Compartir vía

Tutorial: Integración del inicio de sesión único de Microsoft Entra con Confluence SAML SSO by Microsoft

  • Artículo

En este tutorial, obtendrá información sobre cómo integrar Confluence SAML SSO by Microsoft con Microsoft Entra ID. Al integrar Confluence SAML SSO by Microsoft con Microsoft Entra ID, puede:

  • Controlar en Microsoft Entra ID quién tiene acceso a Confluence SAML SSO by Microsoft.
  • Permitir que los usuarios inicien sesión automáticamente en Confluence SAML SSO by Microsoft con sus cuentas de Microsoft Entra.
  • Administre sus cuentas en una ubicación central.

Descripción:

Use la cuenta de Microsoft Entra con el servidor Atlassian Confluence para habilitar el inicio de sesión único. De esta forma, todos los usuarios de la organización pueden usar las credenciales de Microsoft Entra para iniciar sesión en la aplicación Confluence. Este complemento usa SAML 2.0 para la federación.

Requisitos previos

Para configurar la integración de Microsoft Entra con Confluence SAML SSO by Microsoft, se necesitan los siguientes elementos:

  • Una suscripción a Microsoft Entra.
  • Aplicación de servidor de Confluence instalada en un servidor Windows de 64 bits (de manera local o en la infraestructura de IaaS en la nube).
  • El servidor de Confluence es compatible con HTTPS.
  • Tenga en cuenta que las versiones admitidas para el complemento Confluence se mencionan en la sección siguiente.
  • El servidor de Confluence es accesible en Internet, especialmente a la página de inicio de sesión de Microsoft Entra ID para la autenticación, y debe poder recibir el token de Microsoft Entra ID.
  • Las credenciales de administrador se configuran en Confluence.
  • WebSudo está deshabilitado en Confluence.
  • Usuario de prueba creado en la aplicación de servidor de Confluence.

Nota:

Para probar los pasos de este tutorial, no se recomienda el uso de un entorno de producción de Confluence. Pruebe primero la integración en el entorno de desarrollo o de ensayo de la aplicación y, después, use el entorno de producción.

Nota:

Esta integración también está disponible para usarse desde el entorno de la nube del gobierno de EE. UU. de Microsoft Entra. Es posible encontrar esta aplicación en la galería de aplicaciones en la nube del gobierno de EE. UU. de Microsoft Entra y configurarla de la misma manera que en la nube pública.

Para empezar, necesita los siguientes elementos:

  • No use el entorno de producción, salvo que sea necesario.
  • Una suscripción a Microsoft Entra. Si no tiene una suscripción, puede obtener una cuenta gratuita.
  • Una suscripción habilitada para el inicio de sesión único de Confluence SAML SSO by Microsoft.

Nota

Para obtener información sobre la configuración del proxy de aplicación para Confluence, consulte este tutorial.

Versiones compatibles de Confluence

En la actualidad se admiten las siguientes versiones de Confluence:

  • Confluence: 5.0 a 5.10
  • Confluence: 6.0.1 a 6.15.9
  • Confluence: 7.0.1 a 9.0.3

Nota:

Tenga en cuenta que nuestro complemento de Confluence también funciona con Ubuntu 16.04.

Descripción del escenario

En este tutorial va a configurar y probar el inicio de sesión único de Microsoft Entra en un entorno de prueba.

  • Confluence SAML SSO by Microsoft admite el inicio de sesión único iniciado por SP.

Para configurar la integración de Confluence SAML SSO by Microsoft en Microsoft Entra ID, deberá agregar Confluence SAML SSO by Microsoft desde la galería a la lista de aplicaciones SaaS administradas.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
  3. En la sección Agregar desde la galería, escriba Confluence SAML SSO by Microsoft en el cuadro de búsqueda.
  4. Seleccione Confluence SAML SSO by Microsoft en el panel de resultados y, a continuación, agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.

Si lo deseas, puedes usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puedes agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación y asignar roles, así como recorrer la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.

