Tutoriel : Intégration de l’authentification unique Microsoft Entra à JIRA SAML SSO by Microsoft

  • Article

Dans ce tutoriel, vous allez apprendre à intégrer JIRA SAML SSO by Microsoft à Microsoft Entra ID. Lorsque vous intégrez JIRA SAML SSO by Microsoft à Microsoft Entra ID, vous pouvez :

  • Contrôler dans Microsoft Entra ID qui a accès à JIRA SAML SSO by Microsoft.
  • Permettre à vos utilisateurs de se connecter automatiquement à JIRA SAML SSO by Microsoft avec leur compte Microsoft Entra.
  • Gérer vos comptes à partir d’un emplacement central.

Description

Utiliser votre compte Microsoft Entra avec le serveur Atlassian JIRA pour activer l’authentification unique. Ainsi, tous les utilisateurs de votre organisation peuvent utiliser les informations d’identification Microsoft Entra pour se connecter à l’application JIRA. Ce plug-in utilise SAML 2.0 pour la fédération.

Prérequis

Pour configurer l’intégration de Microsoft Entra à JIRA SAML SSO by Microsoft, vous aurez besoin des éléments suivants :

  • Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
  • JIRA Core et Software 6.4 à 9.10.0 ou JIRA Service Desk 3.0 à 4.22.1 doivent être installés et configurés dans Windows version 64 bits.
  • HTTPS est activé sur le serveur JIRA.
  • Notez que les versions prises en charge par le plug-in JIRA sont mentionnées dans la section ci-dessous.
  • Le serveur JIRA est accessible sur Internet (en particulier la page de connexion Microsoft Entra pour l’authentification) et doit pouvoir recevoir le jeton de Microsoft Entra ID.
  • Les informations d’identification de l’administrateur sont configurées dans JIRA.
  • WebSudo est désactivé dans JIRA.
  • Un utilisateur test est créé dans l’application serveur JIRA.

Notes

Pour tester les étapes de ce didacticiel, nous déconseillons l’utilisation d’un environnement de production de JIRA. Testez d’abord l’intégration dans l’environnement de développement ou l’environnement intermédiaire de l’application, puis passez à l’environnement de production.

Pour commencer, vous devez disposer de ce qui suit :

  • N’utilisez pas votre environnement de production, sauf si cela est nécessaire.
  • Un abonnement JIRA SAML SSO by Microsoft pour lequel l’authentification unique est activée.

Remarque

Cette intégration est également disponible à partir de l’environnement Microsoft Entra US Government Cloud. Vous pouvez trouver cette application dans la galerie d’applications Microsoft Entra US Government Cloud et la configurer de la même manière que vous le faites à partir du cloud public.

Versions de JIRA prises en charge

Remarque

Veuillez noter que notre plug-in JIRA fonctionnent également sur Ubuntu version 16.04 et sur Linux.

Description du scénario

Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test.

  • JIRA SAML SSO by Microsoft prend en charge l’authentification unique initiée par le fournisseur de services.

Pour configurer l’intégration de JIRA SAML SSO by Microsoft à Microsoft Entra ID, vous devez ajouter JIRA SAML SSO by Microsoft à votre liste d’applications SaaS gérées à partir de la galerie.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
  3. Dans la section Ajouter à partir de la galerie, tapez JIRA SAML SSO by Microsoft dans la zone de recherche.
  4. Sélectionnez JIRA SAML SSO by Microsoft dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour JIRA SAML SSO by Microsoft

Configurez et testez l’authentification unique Microsoft Entra avec JIRA SAML SSO by Microsoft pour un utilisateur de test nommé B.Simon. Pour que l’authentification unique fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et l’utilisateur JIRA SAML SSO by Microsoft associé.

Pour configurer et tester l’authentification unique Microsoft Entra avec JIRA SAML SSO by Microsoft, effectuez les étapes suivantes :

  1. Configurez Microsoft Entra SSO – pour permettre à vos utilisateurs d'utiliser cette fonctionnalité.
    1. Créez un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
    2. Attribuer l’utilisateur test Microsoft Entra – pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
  2. Configurer l’authentification unique JIRA SAML SSO by Microsoft pour configurer les paramètres de l’authentification unique côté application.
    1. Créez un utilisateur de test JIRA SAML SSO by Microsoft pour avoir un équivalent de B.Simon dans JIRA SAML SSO by Microsoft lié à la représentation Microsoft Entra associée.
  3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d'entreprise>JIRA SAML SSO by Microsoft>Authentification unique.

