Atlassian Jira und Confluence – Administratorhandbuch für Microsoft Entra ID
Überblick
Das Plug-In zum einmaligen Anmelden (Single Sign-On, SSO) in Microsoft Entra ermöglicht Microsoft Entra-Kunden, ihre Geschäfts- oder Schulkonten zur Anmeldung bei Atlassian JIRA- und Confluence Server-basierten Produkten zu verwenden. Es implementiert SSO auf SAML 2.0-Basis.
Funktionsweise
Wenn Benutzer sich bei einer Atlassian JIRA- oder Confluence-Anwendung anmelden möchten, sehen sie die Schaltfläche Anmelden mit Microsoft Entra ID auf der Anmeldeseite. Wenn sie diese Option auswählen, müssen sie sich mit der Microsoft Entra-Organisationsanmeldeseite (d.h. ihrem Geschäfts- oder Schulkonto) anmelden.
Sobald die Benutzer authentifiziert sind, sollten sie sich bei der Anwendung anmelden können. Wenn sie bereits mit der ID und dem Kennwort für ihr Geschäfts- oder Schulkonto authentifiziert sind, melden sie sich direkt bei der Anwendung an.
Die Anmeldung funktioniert in JIRA und Confluence. Wenn Benutzer bei einer JIRA-Anwendung angemeldet sind und Confluence im selben Browserfenster geöffnet ist, müssen sie keine Anmeldeinformationen für die andere App bereitstellen.
Benutzer können auch unter dem Geschäfts- oder Schulkonto über „Meine Apps“ zu dem Atlassian-Produkt gelangen. Sie sollten angemeldet werden, ohne nach den Anmeldeinformationen gefragt zu werden.
Hinweis
Die Benutzerbereitstellung erfolgt nicht mithilfe des Plug-Ins.
Zielgruppe
JIRA- und Confluence-Administratoren können das Plug-In verwenden, um SSO mithilfe von Microsoft Entra ID zu aktivieren.
Annahmen
- JIRA- und Confluence-Instanzen sind HTTPS-tauglich.
- Benutzer sind bereits in JIRA bzw. Confluence erstellt.
- Benutzern sind Rollen in JIRA bzw. Confluence zugewiesen.
- Administratoren haben Zugriff auf Informationen, die zum Konfigurieren des Plug-Ins erforderlich sind.
- JIRA bzw. Confluence ist auch außerhalb des Unternehmensnetzwerks verfügbar.
- Das Plug-In funktioniert nur mit den lokalen Versionen von JIRA und Confluence.
Voraussetzungen
Bevor Sie das Plug-In installieren, beachten Sie Folgendes:
- JIRA und Confluence sind auf einer 64-Bit-Version von Windows installiert.
- Die Versionen von JIRA und Confluence sind HTTPS-tauglich.
- JIRA und Confluence sind im Internet verfügbar.
- Administratoranmeldeinformationen sind für JIRA und Confluence vorhanden.
- Administrator-Anmeldeinformationen sind für Microsoft Entra ID vorhanden.
- WebSudo ist in JIRA und Confluence deaktiviert.
Unterstützte Versionen von JIRA und Confluence
Das Plug-In unterstützt die folgenden Versionen von JIRA und Confluence:
- JIRA Core und Software: 6.0 bis 9.10.0
- Jira Service Desk: 3.0.0 bis 4.22.1
- JIRA unterstützt auch 5.2. Klicken Sie zum Anzeigen weiterer Einzelheiten auf Microsoft Entra single sign-on for JIRA 5.2.
- Confluence: 5.0 bis 5.10.
- Confluence: 6.0.1 bis 6.15.9.
- Confluence: 7.0.1 bis 8.5.1
Installation
Führen Sie diese Schritte aus, um das Plug-In zu installieren:
Melden Sie sich bei Ihrer JIRA- bzw. Confluence-Instanz als Administrator an.
Wechseln Sie zur JIRA-/Confluence-Verwaltungskonsole, und wählen Sie Add-Ons aus.
Laden Sie im Microsoft Download Center das Microsoft SAML-SSO-Plug-In für Jira/ Microsoft SAML-SSO-Plug-In für Confluence herunter.
Die entsprechende Version des Plug-Ins wird in den Suchergebnissen angezeigt.
Wählen Sie das Plug-In aus, und der Universal Plug-In-Manager (UPM) installiert es.
Sobald das Plug-In installiert ist, wird es im Abschnitt Vom Benutzer installierte Add-Ons von Add-Ons verwalten angezeigt.