Configuración y prueba del inicio de sesión único de Microsoft Entra para Confluence SAML SSO by Microsoft

Configure y pruebe el inicio de sesión único de Microsoft Entra con Confluence SAML SSO by Microsoft mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vinculación entre un usuario de Microsoft Entra y el usuario relacionado de Confluence SAML SSO by Microsoft.

Para configurar el inicio de sesión único de Microsoft Entra con Confluence SAML SSO by Microsoft, siga estos pasos:

  1. Configure el inicio de sesión único de Microsoft Entra: para que los usuarios puedan usar esta característica.
    1. Cree un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con B.Simon.
    2. Asigne el usuario de prueba de Microsoft Entra, para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
  2. Configuración del inicio de sesión único de Confluence SAML SSO by Microsoft , para configurar los valores de Inicio de sesión único en la aplicación.
    1. Creación de un usuario de prueba de Confluence SAML SSO by Microsoft, para tener un homólogo de B.Simon en Confluence SAML SSO by Microsoft que esté vinculado a la representación del usuario en Microsoft Entra.
  3. Prueba del inicio de sesión único : para comprobar si la configuración funciona.

Configuración del inicio de sesión único de Microsoft Entra

Siga estos pasos para habilitar el SSO de Microsoft Entra.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Confluence SAML SSO by Microsoft>Inicio de sesión único.

  3. En la página Seleccione un método de inicio de sesión único, elija SAML.

  4. En la página Configuración del inicio de sesión único con SAML, haga clic en el icono de lápiz de Configuración básica de SAML para editar la configuración.

    Captura de pantalla que muestra cómo editar una configuración básica de SAML.

  5. En la sección Configuración básica de SAML, siga estos pasos:

    a. En el cuadro de texto Identificador, escriba una dirección URL con el siguiente patrón: https://<DOMAIN:PORT>/

    b. En el cuadro de texto URL de respuesta, escriba una dirección URL con el siguiente patrón: https://<DOMAIN:PORT>/plugins/servlet/saml/auth

    c. En el cuadro de texto URL de inicio de sesión, escriba una dirección URL con el siguiente patrón: https://<DOMAIN:PORT>/plugins/servlet/saml/auth

    Nota:

    Estos valores no son reales. Actualice estos valores con los valores reales de Identificador, URL de respuesta y URL de inicio de sesión. En caso de que sea una dirección URL con nombre, el puerto es opcional. Estos valores se reciben durante la configuración del complemento de Confluence, que se explica más adelante en el tutorial.

  6. En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, haga clic en el botón de copia para copiar la Dirección URL de metadatos de federación de aplicación y guárdela en su equipo.

    Captura de pantalla del vínculo de descarga del Certificado.

Cree un usuario de prueba de Microsoft Entra

En esta sección, se crea un usuario llamado B.Simon.

  1. Inicia sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
  2. Ve a Identidad>Usuarios>Todos los usuarios.
  3. Selecciona Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
  4. En las propiedades del usuario, sigue estos pasos:
    1. En el campo Nombre para mostrar, escribe B.Simon.
    2. En el campo Nombre principal de usuario, escribe username@companydomain.extension. Por ejemplo, B.Simon@contoso.com.
    3. Activa la casilla Mostrar contraseña y, después, anota el valor que se muestra en el cuadro Contraseña.
    4. Selecciona Revisar + crear.
  5. Selecciona Crear.

Asignación del usuario de prueba de Microsoft Entra

En esta sección, va a permitir que B.Simon acceda a Confluence SAML SSO by Microsoft mediante el inicio de sesión único.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Confluence SAML SSO by Microsoft.
  3. En la página de información general de la aplicación, seleccione Usuarios y grupos.
  4. Selecciona Agregar usuario o grupo y luego, en el cuadro de diálogo Agregar asignación, selecciona Usuarios y grupos.
    1. En el cuadro de diálogo Usuarios y grupos, selecciona B.Simon de la lista de usuarios y haz clic en el botón Seleccionar de la parte inferior de la pantalla.
    2. Si esperas que se asigne un rol a los usuarios, puedes seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verás seleccionado el rol "Acceso predeterminado".
    3. En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.

