使用 SAML 启用 SSO

如果您的组织使用 SAML 进行 SSO,您还可以将 Jira 配置为参与 SAML 会话,这样用户就不必在每次尝试访问应用程序时都登录 Jira。此外,如果您已将 SAML 身份提供程序 (IdP) 配置为 双因素身份验证 (2FA),以提高安全性,那么 Jira 也能获得这种好处。

在 Jira 上启用 SAML SSO 的前提条件是必须在 超文本传输协议安全 (HTTPS) 上运行 Jira。如果您尚未配置 Jira 设置,请参阅 第 1 章 Jira 数据中心入门 了解详情。

启用 Jira 的 SAML SSO 的步骤如下:

  1. 浏览到 Jira 管理控制台。

  2. 选择 系统 选项卡,然后选择 身份验证方法,这将带您进入如下所示的页面:

    image 2023 11 30 20 56 10 778
    Figure 1. Figure 9.22 – Authentication methods page

  3. 单击 添加配置 按钮。

  4. 输入配置名称。好的做法是以 IdP 和身份验证方法命名,例如,Okta SAML

  5. 选择身份验证方法—​本例中为 SAML

选择 SAML 作为身份验证方法后,需要输入 SAML 配置的详细信息。SAML 配置将由兼容 SAML 的 IdP(如 Microsoft Azure AD、Okta 和 Ping Identity)提供。您还需要向 IdP 提供 断言消费者服务 URL受众 URL(实体 ID) 值,以便将 Jira 注册为应用程序或 服务提供商 (SP)。最后,您需要输入 登录按钮文本 的值。这是终端用户尝试登录时将显示的内容,因此应该是有意义的内容—​例如,使用 SSO 登录。输入所有配置后,单击 保存配置 按钮。

添加 SAML 配置后,它将作为登录选项显示在登录页面上,如下图所示:

image 2023 11 30 20 57 38 717
Figure 2. Figure 9.23 – SAML authentication

通过切换默认用户名和密码验证方法的 登录页面显示 选项,可以隐藏用户名和密码选项。

启用 JIT 供应

利用 SAML SSO,当新用户首次通过 SSO 登录 Jira 时,您可以自动为其创建用户账户。任何后续登录也会自动更新用户账户的详细信息,使用户的 Jira 账户和 IdP 中的账户保持同步。

当您只想按需创建账户,或不想与 LDAP 等用户目录同步以将所有账户拉入 Jira 时,这将非常有用。启用 JIT 配置的步骤如下:

  1. 选择 SAML 身份验证方法的 编辑 选项。

  2. 切换 JIT 供应 选项。

  3. 输入用于用户显示名称、电子邮件和群组的 SAML 属性。这些属性由 SAML IdP 提供。

  4. 保存配置。

启用 JIT 配置后,当新用户通过 SAML SSO 登录 Jira 时,Jira 将根据 SAML 响应提供的属性创建一个新账户。用户每次登录时,该账户也会更新。