blog - blog

SAML SSO für Atlassian Confluence

Durch den Best-of-Breed Ansatz wird die Anzahl der verwendeten Tools innerhalb eines Unternehmens immer grösser. Aber überall braucht man ein oder mehrere Passwörter. Der Wunsch unserer Mitarbeitenden war deshalb klar: Wir möchten ein Login für alles! In diesem Artikel beschreiben wir, warum wir uns für SAML entschieden haben.

Wir verwenden zum Beispiel Zoho als CRM, GMail für Mails, MailChimp für Email-Kampagnen, ebenso den kompletten Atlassian Stack und noch viele kleine Helferchen mehr. Aber überall muss man sich einloggen, man hat ein spezifisches Passwort und eine besondere Zwei-Faktor-Authentifizierung. Bei den meisten Cloud-Diensten kann man sich mittels seines Google Accounts anmelden, auch bei den Atlassian Cloud-Diensten, was die Verwendung dieser externen Dienste stark vereinfacht.

Bastionen spezifischer Zugangsdaten sind unsere OnPremise Atlassian Tools wie Confluence, Jira, Bitbucket und Bamboo. Als Benutzerverwaltung setzen wir hier auf die Atlassian Lösung Crowd, welche das Provisioning und die Implementation von SSO erleichtert. Dabei werden die Passwörter im Crowd verwaltet und eine zweistufige Authentifizierung ist nur durch eine neue App oder einen neuen Token möglich.

Der Wunsch unserer Mitarbeitenden war klar definiert:

Wir wollen überall das gleich Login nutzen  —  vorzugsweise den von Google und dessen integrierte zweistufige Authentifizierung  —  also ein Login für alles!

Wir haben uns letztendlich für SAML entschieden. Dieser Artikel beschreibt, was alles nötig war, um das GSuite Login als Anmeldemöglichkeit für Confluence auszurollen.

Das Richtige Add-On Finden

Es gibt einige Add-ons auf dem Atlassian Marketplace, welche SAML unterstützen, viele werden jedoch von den Herstellern nicht unterstützt, und andere sind noch nicht komplett ausgereift. Am Ende haben wir uns für das Add-on SAML Single Sign On (SSO) for Confluence von resolution Reichert Network Solutions GmbH entschieden.

Folgende Punkte haben uns überzeugt:

  • Die Lösung kostet – wodurch Wartung & Support besser gewährleistet sind.
  • Der Hersteller ist Atlassian Verified und auf Atlassian Produkte fokussiert, wodurch das Add-on nicht nur ein internes «Randprodukt» ist
  • Die gleiche Lösung ist auch für Bitbucket, Bamboo und Jira erhältlich.
  • Das Add-on hat schon mehrere 100 Installationen.
  • Durchwegs positive Reviews
  • Vereinfachte Kommunikation, da der Hersteller im deutschsprachigen Raum sitzt.
  • Die Dokumentation ist sehr ausführlich, verständlich und gut strukturiert.
  • Die Benutzerführung im Add-on ist sehr gelungen.

Setup GSuite

Nachdem das Add-on ausgewählt und auf Confluence installiert wurde, wird die SAML-App in der GSuite eingerichtet. Der Domain Administrator kann in der GSuite Admin Konsole unter Apps neue SAML-Apps anlegen.

Setup-GSuite

Dort kann man neben einigen Vorlagen auch benutzerdefinierte Apps hinzufügen und genau dies benötigen wir für die Konfiguration. Im Verlauf des Anlegeprozesses müssen die Metadaten des Identity Provider heruntergeladen werden, um diese später einfach ins Confluence zu importieren.

Google-IdP-info

Im Anschluss kann man die App benennen und ein Logo hinzufügen. Bei den Details zur Anwendung wird die URL zu Confluence in der Form https://<baseurl>/plugins/servlet/samlsso hinterlegt.

Details-zu-dienstanbieter

Danach kommt eine wichtige Konfiguration – die Angabe der mitzugebenden Informationen. Folgendes kann hier eingetragen werden:

  • email — Primäre E-Mail-Adresse
  • firstname — Vorname
  • lastname — Nachname
attribut-zuordnung

Abschliessend muss man die eben erstellte SAML-App Konfiguration für die Organisation aktivieren.

SAML-App-Konfiguration

Konfiguration in Confluence

Die Konfiguration in Confluence ist einfach und basiert auf den vorher heruntergeladenen Metadaten des Identity Provider. 

Unter https://<baseurl>/plugins/servlet/samlsso/admin wird eine neue Identity Provider Konfiguration angelegt, ausgewählt wird die Google GSuite Vorlage. Nach der Definition eines Namens kann dann das Metadaten-File der GSuite hochgeladen werden.

Import-SAML-IdP-Metadata

Nach dem Datenimport kann man einstellen, ob die User automatisch erstellt und aktualisiert werden sollen. Da wir aber Crowd als Benutzerverzeichnis weiter verwenden wollen, haben wir uns dagegen entschieden. Sollte man Confluence als einzige Applikation ohne eine externe Benutzerverwaltung verwenden, würde sich diese Option sicher lohnen und der Confluence Administrator erspart sich das lästige manuelle Erstellen der einzelnen Benutzer. 

user-creation-and-update-confluence

Zum Schluss werden die Einstellungen und der Login noch getestet und validiert: Hierfür Confluence in einem neuen Fenster öffnen und GSuite (oder der vorher erteilte Name) auswählen.

Selection-Identity-Providers

Zwei-Faktor-Authentifizierung

Ein zusätzlicher Benefit ist die automatisch gewonnene zweifache Authentifizierung von Google. Sollte diese in der GSuite für die Organisation Pflicht sein, greift sie nun auch hier und das Confluence ist optimal geschützt – und die Mitarbeitenden haben überall die gleichen Zugangsdaten.

Bestätigung-der-two-factor-authentification

Nächste Schritte

Nachdem wir SAML erfolgreich für unser Confluence ausgerollt haben, werden wir Bamboo, Bitbucket und Jira mit Jira Service Desk mit SAML einrichten. Hierbei wird es spannend zu sehen, wie wir die Benutzer, welche nicht in unserer GSuite verwaltet werden, abfangen können, ohne dass die User Experience darunter leitet.

Zudem hatten wir die Idee, das sehr nüchterne Login-Formular von Confluence einladender zu gestalten. Ein kurzer Test dazu sieht schon vielversprechend aus.

Login-screen-bitvoodoo-confluence

Wir werden darüber berichten!

 

Der Autor:

Oliver_Straesser-1.jpg
 

Oliver Strässer
Leiter IT
Senior-Entwickler
Partner

XING
Twitter
linkedIn