Configuración del inicio de sesión único de Confluence SAML SSO by Microsoft

  1. En otra ventana del explorador web, inicie sesión en la instancia de Confluence como administrador.

  2. Mantenga el mouse encima del icono de engranaje y haga clic en Complementos.

    Captura de pantalla que muestra el icono de engranaje seleccionado y la opción

  3. Descargue el complemento del Centro de descarga de Microsoft. Cargue manualmente el complemento proporcionado por Microsoft mediante el menú Cargar complemento. La descarga del complemento está contemplada en el Acuerdo de servicio de Microsoft.

    Captura de pantalla que muestra la página

  4. Para ejecutar el escenario de proxy inverso de Confluence o el escenario del equilibrador de carga, realice los pasos siguientes:

    Nota:

    En primer lugar, debe configurar el servidor con las siguientes instrucciones y después instalar el complemento.

    a. Agregue el siguiente atributo en el puerto del conector del archivo server.xml de la aplicación de servidor JIRA.

    scheme="https" proxyName="<subdomain.domain.com>" proxyPort="<proxy_port>" secure="true"

    Captura de pantalla que muestra el archivo

    b. Cambie la URL base en Configuración del sistema en función del proxy o equilibrador de carga.

    Captura de pantalla que muestra la página

  5. Una vez instalado el complemento, aparece en la sección de complementos Instalados por el usuario de Administrar complemento. Haga clic en Configurar para configurar el nuevo complemento.

  6. Siga estos pasos en la página de configuración:

    Sugerencia

    Asegúrese de que hay un solo certificado asignado a la aplicación, de forma que no se produzca ningún error en la resolución de los metadatos. Si hay varios certificados, el administrador recibe un error después de resolver los metadatos.

    Captura de pantalla que muestra la página de configuración de inicio de sesión único.

    1. En el cuadro de texto URL de metadatos, pegue la dirección URL de metadatos de federación de aplicación que ha copiado y haga clic en el botón Resolver. Se lee la dirección URL de metadatos de IdP y se rellena toda la información de campos.

    2. Copie los valores del identificador, la dirección URL de respuesta y la dirección URL de inicio de sesión, y péguelos en los cuadros de texto Identificador, Dirección URL de respuesta y Dirección URL de inicio de sesión respectivamente en la sección Configuración básica de SAML.

    3. En Nombre del botón de inicio de sesión escriba el nombre del botón que la organización quiere que los usuarios vean en la pantalla de inicio de sesión.

    4. En Descripción del botón de inicio de sesión escriba el nombre del botón que la organización quiere que los usuarios vean en la pantalla de inicio de sesión.

    5. En Grupo predeterminado Seleccionar el grupo predeterminado de la organización para asignar a nuevos usuarios (los grupos predeterminados facilitan los derechos de acceso organizados a la nueva cuenta de usuario).

    6. En la característica Creación automática de usuarios (aprovisionamiento de usuarios JIT): automatiza la creación de cuentas de usuario en aplicaciones web autorizadas, sin necesidad de aprovisionamiento manual. Esto reduce la carga de trabajo administrativa y aumenta la productividad. Dado que JIT se basa en la respuesta de inicio de sesión de Azure AD, escriba los valores del atributo de respuesta SAML, que incluyen la dirección de correo electrónico, el apellido y el nombre del usuario.

    7. En SAML User ID Locations (Ubicaciones de Id. de usuario de SAML), seleccione User ID is in the NameIdentifier element of the Subject statement (El Id. de usuario está en el elemento NameIdentifier de la instrucción Subject) o User ID is in an Attribute element (El Id. de usuario está en un elemento Attribute). Este identificador debe ser el identificador de usuario de Confluence. Si el identificador de usuario no coincide, el sistema no permitirá que los usuarios inicien sesión.

      Nota:

      La ubicación del Id. de usuario de SAML predeterminada es el identificador de nombre. Puede cambiarlo a una opción de atributo y escribir el nombre de atributo adecuado.