  3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

  4. Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de crayon de Configuration SAML de base afin de modifier les paramètres.

    Screenshot shows how to edit Basic SAML Configuration.

  5. Dans la section Configuration SAML de base, effectuez les étapes suivantes :

    a. Dans la zone de texte Identificateur, tapez une URL en utilisant le format suivant : https://<domain:port>/

    b. Dans la zone de texte URL de réponse, tapez une URL au format suivant : https://<domain:port>/plugins/servlet/saml/auth

    a. Dans la zone de texte URL de connexion, tapez une URL au format suivant : https://<domain:port>/plugins/servlet/saml/auth.

    Note

    Il ne s’agit pas de valeurs réelles. Mettez à jour ces valeurs avec l’identificateur, l’URL de réponse et l’URL de connexion réels. Le port est facultatif s’il s’agit d’une URL nommée. Ces valeurs sont reçues durant la configuration du plug-in JIRA qui est décrite plus loin dans le didacticiel.

  6. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, cliquez sur le bouton Copier pour copier l’URL des métadonnées de fédération d’application, puis enregistrez-la sur votre ordinateur.

    Screenshot shows the Certificate download link.

  7. Vous pouvez mapper l’attribut d’ID de nom dans Microsoft Entra à l’attribut utilisateur de votre choix en modifiant la section Attributs et revendications.

    Screenshot showing how to edit Attributes and Claims.

    a. Une fois que vous avez cliqué sur Modifier, vous pouvez mapper l’attribut utilisateur de votre choix en cliquant sur Identificateur d’utilisateur unique (ID nom).

    Screenshot showing the NameID in Attributes and Claims.

    b. Sur l’écran suivant, vous pouvez sélectionner le nom d’attribut souhaité, par exemple user.userprincipalname, en tant qu’option dans le menu déroulant Attribut source.

    Screenshot showing how to select Attributes and Claims.

    c. Vous pouvez ensuite enregistrer la sélection en cliquant sur le bouton Enregistrer situé en haut.

    Screenshot showing how to save Attributes and Claims.

    d. Désormais, la source d’attribut user.userprincipalname dans Microsoft Entra est mappée au nom d’attribut ID de nom dans Microsoft Entra. Ces informations seront ensuite comparées à l’attribut username dans Atlassian par le plug-in d’authentification unique.

    Screenshot showing how to review Attributes and Claims.

    Remarque

    Le service SSO fourni par Microsoft Azure prend en charge l’authentification SAML, qui permet d’identifier l’utilisateur à l’aide de différents attributs tels que givenname (prénom), surname (nom), email (adresse e-mail) et userprincipalname (nom d’utilisateur). Nous vous recommandons de ne pas utiliser l’e-mail en tant qu’attribut d’authentification, car les adresses e-mail ne sont pas toujours vérifiées par Microsoft Entra ID. Le plug-in compare les valeurs de l’attribut username d’Atlassian et de l’attribut NameID de Microsoft Entra ID pour déterminer la validité de l’authentification utilisateur.

  8. Si votre locataire Azure a des utilisateurs invités, suivez les étapes de configuration ci-dessous :

    a. Cliquez sur l’icône de crayon pour accéder à la section Attributs et revendications.

    Screenshot showing how to edit Attributes and Claims.

    b. Cliquez sur NameID dans la section Attributs et revendications.

    Screenshot showing the NameID in Attributes and Claims.

    c. Configurez les conditions de revendication en fonction du type d’utilisateur.

    Screenshot for claim conditions.

    Remarque

    Donnez la valeur NameID user.userprinciplename aux membres et user.mail aux invités externes.

    d. Enregistrez les changements et vérifiez l’authentification SSO des utilisateurs invités externes.

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
  3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
  4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
    1. Dans le champ Nom d’affichage, entrez B.Simon.
    2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
    3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
    4. Sélectionnez Revoir + créer.
  5. Sélectionnez Create (Créer).