Plug-In-Konfiguration
Bevor Sie das Plug-In verwenden, müssen Sie es konfigurieren. Wählen Sie das Plug-In und die Schaltfläche Konfigurieren aus, und geben Sie die Konfigurationsdetails an.
Die folgende Abbildung zeigt den Konfigurationsbildschirm in JIRA und Confluence an:
Metadaten-URL: Die URL zum Abrufen der Verbundmetadaten von Microsoft Entra ID.
Bezeichner: Die URL, die Microsoft Entra ID zum Überprüfen der Quelle der Anforderung verwendet. Es wird dem Identifier-Element in Microsoft Entra ID zugeordnet. Das Plug-In leitet diese URL automatisch als „https://<
Antwort-URL: Die Antwort-URL in Ihrem Identitätsanbieter (IdP), die die SAML-Anmeldung initiiert. Es wird dem Antwort-URL-Element in Microsoft Entra ID zugeordnet. Das Plug-In leitet diese URL automatisch als „https://<
Anmelde-URL: Die Anmelde-URL in Ihrem IdP, die die SAML-Anmeldung initiiert. Es wird dem Anmeldungs-Element in Microsoft Entra ID zugeordnet. Das Plug-In leitet diese URL automatisch als „https://<
IdP-Entitäts-ID: Die Entitäts-ID, die Ihr IdP verwendet. Dieses Feld wird gefüllt, wenn die Metadaten-URL aufgelöst ist.
Anmelde-URL: Die Anmelde-URL aus Ihrem IdP. Dieses Feld wird aus Microsoft Entra ID gefüllt, wenn die Metadaten-URL aufgelöst ist.
Abmelde-URL: Die Abmelde-URL aus Ihrem IdP. Dieses Feld wird aus Microsoft Entra ID gefüllt, wenn die Metadaten-URL aufgelöst ist.
X.509-Zertifikat: Das X.509-Zertifikat Ihres IdP. Dieses Feld wird aus Microsoft Entra ID gefüllt, wenn die Metadaten-URL aufgelöst ist.
Anmeldeschaltflächen-Name: Der Name der Anmeldeschaltfläche, die Ihre Organisation Benutzern auf der Anmeldeseite anzeigen möchte.
SAML-Benutzer-ID-Speicherorte: Der Speicherort, wo die JIRA- bzw. Confluence-Benutzer-ID in der SAML-Antwort erwartet wird. Dies kann in NameID oder einem benutzerdefinierten Attributnamen sein.
Attributname: Name des Attributs, in dem die Benutzer-ID erwartet werden kann.
Startbereichsermittlung aktivieren: Erforderliche Auswahl, wenn das Unternehmen auf Active Directory-Verbunddiensten (Active Directory Federation Services, AD FS) basierendes Anmelden einsetzt.
Domänenname: Der Domänenname bei AD FS-basiertem Anmelden.
Einmaliges Abmelden aktivieren: Erforderliche Auswahl, wenn eine Abmeldung bei Microsoft Entra ID erfolgen soll, wenn ein Benutzer sich bei Jira oder Confluence abmeldet.
Aktivieren Sie das Kontrollkästchen Force Azure Login (Azure-Anmeldung erzwingen), wenn Sie für die Anmeldung ausschließlich Microsoft Entra-Anmeldeinformationen verwenden möchten.
Wenn Sie Ihre lokale Atlassian-Anwendung in einem Anwendungsproxy-Setup konfiguriert haben, aktivieren Sie die Verwendung des Anwendungsproxys.
- Führen Sie für das Anwendungsproxy-Setup die Schritte in der Microsoft Entra-Anwendungsproxy-Dokumentation aus.