    8. Si selecciona la opción User ID is in an Attribute element (El Id. de usuario está en un elemento Attribute), escriba el nombre del atributo cuando se espera el id. de usuario en el cuadro de texto Nombre del atributo.

    9. Si se usa el dominio federado (por ejemplo, ADFS, etc.) con Microsoft Entra, haga clic en la opción Habilitar detección de dominio principal y configure el Nombre de dominio.

    10. En Nombre de dominio, escriba el nombre del dominio en el caso de inicios de sesión basados en ADFS.

    11. Active Habilitar cierre de sesión único si quiere que se cierre la sesión de Microsoft Entra ID cuando un usuario cierre la sesión de Confluence.

    12. Habilite la casilla Forzar inicio de sesión en Azure solo si desea conectarse con las credenciales de Microsoft Entra.

      Nota:

      Para habilitar el formulario de inicio de sesión predeterminado para el inicio de sesión de administrador en la página de inicio de sesión esté habilitada la opción de forzar inicio de sesión en Azure, agregue el parámetro de consulta a la dirección URL del explorador. https://<DOMAIN:PORT>/login.action?force_azure_login=false

    13. Active la casilla Habilitar el uso de Application Proxy si configuró la aplicación atlassian local en una configuración del proxy de aplicaciones. Para la configuración del proxy de aplicación, siga los pasos descritos en la documentación del proxy de aplicación de Microsoft Entra.

    14. Haga clic en el botón Save (Guardar) para guardar la configuración.

      Nota:

      Para más información acerca de la instalación y la solución de problemas, visite MS Confluence SSO Connector Admin Guide (Guía de administración del conector SSO de MS Confluence). También hay una sección de preguntas frecuentes que puede servirle de ayuda.

Creación de un usuario de prueba de Confluence SAML SSO by Microsoft

Para permitir que los usuarios de Microsoft Entra inicien sesión en el servidor local de Confluence, se deben aprovisionar en Confluence SAML SSO by Microsoft. Para Confluence SAML SSO by Microsoft, el aprovisionamiento es una tarea manual.

Para aprovisionar una cuenta de usuario, realice estos pasos:

  1. Inicie sesión como administrador en el servidor local de Confluence.

  2. Mantenga el mouse encima del icono de engranaje y haga clic en Administración de usuarios.

    Agregar empleado

  3. En la sección Usuarios, haga clic en la pestaña Agregar usuarios. En la página del cuadro de diálogo Agregar un usuario, realice los siguientes pasos:

    Captura de pantalla que muestra la página de administración de Confluence con la pestaña

    a. En el cuadro de texto Nombre de usuario, escriba el correo electrónico de un usuario, por ejemplo, B. Simon.

    b. En el cuadro de texto Nombre completo, escriba el nombre completo de un usuario; por ejemplo, B. Simon.

    c. En el cuadro de texto Correo electrónico, escriba la dirección de correo electrónico de un usuario, por ejemplo, B.Simon@contoso.com.

    d. En el cuadro de texto Contraseña, escriba la contraseña de B. Simon.

    e. Haga clic en Confirmar contraseña y vuelva a escribir la contraseña.

    f. Haga clic en el botón Agregar.

Prueba de SSO

En esta sección va a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.

  • Haga clic en Probar esta aplicación; esto le redirigirá a la dirección URL de inicio de sesión de Confluence SAML SSO by Microsoft, donde podrá poner en marcha el flujo de inicio de sesión.

  • Vaya directamente a la dirección URL de inicio de sesión de Confluence SAML SSO by Microsoft e inicie el flujo de inicio de sesión desde allí.

  • Puede usar Mis aplicaciones de Microsoft. Al hacer clic en el icono de Confluence SAML SSO by Microsoft en Aplicaciones, se le redirigirá a la dirección URL de inicio de sesión único de dicha aplicación. Para más información acerca de Aplicaciones, consulte Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.

Pasos siguientes

Una vez configurado Confluence SAML SSO by Microsoft, puede aplicar el control de sesión, que protege a la organización frente a la filtración e infiltración de información confidencial en tiempo real. El control de sesión procede del acceso condicional. Aprende a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.