本文为您介绍如何在IDaaS中配置Bitbucket miniOrange saml单点登录。
应用简介
Bitbucket是Atlassian公司提供的一个基于web的版本库托管服务,支持Mercurial和Git版本控制系统。
Bitbucket需要额外插件才能实现SSO,例如:SAML Single Sign On-SAML SSO Login
本篇文档中Bitbucket版本为6.0.3。 在Bitbucket中通过配置请参考文档。
操作步骤
一、创建应用
登录IDaaS管理控制台。
选择IDaaS实例并在操作区域下方单击访问控制台。
前往,搜索到Bitbucket miniOrange SAML。单击添加应用。
确认应用名称,即可完成添加。
二、在IDaaS中配置SSO
您只需要将Bitbucket服务地址填写进来,注意结尾不要以/结尾。
填写SSO配置
其他选项保持默认,单击保存即可完成全部SSO配置。
应用账户:默认使用IDaaS账户名作为应用登录标识。Bitbucket支持自动创建账户,单点登录时,若Bitbucket中不存在指定账户,则会直接创建出来。
若希望灵活配置,请参考单点登录通用说明进行配置。
授权范围:默认全员可用。若希望指定可访问应用的IDaaS账户,请参考单点登录通用说明进行配置。
获取Bitbucket配置信息
配置页下方的应用配置信息中,包含了Bitbucket完成配置所需要的参数。
从中您需要获取IdP 元数据,IdP 唯一标识IdP,发起SSO地址和公钥证书四个参数。
三、Bitbucket中配置SSO
1. 安装插件
Bitbucket插件市场中有多款用于实现单点登录的插件,单击Manage apps,搜索SAML Single Sign On,在搜索列表中,选择SAML Single Sign On-SAML SSO Login插件(该插件由miniOrange提供),单击立即安装。
插件安装成功之后,在User-installed apps中可找到SAML Single Sign On for Bitbucket。
2. 配置SSO
启用插件之后,Bitbucket将在左侧导航栏中增加菜单SAML Single Sign On,单击该菜单,即可进入编辑页面,如下图所示:
在Identity Providers页签内,单击Add new Idp,如下图所示:
单击Add new Idp图标后,弹框,选择您的身份提供方Other Idp。
选择完身份提供方后,填写Name,如下图,然后单击Next。
找到界面中的SAML Idp Metadata Settings,可以通过上传IDP元数据和手动填写IDP元数据两种方式,配置IdP信息。
上传IDP元数据
下载列表,选择I have ametadata URL页签,Metadata URL填写Idp元数据地址。
字段 | IDaaS 中字段名称 | 说明 |
Name | - | 输入一个名字,例如: AliyunIDaaS |
Metadata URL | IdP 元数据 IdP Metadata | 从IDaaS单点登录配置页应用配置信息中获取,对应IdP 元数据,您可以将元数据下载到本地之后,然后在当前页面进行上传。 |
导入完成后可看到如下图,修改Login Binding 方式为REDIRECT。
手动填写IDP元数据
将IDaaS中获取到的信息填写进入表格中。参数对照如下:
字段 | IDaaS 中字段名称 | 说明 |
Identity Provider Name | - | 输入一个名字,例如: AliyunIDaaS,这个名字将在 BitBucket登录页中显示。 |
IdP Entity ID / Issuer | IdP 唯一标识 IdP Entity ID | 从IDaaS SSO配置页应用配置信息中获取,对应IdP 唯一标识。 |
Login Binding | SP发起请求方式 | 固定值:REDIRECT |
Idp REDIRECT Binding URL | IdP SSO地址 IdP Sign-in URL | 从IDaaS SSO配置页应用配置信息中获取,对应IdP SSO 地址。 |
Certificate | 公钥证书 Certificate | 从IDaaS SSO配置页应用配置信息中获取,对应IdP 公钥证书。 |
同时关闭Sign Authentication Requests。
选中Service Provider,修改Entity Id为Bitbucket的域名。
修改Protocal Binding方式为POST。
3. 配置属性映射
若只进行单点登录,则在Find user by Bitbucket attribute,选择对应的映射规则即可。
4. 单点登录时同步配置(可选)
选择User Update Method为Update from SAML-Attribute(Just-in-Time Provisioning),如下图:
开启Create New Users
建议关闭Update users not created by this app(关闭后,同步时修改只修改单点登录同步过来的用户)。
必须选择组,同步后,账户会同步到对应的组下面。若不填此项,则同步过来的账户单点登录时无权限。
属性配置。账户同步时,必须有配置FullName和Eamil的属性映射。如下图:
目前支持的属性映射如下图:
Bitbucket 属性名 | IDaaS SAML 断言中的属性名 | 说明 |
Username | username | 如果IDaaS中,用户的用户名。若单点登录时,Use Name ID对应的不是Usename,则需要单独配置此映射。 |
Full Name | displayName | 如果IDaaS中,用户的显示名存在,则会在SAML断言中,通过displayName属性传递给 Bitbucket。 |
E-Mail Address | 如果IDaaS中,用户的邮箱存在,则会在SAML断言中,通过 email属性传递给Bitbucket。 |
四、尝试SSO
您已经可以尝试Bitbucket SSO。
Bitbucket既支持IDP(IDaaS门户)发起SSO,也支持SP(应用)发起SSO。
Bitbucket支持自动创建账户,单点登录时,若Bitbucket配置用户同步,则Bitbucket中不存在账户则会直接创建,不会拒绝访问。请在IDaaS中管理Bitbucket访问权限。
IDP发起
请用已授权使用Bitbucket的IDaaS账户,登录到IDaaS门户页,单击页面上Bitbucket,发起SSO。
SP发起
请在匿名浏览器中,打开Bitbucket登录页,单击Login again with Single Sign On,则会跳转到IDaaS进行登录。如果用户尚未登录IDaaS ,则IDaaS会引导用户进行登录 。
验证通过后,将直接登录到Bitbucket中。