Перейти к основному содержимому

Двухфакторная аутентификация Atlassian Cloud

Общие сведения

В статье описывается настройка единого входа (Single Sign-On) в продукты Atlassian Cloud (Jira, Confluence) с многофакторной аутентификацией Multifactor.

Atlassian Cloud поддерживает федеративную аутентификацию по протоколу SAML с использованием Мультифактора в качестве поставщика учётных записей. Это позволяет централизованно управлять доступом и обеспечивает защиту от несанкционированного доступа к системе за счёт многофакторной аутентификации.

Поскольку Мультифактор не запрашивает и не хранит пароли ваших пользователей, первым фактором аутентификации (логин и пароль) могут выступать следующие поставщики учётных записей:

  • Active Directory
  • Yandex
  • Google
  • Локальные пользователи Мультифактор (только e-mail)
  • Другие внешние SAML поставщики учётных записей

Схема работы

  1. Atlassian Cloud устанавливает доверие с Мультифактором, получая его публичный сертификат и адрес единого входа (Sigle Sign-On);
  2. При запросе на аутентификацию, Atlassian Cloud переадресует пользователя на страницу Мультифактора;
  3. Мультифактор отправляет пользователя на страницу поставщика учетных записей (Active Directory, Google, Яндекс, внешний SAML поставщик);
  4. После подтверждения первого фактора, Мультифактор запрашивает двухфакторную аутентификацию и возвращает подписанный запрос в Atlassian Cloud;
  5. Atlassian Cloud предоставляет пользователю доступ к запрашиваемому ресурсу.

Настройка Мультифактора

  1. Зайдите в личный кабинет, в разделе 'Ресурсы' создайте новый 'Сайт' -> 'SAML приложение':
    • Название: произвольное
    • Адрес: [опционально] адрес Atlassian Cloud
    • Поставщик учетных записей:
      • Active Directory для учетных записей домена Active Directory;
      • Google для использования учетных записей Google;
      • Yandex для использования учетных записей Яндекса;
      • Только e-mail для использования локальных учетных записей Мультифактора (только e-mail, без пароля);
      • Другой для использования учетных записей преднастроенных внешних поставщиков в разделе "Настройки" -> "Поставщики учетных записей";
    • Адрес портала:
  2. Сохраните настройки;
  3. Сохраните или откройте по ссылке файл из поля 'Метаданные Мультифактора', он понадобится для дальнейшей настройки Atlassian;
  4. Поле 'Поставщик услуг' пока оставьте пустым, мы вернемся к нему позже после настройки Atlassian.

Настройка Atlassian

Настройка SAML конфигурации

  1. Зайдите в раздел 'Security' -> 'Identity providers' -> 'Other Provider (Choose)':
    • Directory name: задайте любое значение названия директории;
  1. Запустите мастер настройки SAML конфигурации, нажав 'Set up SAML single sign-on'
  1. На шаге 'Add SAML':
    • Identity provider Entity ID:
      • Ссылка на метаданные Мультифактора из созданного ранее SAML ресурса в панели управления Мультифактор;
      • Пример значения: https://idp.multifactor.ru/rs_<identifier>;
    • Identity provider SSO URL:
      • Ссылка на метаданные Мультифактора из созданного ранее SAML ресурса в панели управления Мультифактор + /login/;
      • Пример значения: https://idp.multifactor.ru/rs_<identifier>/login/;
    • Public x509 certificate:
      • Cкопируйте значение внутри тэга <X509Certificate> из файла метаданных Мультифактора. Поместите его между тэгами -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----;
      • Пример PEM-сертификата:
        -----BEGIN CERTIFICATE-----
        <Закодированный в формате Base64 сертификат>
        -----END CERTIFICATE-----
    • Нажмите 'Next'.
  1. На шаге 'Copy URLs':

    • Сохраните ссылки 'Service provider entity URL' и 'Service provider assertion consumer service URL';
    • Создайте XML файл sp_metadata.xml

      sp_metadata.xml
      <?xml version="1.0"?>
      <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
      entityID="ENTITY_URL">
      <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
      <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
      <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
      Location="ASSERTION_CONSUMER_SERVICE_URL"
      index="1" />
      </md:SPSSODescriptor>
      </md:EntityDescriptor>

    где:

    • ENTITY_URL - значение 'Service provider entity URL';

    • ASSERTION_CONSUMER_SERVICE_URL - значение 'Service provider assertion consumer service URL'.

    • Сохраните файл sp_metadata.xml и загрузите его в поле 'Поставщик услуг' в панели управления Мультифактора, в настройках созданного ранее SAML ресурса;

  2. На шаге 'Link domain' выберите домен для ассоциации с поставщиком учётных записей. Если у вас не подтверждено ни одного домена, необходимо добавить и верифицировать необходимый домен в настройках Atlassian. Нажмите 'Next';

  3. Cохраните конфигурацию, нажав 'Stop and save SAML';

Настройка политики аутентификации

  1. Зайдите в настройки ранее созданного поставщика учётных записей в разделе 'Security' -> 'Identity Providers';
  2. Перейдите в 'Authentication policies' -> 'View policies' -> 'Add policy':
    • Policy name: Enforce SSO;
  3. На вкладке 'Settings' включите 'Enforce single sign-on', нажмите 'Update';
  4. На вкладе 'Members' нажмите 'Add members', добавьте список пользователей.
  5. Сохраните конфигурацию.