Versionsinformationen
JIRA:
| Plug-In-Version | Versionsinformationen | Unterstützte JIRA-Versionen |
|---|---|---|
| 1.0.20 | Fehlerbehebungen: | JIRA Core und Software: |
| Das JIRA SAML SSO-Add-On leitet im mobilen Browser zu einer falschen URL um. | 7.0.0 bis 9.10.0 | |
| Der Abschnitt „Markierungsprotokoll“ nach dem Aktivieren des JIRA-Plug-Ins | ||
| Das Datum der letzten Anmeldung für einen Benutzer wird nicht aktualisiert, wenn sich der Benutzer über SSO anmeldet. | ||
| 1.0.19 | Neues Feature: | JIRA Core und Software: |
| Unterstützung für den Anwendungsproxy: Kontrollkästchen auf dem Bildschirm zum Konfigurieren des Plug-Ins, um den Modus für den Anwendungsproxy umzuschalten, sodass die Antwort-URL bearbeitet werden kann, wenn sie auf die Proxyserver-URL verwiesen werden muss | 6.0 bis 9.3.1 | |
| JIRA Service Desk: 3.0.0 bis 4.22.1 | ||
| 1.0.18 | Fehlerbehebungen: | JIRA Core und Software: |
| Fehlerbehebung für den Fehler 405 beim Klicken auf die Schaltfläche „Konfigurieren“ des Jira Microsoft Entra SSO-Plug-Ins. | 6.0 bis 9.1.0 | |
| Der JIRA-Server rendert die Projekteinstellungsseite nicht ordnungsgemäß. | Jira Service Desk: 3.0.0 bis 4.22.1 | |
| JIRA erzwingt keine Microsoft Entra-Anmeldung. Ein zusätzlicher Klick auf die Schaltfläche war erforderlich. | ||
| Der Sicherheitsfix in dieser Version wurde nun behandelt. Dadurch sind Sie vor dem Sicherheitsrisiko des Benutzeridentitätswechsels geschützt. | ||
| Das Problem mit der Abmeldung von JIRA Service Desk wurde behoben. |
Confluence:
| Plug-In-Version | Versionsinformationen | Unterstützte JIRA-Versionen |
|---|---|---|
| 6.3.9 | Fehlerbehebungen: | Confluence Server: 7.20.3 bis 8.5.1 |
| Systemfehler: Der Metadatenlink kann für SSO-Plug-Ins nicht konfiguriert werden. | ||
| 6.3.8 | Neues Feature: | Confluence Server: 5.0 bis 7.20.1 |
| Unterstützung für Anwendungsproxy: Kontrollkästchen auf dem Bildschirm für die Plug-In-Konfiguration zum Umschalten des Anwendungsproxymodus, um die Antwort-URL bearbeitbar zu machen, da sie auf die Proxyserver-URL zeigen muss. | ||
| 6.3.7 | Fehlerbehebungen: | Confluence Server: 5.0 bis 7.19.0 |
| Mit der Funktion „Anmeldung erzwingen“ können IT-Administrator*innen die Microsoft Entra-Authentifizierung für Benutzer*innen erzwingen. Auf diese Weise wird den Benutzer*innen das Feld für Benutzername und Kennwort nicht angezeigt, und sie werden gezwungen, das einmalige Anmelden zu verwenden. | ||
| „Anmeldung erzwingen“ kann über das Plug-In konfiguriert werden. | ||
| Sie können die Domänenzeichenfolge an Microsoft Entra ID übergeben, damit Microsoft Entra ID die Benutzer*innen direkt an Ihren Verbundserver umleiten kann. |
Problembehandlung
Sie erhalten Fehlermeldungen, dass mehrere Zertifikate vorhanden sind: Melden Sie sich bei Microsoft Entra ID an und entfernen Sie überzählige Zertifikate, die für die App verfügbar sind. Stellen Sie sicher, dass nur ein Zertifikat vorhanden ist.
Ein Zertifikat läuft in Microsoft Entra ID ab: Add-Ons kümmern sich um das automatische Rollover des Zertifikats. Wenn ein Zertifikat in Kürze abläuft, sollte das neue Zertifikat als aktiv gekennzeichnet werden, und nicht verwendete Zertifikate sollten gelöscht werden. Wenn ein Benutzer versucht, sich in diesem Szenario bei JIRA anzumelden, ruft das Plug-In das neue Zertifikat ab und speichert es.
Sie möchten WebSudo (die sichere Administratorsitzung) deaktivieren:
Für JIRA sind sichere Administratorsitzungen (d.h. Bestätigung des Kennworts vor dem Zugriff auf die Verwaltungsfunktionen) standardmäßig aktiviert. Wenn Sie diese Funktion aus Ihrer JIRA-Instanz entfernen möchten, geben Sie die folgende Zeile in die Datei „jjira-config.properties“ ein:
jira.websudo.is.disabled = trueFühren Sie für Confluence die Schritte auf der Support-Website von Confluence aus.
Felder, die von der Metadaten-URL aufgefüllt werden sollten, werden nicht aufgefüllt:
Überprüfen Sie, ob die URL richtig ist. Überprüfen Sie, ob Sie den richtigen Mandanten und die richtige App-ID zugeordnet haben.
