Atlassian Cloud Azure AD integraatio

Johdanto

Käyttäjätilien ja salasanojen hallinta on tunnetusti vaikeata, mutta sen ei välttämättä tarvitse olla sitä. Teknologioita kyllä löytyy, eikä pyörää tarvitse välttämättä uudelleen keksiä. Lähinnä ongelmana on ratkaisujen hinta ja asiantuntevuus ratkaisujen käyttöönottamisessa. Tässä sellaisen haasteen äärellä olinkin äskettäin, kun kytkin kokeilumielessä Atlassianin JIRA tuotteen Identiteetinhallintaan. Tämä ei ole mitenkään erityisen vaikea operaatio, mutta ensimmäisellä kerralla joutuu tekemään hieman tutkimusta, että mitä kaikkea tarvitaan.

Jos yrityksesi on O365 asiakas, niin teillä onkin jo myös samalla käytössä Azure ympäristö ja täältä palveluna saatava Azure Aktiiivikirjasto (tästä lähtien AzureAD). AzureAD tarjoaa varsin monipuolisesti erilaisia ominaisuuksia tilauksesta riippuen, mutta perustason tilauksellakin voidaan jo kytkeä O365  käyttäjätilit hyvin monipuolisesti eri palveluihin vaikkapa SAML 2.0 protokollan avulla. Tilaustason nostolla vaihtoehtojen lukumäärä kasvaa mm. oAuth 2.0, Kerberos, NTLM että LDAP -valintoihin. Tässä pikaoppaassa keskitymme SAML 2.0 protokollalla toteutettavaan Atlassian Cloud käyttäjätilien Single-sign-on -integrointiin.

Seuraava kuva kuvaa arkkitehtuuria ja tarvittavia komponentteja.

Tarvitset seuraavat komponentit/tilaukset:

  1. Office 365 + Azure
  2. Atlassian Cloud tilauksen
  3. Atlassian Access tilauksen
  4. n-kappaletta Atlassian Cloud ympäristöjä. Ympäristö koostoo esimerkiksi JIRA, että Confluence tilauksista.
  5. Mahdollisesti DNS-palvelun. Azuresta sellaisen saa, mutta myös Amazon Route 53 käy aivan hyvin.
  6. Testitilin ylläpito-oikeuksilla Atlassian Cloud järjestelmään. Tämä ei saa olla samasta domainista, mistä hallittava organisaatio

DNS-palvelua lukuunottamatta kaikki palvelut laskutetaan käyttäjämäärän mukaan, joskin kaikista tuotteista löytyy myös kuukauden trial versiot.

Atlassian Cloudin asettaminen

Otetaan käyttöön Atlassian Cloud tilaus ja rekisteröidään haluttu organisaatio. Tämä toimenpide muuttaa Atlassian Cloud käyttäjätilit hallituiksi (managed accounts) ja tällöin voit pakottaa ympäristöihin esimerkiksi salasanakäytäntöjä, tai MFA:n. Organisaation rekisteröinti tehdään DNS-palvelun, tai www-palvelimen avulla. DNS-palvelimen tapauksessa yrityksen DNS alueelle syötetään uusi TXT-kenttä, joka sisältää Atlassian Cloud palvelusta löytyvät arvot. Jos rekisteröinti halutaan tehdä www-palvelimen avulla, niin tällöin www-palvelimelle talletetaan Atlassian Cloud palvelusta löytyvä tiedosto.

Rekisteröinti varmistaa sen, että rekisteröidyn organisaation käyttäjätilit Atlassian Cloud palvelussa, esimerkiksi yrjo.yrittaja@yritys.com, otetaan erikoisvalvonnan piiriin. Kun taas Atlassian Cloud palvelun pekka.perinteinen@gmail.com käyttäjätunnukset eivät ole valvonnan piirissä. Täten ei olekaan suositeltavaa antaa kirjautumisoikeuksia kolmannen osapuolen käyttäjätileille. Näiden käyttöä ei voi valvoa helposti, vaan järkevämpää hoitaa kaikki keskitetysti.

Organisaation vahvistamisen jälkeen voimme ottaa käyttöön Atlassian Access tilauksen. Tilaus muuntaa hetkessä organisaation käyttäjätilit hallituiksi ja asiasta lähtee sähköpostitse maininta käyttäjille.

Tämän jälkeen tehdään uusi ylläpitäjätunnus, joka on erillinen hallittavasta organisaatiosta. Tämä on sen vuoksi, että jos jotain menee pieleen SSO-kytkennässä, niin et sulje itseäsi ulos järjestelmästä.