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous allez autoriser B.Simon à utiliser l’authentification unique en lui accordant l’accès à JIRA SAML SSO by Microsoft.

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
  2. Accédez à Identité>Applications>Applications d'entreprise>JIRA SAML SSO by Microsoft.
  3. Dans la page de présentation de l’application, sélectionnez Utilisateurs et groupes.
  4. Sélectionnez Ajouter un utilisateur/groupe, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.
    1. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.
    2. Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
    3. Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.

Configurer l’authentification unique JIRA SAML SSO by Microsoft

  1. Dans une autre fenêtre de navigateur web, connectez-vous à votre instance JIRA en tant qu’administrateur.

  2. Pointez sur le roue dentée, puis cliquez sur Modules complémentaires.

    Screenshot shows Add-ons selected from the Settings menu.

  3. Téléchargez le plug-in depuis le Centre de téléchargement Microsoft. Chargez manuellement le plug-in fourni par Microsoft à l’aide du menu Upload add-on (Charger le module complémentaire). Le téléchargement du plug-in est couvert dans Contrat de Services Microsoft.

    Screenshot shows Manage add-ons with the Upload add-on link called out.

  4. Pour exécuter le scénario de proxy inverse JIRA ou le scénario d’équilibreur de charge, procédez comme suit :

    Notes

    Vous devez d’abord configurer le serveur à l’aide des instructions ci-dessous, puis installer le plug-in.

    a. Ajoutez l’attribut ci-dessous au port connecteur dans le fichier server.xml de l’application serveur JIRA.

    scheme="https" proxyName="<subdomain.domain.com>" proxyPort="<proxy_port>" secure="true"

    Screenshot shows the server dot x m l file in an editor with the new line added.

    b. Modifiez l’URL de base dans les paramètres système en fonction du proxy/de l’équilibreur de charge.

    Screenshot shows the Administration Settings where you can change the Base U R L.

  5. Une fois que le plug-in est installé, il s’affiche sous User Installed (Installé par l’utilisateur), dans la section Manage add-ons (Gérer les modules complémentaires). Cliquez sur Configurer pour configurer le nouveau plug-in.

    Screenshot shows the Microsoft Entra SAML Single Sign-on for Jira section with Configure selected.

  6. Effectuez les opérations suivantes dans la page de configuration :

    Screenshot shows the Microsoft Entra single sign-on for Jira configuration page.

    Conseil

    Vérifiez qu’un seul certificat est associé à l’application pour éviter toute erreur liée à la résolution des métadonnées. Si plusieurs certificats sont associés, l’administrateur verra un message d’erreur s’afficher lors de la résolution des métadonnées.

    a. Dans la zone de texte URL des métadonnées, collez la valeur URL des métadonnées de fédération de l’application que vous avez copiée, puis cliquez sur le bouton Résoudre. L’URL des métadonnées IdP est alors lue et tous les champs sont renseignés.

    b. Copiez les valeurs des champs Identifier, Reply URL et Sign on URL, puis collez-les dans les zones de texte Identificateur, URL de réponse et URL de connexion correspondantes dans la section Domaine et URL JIRA SAML SSO by Microsoft du portail Azure.

    c. Dans Login Button Name (Nom du bouton de connexion), tapez le nom du bouton que les utilisateurs doivent voir sur l’écran de connexion.

    d. Dans Login Button Description (Description du bouton de connexion), tapez la description du bouton que les utilisateurs doivent voir sur l’écran de connexion.

    e. Dans SAML User ID Locations (Emplacements de l’identificateur d’utilisateur SAML), sélectionnez User ID is in the NameIdentifier element of the Subject statement (L’ID utilisateur se trouve dans l’élément NameIdentifier de l’instruction Subject ) ou User ID is in an Attribute element (L’identificateur d’utilisateur se trouve dans l’élément Attribute). Cet ID doit être l’ID d’utilisateur JIRA. Si aucun ID d’utilisateur correspondant n’est trouvé, le système n’autorise pas l’utilisateur à se connecter.