Geben Sie die URL in einen Browser ein, und stellen Sie fest, ob Sie die Verbundmetadaten-XML empfangen.
Es liegt ein interner Serverfehler vor: Überprüfen Sie die Protokolle im Protokollverzeichnis der Installation. Falls der Fehler gemeldet wird, wenn der Benutzer versucht, sich mittels Microsoft Entra-SSO anzumelden, können Sie die Protokolle gemeinsam mit dem Supportteam auswerten.
Wenn der Fehler „Benutzer-ID wurde nicht gefunden“ auftritt, wenn der Benutzer versucht, sich anzumelden: Erstellen Sie die Benutzer-ID in JIRA oder Confluence.
Der Fehler „App nicht gefunden“ tritt in Microsoft Entra ID auf: Stellen Sie fest, ob die entsprechende URL der App in Microsoft Entra ID zugeordnet ist.
Sie benötigen Support: Wenden Sie sich an das Microsoft Entra-SSO-Integrationsteam. Das Team antwortet innerhalb von 24 bis 48 Geschäftsstunden.
Sie können auch bei Microsoft ein Supportticket über den Azure-Portalkanal erstellen.
Häufig gestellte Fragen zum Plug-In
Im Anschluss finden Sie einige Antworten auf mögliche Fragen zu diesem Plug-In.
Was macht das Plug-In?
Das Plug-In ermöglicht das einmalige Anmelden (Single Sign On, SSO) bei lokaler Atlassian JIRA- und Confluence-Software (einschließlich JIRA Core, JIRA Software, JIRA Service Desk). Das Plug-In funktioniert mit Microsoft Entra ID als Identitätsanbieter (IdP).
Mit welchen Atlassian-Produkten ist das Plug-In einsetzbar?
Das Plug-In funktioniert mit lokalen Versionen von JIRA und Confluence.
Funktioniert dieses Plug-In mit Cloudversionen?
Nein. Das Plug-In unterstützt lokale Versionen von JIRA und Confluence.
Welche Versionen von JIRA und Confluence unterstützt das Plug-In?
Das Plug-In unterstützt diese Versionen:
- JIRA Core und Software: 6.0 bis 9.10.0
- Jira Service Desk: 3.0.0 bis 4.22.1
- JIRA unterstützt auch 5.2. Klicken Sie zum Anzeigen weiterer Einzelheiten auf Microsoft Entra single sign-on for JIRA 5.2.
- Confluence: 5.0 bis 5.10.
- Confluence: 6.0.1 bis 6.15.9.
- Confluence: 7.0.1 bis 8.5.1
Ist das Plug-In kostenlos oder kostenpflichtig?
Es ist ein kostenloses Add-On.
Muss ich JIRA bzw. Confluence nach dem Bereitstellen des Plug-Ins neu starten?
Es ist kein Neustart erforderlich. Sie können das Plug-In sofort benutzen.
Wie erhalte ich Support für das Plug-In?
Setzen Sie sich mit dem Microsoft Entra-SSO-Integrationsteam in Verbindung, um Support für dieses Plug-In zu erhalten. Das Team antwortet innerhalb von 24 bis 48 Geschäftsstunden.
Sie können auch bei Microsoft ein Supportticket über den Azure-Portalkanal erstellen.
Funktioniert dieses Plug-In unter der Mac- oder Ubuntu-Installation von JIRA und Confluence?
Wir haben dieses Plug-In nur mit 64-Bit-Windows-Serverinstallationen von JIRA und Confluence getestet.
Funktioniert das Plug-In mit anderen IdPs als Microsoft Entra ID?
Nein. Es funktioniert nur mit Microsoft Entra ID.
Mit welcher SAML-Version funktioniert das Plug-In?
Es funktioniert mit SAML 2.0.
Führt das Plug-In eine Benutzerbereitstellung durch?
Nein. Das Plug-In stellt nur SSO auf Basis von SAML 2.0 bereit. Der Benutzer muss vor der SSO-Anmeldung in der Anwendung bereitgestellt werden.
Unterstützt das Plug-In Clusterversionen von JIRA und Confluence?
Nein. Das Plug-In funktioniert mit lokalen Versionen von JIRA und Confluence.
Funktioniert das Plug-In mit HTTP-Versionen von JIRA und Confluence?
Nein. Das Plug-In funktioniert nur mit HTTPS-fähigen Installationen.