文档

Bitbucket miniOrange SAML

更新时间:

本文为您介绍如何在 IDaaS 中配置 Bitbucket miniOrange saml单点登录。

应用简介

Bitbucket

注意:Bitbucket 需要额外插件才能实现 SSO,例如:SAML Single Sign On - SAML SSO Login

本篇文档中 Bitbucket 版本为 6.0.3。 在 Bitbucket 中通过配置请参考文档:https://miniorange.com/atlassian/setup-saml-single-sign-on-sso-for-bitbucket#stepe

操作步骤

一、创建应用

  1. 登录 IDaaS管理控制台

  2. 前往 应用-添加应用-应用市场,搜索到 Bitbucket miniOrange SAML 应用模板。点击 添加应用

图片.png
  1. 确认应用名称,即可完成添加。

二、在 IDaaS 中配置 SSO

您只需要将 Bitbucket 服务地址填写进来,注意结尾不要以“/”结尾。

  1. 填写 SSO 配置

图片.png

其他选项保持默认,点击 保存 即可完成全部 SSO 配置。

  • 应用账户:默认使用 IDaaS 账户名作为应用登录标识。Bitbucket 支持 自动创建账户,单点登录时,若 Bitbucket 中不存在指定账户,则会直接创建出来。

  • 若希望灵活配置,请参考 单点登录通用说明进行配置。

  • 授权范围:默认全员可用。若希望指定可访问应用的 IDaaS 账户,请参考 单点登录通用说明进行配置。

  1. 获取 Bitbucket 配置信息

配置页下方的 应用配置信息 中,包含了 Bitbucket 完成配置所需要的参数。图片.png

从中您需要获取 IdP 元数据,IdP 唯一标识IdP, 发起 SSO 地址和公钥证书四个参数。

三、Bitbucket 中配置 SSO

1. 安装插件

Bitbucket 插件市场中有多款用于实现单点登录的插件,点击 设置按钮-Manage apps,搜索“SAML Single Sign On”,在搜索列表中,选择“SAML Single Sign On - SAML SSO Login”插件(该插件由 miniOrange 提供),点击“立即安装”。

插件安装成功之后,在 User-installed apps 中可找到 SAML Single Sign On for Bitbucket图片.png

2. 配置 SSO

启用插件之后,Bitbucket 将在左侧导航栏中增加菜单 SAML Single Sign On,点击该菜单,即可进入编辑页面,如下图所示:图片.png

Identity Providers 标签内,点击 Add new Idp,如下图所示:

图片.png

点击 Add new Idp 图标后,弹框,选择您的身份提供方 Other Idp

图片.png选择完身份提供方后,填写Name,如下图,然后点击 Next图片.png

找到界面中的“SAML Idp Metadata Settings”,可以通过“上传IDP元数据”和“手动填写IDP元数据”两种方式,配置IdP信息。

  • 上传IDP元数据

下载列表,选择 I have ametadata URL 页签,“Metadata URL”填写 Idp元数据 地址。

image.png

字段

IDaaS 中字段名称

说明

Name

输入一个名字,例如: AliyunIDaaS​

Metadata URL

IdP 元数据

IdP Metadata

从 IDaaS 单点登录配置页 应用配置信息 中获取,对应“ IdP 元数据”,您可以将元数据下载到本地之后,然后在当前页面进行上传。

导入完成后可看到如下图,修改Login Binding 方式为 REDIRECT

image.png
  • 手动填写IDP元数据

将 IDaaS 中获取到的信息填写进入表格中。参数对照如下:image.png

字段

IDaaS 中字段名称

说明

Identity Provider Name

输入一个名字,例如: AliyunIDaaS,这个名字将在 WordPress 登录页中显示。

IdP Entity ID / Issuer

IdP 唯一标识

IdP Entity ID

从 IDaaS SSO 配置页 应用配置信息 中获取,对应“ IdP 唯一标识”

Login Binding

SP发起请求方式

固定值:REDIRECT

Idp REDIRECT Binding URL

IdP SSO 地址

IdP Sign-in URL

从 IDaaS SSO 配置页 应用配置信息 中获取,对应“ IdP SSO 地址”

Certificate

公钥证书

Certificate

从 IDaaS SSO 配置页 应用配置信息 中获取,对应“ IdP 公钥证书”

同时关闭“Sign Authentication Requests”。

image.png

选中 Service Provider,修改Entity Id为Bitbucket的域名。

image.png

修改Protocal Binding方式为 POST

image.png

3. 配置属性映射

若只进行单点登录,则在 Find user by Bitbucket attribute,选择对应的映射规则即可。

image.png

4. 单点登录时同步配置(可选)

选择 User Update Method 为 Update from SAML-Attribute(Just-in-Time Provisioning),如下图:image.png

开启“Create New Users”

建议关闭 Update users not created by this app(关闭后,同步时修改只修改单点登录同步过来的用户)。

image.png

必须选择,同步后,账户会同步到对应的组下面。若不填此项,则同步过来的账户单点登录时无权限。

image.png

属性配置。账户同步时,必须有配置FullName 和Eamil的属性映射。如下图:

image.png

目前支持的属性映射如下图:

Bitbucket 属性名

IDaaS SAML 断言中的属性名

说明

Username

username

如果 IDaaS 中,用户的用户名。若单点登录时,Use Name ID对应的不是Usename,则需要单独配置此映射。

Full Name

displayName

如果 IDaaS 中,用户的显示名存在,则会在SAML断言中,通过 displayName 属性传递给 Bitbucket。

E-Mail Address

email

如果 IDaaS 中,用户的邮箱存在,则会在SAML断言中,通过 email 属性传递给 Bitbucket。

四、尝试 SSO

您已经可以尝试 Bitbucket SSO。

Bitbucket既支持 IDP(IDaaS 门户) 发起 SSO,也支持 SP(应用) 发起 SSO。

注意:Bitbucket 支持 自动创建账户,单点登录时,若 Bitbucket 配置用户同步,则Bitbucket中不存在账户则会直接创建,不会拒绝访问。请在 IDaaS 中管理 Bitbucket 访问权限。

IDP 发起

请用已授权使用 Bitbucket 的 IDaaS 账户,登录到 IDaaS 门户页,点击页面上 Bitbucket 图标,发起 SSO。

image.png

SP 发起

请在匿名浏览器中,打开 Bitbucket 登录页,点击 Login again with Single Sign On,则会跳转到 IDaaS 进行登录。如果用户尚未登录 IDaaS ,则 IDaaS 会引导用户进行登录 。

image.png

验证通过后,将直接登录到 Bitbucket 中。

  • 本页导读 (0)