Bitbucket miniOrange SAML
本文为您介绍如何在 IDaaS 中配置 Bitbucket miniOrange saml单点登录。
应用简介
Bitbucket
注意:Bitbucket 需要额外插件才能实现 SSO,例如:SAML Single Sign On - SAML SSO Login
本篇文档中 Bitbucket 版本为 6.0.3。 在 Bitbucket 中通过配置请参考文档:https://miniorange.com/atlassian/setup-saml-single-sign-on-sso-for-bitbucket#stepe
操作步骤
一、创建应用
登录 IDaaS管理控制台。
前往 应用-添加应用-应用市场,搜索到 Bitbucket miniOrange SAML 应用模板。点击 添加应用。
确认应用名称,即可完成添加。
二、在 IDaaS 中配置 SSO
您只需要将 Bitbucket 服务地址填写进来,注意结尾不要以“/”结尾。
填写 SSO 配置
其他选项保持默认,点击 保存 即可完成全部 SSO 配置。
应用账户:默认使用 IDaaS 账户名作为应用登录标识。Bitbucket 支持 自动创建账户,单点登录时,若 Bitbucket 中不存在指定账户,则会直接创建出来。
若希望灵活配置,请参考 单点登录通用说明进行配置。
授权范围:默认全员可用。若希望指定可访问应用的 IDaaS 账户,请参考 单点登录通用说明进行配置。
获取 Bitbucket 配置信息
配置页下方的 应用配置信息 中,包含了 Bitbucket 完成配置所需要的参数。
从中您需要获取 IdP 元数据,IdP 唯一标识IdP, 发起 SSO 地址和公钥证书四个参数。
三、Bitbucket 中配置 SSO
1. 安装插件
Bitbucket 插件市场中有多款用于实现单点登录的插件,点击 设置按钮-Manage apps,搜索“SAML Single Sign On”,在搜索列表中,选择“SAML Single Sign On - SAML SSO Login”插件(该插件由 miniOrange 提供),点击“立即安装”。
插件安装成功之后,在 User-installed apps 中可找到 SAML Single Sign On for Bitbucket。
2. 配置 SSO
启用插件之后,Bitbucket 将在左侧导航栏中增加菜单 SAML Single Sign On,点击该菜单,即可进入编辑页面,如下图所示:
在 Identity Providers 标签内,点击 Add new Idp,如下图所示:
点击 Add new Idp 图标后,弹框,选择您的身份提供方 Other Idp。
选择完身份提供方后,填写Name,如下图,然后点击 Next。
找到界面中的“SAML Idp Metadata Settings”,可以通过“上传IDP元数据”和“手动填写IDP元数据”两种方式,配置IdP信息。
上传IDP元数据
下载列表,选择 I have ametadata URL 页签,“Metadata URL”填写 Idp元数据 地址。
字段 | IDaaS 中字段名称 | 说明 |
Name | 输入一个名字,例如: AliyunIDaaS | |
Metadata URL | IdP 元数据 IdP Metadata | 从 IDaaS 单点登录配置页 应用配置信息 中获取,对应“ IdP 元数据”,您可以将元数据下载到本地之后,然后在当前页面进行上传。 |
导入完成后可看到如下图,修改Login Binding 方式为 REDIRECT。
手动填写IDP元数据
将 IDaaS 中获取到的信息填写进入表格中。参数对照如下:
字段 | IDaaS 中字段名称 | 说明 |
Identity Provider Name | 输入一个名字,例如: AliyunIDaaS,这个名字将在 WordPress 登录页中显示。 | |
IdP Entity ID / Issuer | IdP 唯一标识 IdP Entity ID | 从 IDaaS SSO 配置页 应用配置信息 中获取,对应“ IdP 唯一标识” |
Login Binding | SP发起请求方式 | 固定值:REDIRECT |
Idp REDIRECT Binding URL | IdP SSO 地址 IdP Sign-in URL | 从 IDaaS SSO 配置页 应用配置信息 中获取,对应“ IdP SSO 地址” |
Certificate | 公钥证书 Certificate | 从 IDaaS SSO 配置页 应用配置信息 中获取,对应“ IdP 公钥证书” |
同时关闭“Sign Authentication Requests”。
选中 Service Provider,修改Entity Id为Bitbucket的域名。
修改Protocal Binding方式为 POST。
3. 配置属性映射
若只进行单点登录,则在 Find user by Bitbucket attribute,选择对应的映射规则即可。
4. 单点登录时同步配置(可选)
选择 User Update Method 为 Update from SAML-Attribute(Just-in-Time Provisioning),如下图:
开启“Create New Users”
建议关闭 Update users not created by this app(关闭后,同步时修改只修改单点登录同步过来的用户)。
必须选择组,同步后,账户会同步到对应的组下面。若不填此项,则同步过来的账户单点登录时无权限。
属性配置。账户同步时,必须有配置FullName 和Eamil的属性映射。如下图:
目前支持的属性映射如下图:
Bitbucket 属性名 | IDaaS SAML 断言中的属性名 | 说明 |
Username | username | 如果 IDaaS 中,用户的用户名。若单点登录时,Use Name ID对应的不是Usename,则需要单独配置此映射。 |
Full Name | displayName | 如果 IDaaS 中,用户的显示名存在,则会在SAML断言中,通过 displayName 属性传递给 Bitbucket。 |
E-Mail Address | 如果 IDaaS 中,用户的邮箱存在,则会在SAML断言中,通过 email 属性传递给 Bitbucket。 |
四、尝试 SSO
您已经可以尝试 Bitbucket SSO。
Bitbucket既支持 IDP(IDaaS 门户) 发起 SSO,也支持 SP(应用) 发起 SSO。
注意:Bitbucket 支持 自动创建账户,单点登录时,若 Bitbucket 配置用户同步,则Bitbucket中不存在账户则会直接创建,不会拒绝访问。请在 IDaaS 中管理 Bitbucket 访问权限。
IDP 发起
请用已授权使用 Bitbucket 的 IDaaS 账户,登录到 IDaaS 门户页,点击页面上 Bitbucket 图标,发起 SSO。
SP 发起
请在匿名浏览器中,打开 Bitbucket 登录页,点击 Login again with Single Sign On,则会跳转到 IDaaS 进行登录。如果用户尚未登录 IDaaS ,则 IDaaS 会引导用户进行登录 。
验证通过后,将直接登录到 Bitbucket 中。