Näiden askelien jälkeen olemmekin valmiita ottamaan käyttöön SSO-ominaisuuden Atlassian Cloud palvelussa. Joten siirrytään Microsoft Azuren puolelle hakemaan muutamia asetustiedostoja.

Microsoft Azure pilvipalvelun asetukset

Kirjautukaamme Azure palveluun ja otetaan käyttöön maksuominaisuudet. Tähän tarvitset luottokortin, vaikkakin laskutus Microsoft-kumppanin kanssa on suositeltavampaa.

Seuraavaksi Microsoftin oppaan luokse ja luetaan se läpi ja lisätään oppaan mukaisesti Atlassian Cloud App Azure palveluun. Tämän jälkeen, kun olet hieman hämmentynyt asetettavista osoitteista, niin jatketaan asetuksien etsimistä.

Seuraavaksi menet Azuressa Atlassian Cloud applikaation “Getting started” osioon. Alhaalta viimeisenä löydät Quick Reference osion, jossa on seuraavantyylisiä arvoja sekä tarjolla ladattavaksi sertifikaatti. Kopioi arvot talteen ja lataa sertifikaatti työpöydällesi.

  • Azure AD Single Sign-On Service URL : https://login.microsoftonline.com/höpö-höpö-2fdsa-adfa-23afsd34/saml2
  • Azure AD SAML Entity ID : https://sts.windows.net/38mkdf8ks8a-höpö-ad8k-madf-kmf83k4s7akl2/

Atlassian Access asetukset

Atlassian Access SAML-asetukset ovat varsin helppo ottaa käyttöön. Mene Atlassian hallintapaneeliin ja siellä olevaan SAML-SSO osuuteen. Tästä on kuvia Microsoft oppaassa. Lisää uusi SAML-konfiguraatio ja syötä Azuresta kopioimasi SAML Entity ID, että Single Sign-ON Service URL. Tämän jälkeen lataa palveluun Azuresta saamasi sertifikaatti. Kun olet syöttänyt arvot ja tallentanut ne, niin Atlassian Access tarjoaa vaihtovuoroisesti arvoja Azureen syötettäväksi.

Nämä ovat tyyliin:

  • https://auth.atlassian.com/saml/<unique ID>
  • https://auth.atlassian.com/login/callback?connection=saml-<unique ID>

Ja näin saat Atlassianilta yhdistämiseen tarvittavat arvot. Microsoftin ohjeessa muistaakseni jätetään tämä osio täysin kertomatta.

Azure AD:n hienosäätö

Nyt sinulla on kaikki tarvittavat tiedot kytkennän tekemiseen. Lisää edellisestä osasta saadut kentät Atlassian Connect applikaatioon ja vaihda käyttäjän tunnistukseen käytettävä attribuutti user.email -muotoon.

Tämän jälkeen tallennat asetukset ja lisäät O365 käyttäjälle käyttöoikeudet käyttää Atlassian Connect applikaatiota.

Suosittelen myös, että laitat sähköposti-ilmoituksen päälle, koska kytkennässä käytetty sertifikaatti vanhenee. Oletuksena tämän ikä on kaksi vuotta. Vanhentuneella sertifikaatilla kirjautumista ei voida suorittaa.

Loppusanat

Kytkentä ei ole kovinkaan vaikea tehdä, vaikkakin ensimmäisellä kerralla tämä on hieman jännittävää. Isoimmat haasteet ovat organisaation rekisteröinti ja Atlassian tuotteiden erojen ja keskinäisten suhteiden selvittäminen. On myös huomattava, että kustannukset voivat nopeasti olla hyvinkin suuret. Atlassianin tuotteet ovat käyttäjäpohjaisesti hinnoiteltuja, joten yhdistelmä JIRA+Confluence+Atlassian Access kahdellekymmenelle käyttäjälle maksaa vuosittain seuraavalla tavalla. 1680e (JIRA) + 1200e (Confluence)+ 720e (Connect), yhteensä 3600 euroa.

Myös O365 tilaus tulee maksamaan, etenkin jos haluat Azure AD P1 tai P2 tason hallintaa. Nämä mahdollistaa IP-rajoitukset, ryhmäpohjaiset pääsynhallinnan ja esimerkiksi laitekohtaiset rajoitukset . Näiden hinnat jääköö toiseen päivään.

Leave a Reply

Your email address will not be published. Required fields are marked *