    Notes

    Par défaut, l’emplacement de l’identificateur d’utilisateur SAML est défini sur l’élément NameIdentifier. Vous pouvez remplacer cela par une option d’attribut et entrer le nom de l’attribut souhaité.

    f. Si vous sélectionnez l’option User ID is in an Attribute element (L’identificateur d’utilisateur se trouve dans l’élément Attribute), dans la zone de texte Attribute name (Nom de l’attribut), tapez le nom de l’attribut dans lequel l’ID d’utilisateur doit se trouver.

    g. Si vous utilisez le domaine fédéré (par exemple, AD FS) avec Microsoft Entra ID, cochez l’option Activer la découverte du domaine d’accueil, puis entrez un nom de domaine sous Nom de domaine.

    h. Si la connexion est basée sur AD FS, tapez le nom du domaine dans le champ Domain Name.

    i. Cochez l’option Activer la déconnexion unique si vous souhaitez qu’un utilisateur soit déconnecté de Microsoft Entra ID quand il se déconnecte de JIRA.

    j. Cochez l’option Forcer la connexion Azure si vous voulez vous connecter uniquement avec les informations d’identification Microsoft Entra.

    Remarque

    Si vous souhaitez activer le formulaire de connexion par défaut pour la connexion d’administrateur dans la page de connexion quand l’option Force Azure Login est activée, ajoutez le paramètre de requête dans l’URL du navigateur. https://<domain:port>/login.jsp?force_azure_login=false

    k. Case à cocher Activer l’utilisation du proxy d’application, si vous avez configuré votre application atlassian locale dans une configuration de proxy d’application.

    l. Cliquez sur Enregistrer pour enregistrer les paramètres.

    Notes

    Pour plus d’informations sur l’installation et la résolution des problèmes, consultez le Guide d’administration du connecteur d’authentification unique MS JIRA. Il existe également une page FAQ pour vous aider.

Créer un utilisateur de test JIRA SAML SSO by Microsoft

Pour permettre aux utilisateurs Microsoft Entra de se connecter à un serveur local JIRA, vous devez les provisionner dans JIRA SAML SSO by Microsoft. Pour JIRA SAML SSO by Microsoft, l’attribution des utilisateurs se fait manuellement.

Pour approvisionner un compte d’utilisateur, procédez comme suit :

  1. Connectez-vous à votre serveur local JIRA en tant qu’administrateur.

  2. Pointez sur la roue dentée, puis cliquez sur Gestion des utilisateurs.

    Screenshot shows User management selected from the Settings menu.

  3. Vous êtes redirigé vers la page d’accès administrateur dans laquelle vous entrez le mot de passe, puis cliquez sur le bouton Confirmer.

    Screenshot shows Administrator Access page where you enter your credentials.

  4. Sous l’onglet User management (Gestion des utilisateurs), cliquez sur Create user (Créer un utilisateur).

    Screenshot shows the User management tab where you can Create user.

  5. Dans la page de boîte de dialogue Create New User (Créer un utilisateur), procédez comme suit :

    Screenshot shows the Create new user dialog box where you can enter the information in this step.

    a. Dans la zone de texte Email address (Adresse e-mail), tapez l’adresse e-mail d’un utilisateur, par exemple, B.simon@contoso.com.

    b. Dans la zone de texte Full Name (Nom complet), tapez le nom complet d’un utilisateur, par exemple B.Simon.

    c. Dans la zone de texte Username (Nom d’utilisateur), tapez l’e-mail d’un utilisateur, par exemple, B.simon@contoso.com.

    d. Dans la zone de texte Password (Mot de passe), tapez le mot de passe de l’utilisateur.

    e. Cliquez sur Create User (Créer un utilisateur).

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

  • Cliquez sur Tester cette application. Vous êtes alors redirigé vers l’URL de connexion à JIRA SAML SSO by Microsoft où vous pouvez lancer le flux de connexion.

  • Accédez directement à l’URL de connexion JIRA SAML SSO by Microsoft pour y lancer le processus de connexion.

  • Vous pouvez utiliser Mes applications de Microsoft. Le fait de cliquer sur la vignette JIRA SAML SSO by Microsoft dans Mes applications vous redirige vers l’URL de connexion JIRA SAML SSO by Microsoft. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

Après avoir configuré JIRA SAML SSO by Microsoft, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.