方案假定你已具备以下先决条件：

• 具有活动订阅的Microsoft Entra用户帐户。 如果还没有帐户，可以 免费创建帐户。
• 以下角色之一：
  • 应用程序管理员
  • 云应用程序管理员
  • 应用程序所有者。

• 已启用单一登录 (SSO) 的 Atlassian Cloud 订阅。
• 若要对 Atlassian Cloud 产品启用安全断言标记语言 (SAML) 单一登录，需要设置 Atlassian Access。 详细了解 Atlassian Access。

方案描述

本文介绍如何在测试环境中配置和测试Microsoft Entra SSO。

• Atlassian Cloud 支持 SP 和 IDP 发起的 SSO。
• Atlassian Cloud 支持 自动用户预配和取消预配。

从画廊中添加 Atlassian Cloud

若要配置 Atlassian Cloud 与 Microsoft Entra ID的集成，需要从库中将 Atlassian Cloud 添加到托管 SaaS 应用列表。

1. 以至少 云应用程序管理员 的身份登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>企业应用>新建应用程序。
3. 在“从库中添加”部分的搜索框中，键入“Atlassian Cloud”。
4. 从结果面板中选择“Atlassian Cloud”，然后添加该应用 。 请稍等几秒钟，直到应用程序被添加到您的租户。

或者，也可以使用 企业应用配置向导。 在此向导中，还可以将应用程序添加到租户、将用户/组添加到应用、分配角色以及演练 SSO 配置。 可以在 here 了解有关Microsoft 365向导的详细信息。

配置并测试 Microsoft Entra SSO

使用名为B.Simon的测试用户配置和测试 Atlassian Cloud 与 Microsoft Entra 的单一登录（SSO）。 若要运行 SSO，需要在 Microsoft Entra 用户与 Atlassian Cloud 中的相关用户之间建立链接关系。

若要配置和测试 Atlassian Cloud 的 Microsoft Entra SSO，请执行以下步骤：

1. 将 Microsoft Entra ID 配置为与 Atlassian Cloud SSO 一起使用 - 以便让用户能够使用 Microsoft Entra ID 的 SAML SSO 与 Atlassian Cloud 结合使用。
   1. 创建Microsoft Entra测试用户 - 使用 B.Simon 测试Microsoft Entra单一登录。
   2. 分配Microsoft Entra测试用户 - 使 B.Simon 能够使用Microsoft Entra单一登录。
2. 创建 Atlassian Cloud 测试用户 - 在 Atlassian Cloud 中创建 B.Simon 的对应用户，并将其关联到该用户在 Microsoft Entra 中对应的身份。
3. 测试 SSO - 验证配置是否正常工作。

使用 Atlassian Cloud SSO 配置Microsoft Entra ID

按照以下步骤启用 Microsoft Entra SSO。

1. 在另一个 Web 浏览器窗口中，以管理员身份登录到 Atlassian Cloud 公司站点

2. 在 ATLASSIAN Admin 门户中，导航到 Security>Identity providers>Microsoft Entra ID。

3. 输入 目录名称 ，然后选择“ 添加 ”按钮。

4. 选择“设置 SAML 单一登录”按钮，将标识提供者连接到 Atlassian 组织。

   

5. 以至少 云应用程序管理员 的身份登录到 Microsoft Entra 管理中心。

6. 浏览到 Entra ID>Enterprise apps>Atlassian Cloud 应用程序集成页。 查找管理部分。 在入门下，选择设置单一登录。

7. 在“选择单一登录方法”页上选择“SAML” 。

8. 在“设置 SAML 单一登录”页，向下滚动至“设置 Atlassian Cloud”。

   a。 选择“配置 URL”。

   b. 从 Azure 门户复制 Login URL 值，将其粘贴到 Atlassian 中的 Identity provider SSO URL 文本框中。

   c. 从 Azure 门户复制 Microsoft Entra Identifier 值，将其粘贴到 Atlassian 中的 Identity 提供程序实体 ID 文本框中。

   

9. 在“设置 SAML 单一登录”页的“SAML 签名证书”部分中，找到“证书(Base64)”，选择“下载”以下载该证书并将其保存到计算机上 。

   

   

10. 保存 SAML 配置，然后在 Atlassian 中选择“ 下一步 ”。

11. 在“基本 SAML 配置”部分中，按照以下步骤操作。

    a。 从 Atlassian 复制 Service provider 实体 URL 值，将其粘贴到 Azure 的 Identifier （Entity ID） 框中，并将其设置为默认值。

    b. 从 Atlassian 复制 Service provider 断言使用者服务 URL 值，将其粘贴到 AzureReply URL（断言使用者服务 URL）框中，并将其设置为默认值。

    c. 选择 “下一步”。

    

    

12. Atlassian Cloud 应用程序期望特定格式的 SAML 断言，这需要您在 SAML 令牌属性配置中添加自定义属性映射。 可以通过选择 “编辑” 图标来编辑属性映射。

    

    1. 具有Microsoft 365许可证的Microsoft Entra租户的属性映射。

       a。 选择“唯一用户标识符(名称 ID)”声明。

       

       b. Atlassian Cloud 要求 将 nameidentifier （唯一用户标识符） 映射到用户的电子邮件（user.mail）。 编辑“源属性”，并将其更改为 user.mail 。 保存对声明所做的更改。

       

       c. 最终属性映射应如下所示。

       

    2. 没有Microsoft 365许可证的Microsoft Entra租户的属性映射。

       a。 选择 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress 声明。

       

       b. 虽然Azure不会为未Microsoft 365许可证的Microsoft Entra租户中创建的用户填充 user.mail 属性，并将此类用户的电子邮件存储在 userprincipalname 属性中。 Atlassian Cloud 希望将 nameidentifier（唯一用户标识符）映射到用户的电子邮箱地址（user.userprincipalname）。 编辑“源属性”，并将其更改为 user.userprincipalname。 保存对声明所做的更改。

       

       c. 最终属性映射应如下所示。

       

13. 选择 “停止并保存 SAML ”按钮。

    

14. 如需在身份验证策略中强制实施 SAML 单一登录，请执行以下步骤。

    a。 在 Atlassian 管理 门户中，选择“ 安全 ”选项卡，然后选择 “身份验证策略”。

    b. 对于要强制实施的策略，请选择“编辑”。

    c. 在“设置”中，为其托管用户启用“强制单一登录”功能，以成功实现 SAML 重定向。

    d. 选择 “更新”。

    

    注意

    管理员可以测试 SAML 配置，只需先在单独的身份验证策略上为一部分用户启用强制 SSO，如果没有问题就可为所有用户启用该策略。

创建和分配Microsoft Entra测试用户

请遵循在 创建和分配用户帐户 快速入门中的准则，以创建名为 B.Simon 的测试用户帐户。

创建 Atlassian Cloud 测试用户

若要启用Microsoft Entra用户登录到 Atlassian Cloud，请执行以下步骤，在 Atlassian Cloud 中手动预配用户帐户：

1. 转到“ 产品 ”选项卡，选择“ 用户 ”，然后选择“ 邀请用户”。

   

2. 在 “电子邮件地址 ”文本框中，输入用户的电子邮件地址，然后选择“ 邀请用户”。

   

测试 SSO

在本部分中，将使用以下选项测试Microsoft Entra单一登录配置。

SP 发起：

• 选择“ 测试此应用程序”，此选项将重定向到 Atlassian Cloud 登录 URL，可在其中启动登录流。

• 直接转到 Atlassian Cloud 登录 URL，从此处启动登录流。

IDP 发起：

• 选择“ 测试此应用程序”，应会自动登录到为其设置了 SSO 的 Atlassian Cloud。

还可以使用Microsoft 我的应用在任何模式下测试应用程序。 在我的应用中选择 Atlassian Cloud 磁贴时，如果是在 SP 模式下配置的，你会重定向到应用程序登录页来启动登录流;如果是在 IDP 模式下配置的，则应会自动登录到为其设置了 SSO 的 Atlassian Cloud。 有关我的应用的详细信息，请参阅 我的应用。

发现 Atlassian Cloud 中的现有用户

在与 Microsoft Entra 集成之前，Atlassian 帐户可能已有一个或多个用户。 使用帐户发现功能，可以生成 Atlassian Cloud 中所有用户的报告，确定哪些用户在 Entra 中具有匹配的帐户，以及哪些用户是 Atlassian Cloud 的本地用户，只需单击一下即可。 在此处了解有关帐户 发现功能的详细信息。 这样，便可以简化 Entra 的入职流程，同时定期监控未经授权的访问。

相关内容

配置 Atlassian Cloud 后，就可以强制实施会话控制，从而实时保护组织的敏感数据免于外泄和渗透。 会话控制从条件访问扩展而来。 了解如何使用 Microsoft Defender for Cloud Apps 强制实行会话控制。