GeekFactory

int128.hatenablog.com

KeycloakのSAML SSOでJIRAやConfluenceにログインする

KeycloakとJIRAやConfluenceでSAML SSOを設定する方法を説明します。KeycloakでID管理を行いながら、JIRAやConfluenceにSSOできるので便利です。

TL;DR

JIRA Software

Keycloakで新しいClientを追加します。認証連携したいユーザがいるRealmで作業してください。

  • クライアントID: https://jira.example.com:443/jiraSAML
  • クライアントプロトコル: saml
  • クライアント署名が必須: OFF
  • ルート URL: https://jira.example.com
  • 有効なリダイレクト URI: https://jira.example.com/*
  • マッパー
    • SAML属性 cn → User Property username
    • SAML属性 mail → User Property email

Atlassian Marketplaceでは多くのSAMLアドオンが公開されています。ここでは無償で公開されている下記のアドオンをインストールします。

なお、このアドオンは最新のJIRAをサポートしていないと表示されますが、アドオンのJARをダウンロードし、JIRAの管理画面からJARをインストールすると動くようです。

JIRAの管理画面から「SAML 2.0 Plugin Configuration」を開き、以下を設定します。

  • Login URL: https://keycloak.example.com/auth/realms/YOUR_REALM/protocol/saml
  • UID Attribute: NameID
    • NameID を指定すると、Keycloakのユーザ名をそのままJIRAのユーザ名に対応付けます。
  • X.509 Certificate:
    • インストレーションでSAML Metadata IDPSSODescriptorを選択するとXMLが表示されるので、<dsig:X509Certificate> 要素に入っているBASE64文字列を入力します。
    • -----BEGIN CERTIFICATE----------END CERTIFICATE----- で囲むのをお忘れなく。
  • Entity ID: https://keycloak.example.com/auth/realms/YOUR_REALM
  • Auto-create User: ON
    • JIRA側にユーザが存在しない場合は自動的に作成します。
  • Default Group for Auto-created Users: jira-software-users
    • ユーザを自動的に作成する場合のデフォルトグループを設定します。デフォルトは一般グループにしておき、必要に応じて管理者グループを割り当てるとよいでしょう。

シークレットウィンドウでJIRAを開いてみましょう。 Use Corporate Login というボタンが追加で表示されるはずです。Keycloakを経由してJIRAにログインできれば成功です。

f:id:int128:20180626102301p:plain

なお、JIRAのデフォルトでは一般権限から管理者権限に昇格する際にパスワードを確認されます。SSOでログインしたユーザはパスワードを持っていないため、このままでは管理者権限に昇格できない問題があります。一般権限から管理者権限に昇格する際のパスワード確認を無効化するため、JVM引数に -Djira.websudo.is.disabled=true を追加しておきます*1

        - name: JAVA_OPTS
          value: "-Djira.websudo.is.disabled=true"

Confluence

上記と同様に、Keycloakで新しいClientを追加します。

  • クライアントID: https://confluence.example.com:443/confluenceSAML
  • クライアントプロトコル: saml
  • クライアント署名が必須: OFF
  • ルート URL: https://confluence.example.com
  • 有効なリダイレクト URI: https://confluence.example.com/*
  • マッパー
    • SAML属性 cn → User Property username
    • SAML属性 mail → User Property email

Atlassian Marketplaceでは多くのSAMLアドオンが公開されています。ここでは無償で公開されている下記のアドオンをインストールします。

Confluenceの管理画面から「SAML 2.0 Plugin Configuration」を開き、以下を設定します。

  • Login URL: https://keycloak.example.com/auth/realms/YOUR_REALM/protocol/saml
  • Logout URL: https://keycloak.example.com/auth/realms/YOUR_REALM/protocol/saml
  • X.509 Certificate:
    • インストレーションでSAML Metadata IDPSSODescriptorを選択するとXMLが表示されるので、<dsig:X509Certificate> 要素に入っているBASE64文字列を入力します。
    • -----BEGIN CERTIFICATE----------END CERTIFICATE----- で囲むのをお忘れなく。
  • Entity ID: https://keycloak.example.com/auth/realms/YOUR_REALM
  • Redirect URL: https://confluence.example.com
  • Auto-create User: ON
    • Confluence側にユーザが存在しない場合は自動的に作成します。
  • Default Group for Auto-created Users: confluence-users
    • ユーザを自動的に作成する場合のデフォルトグループを設定します。デフォルトは一般グループにしておき、必要に応じて管理者グループを割り当てるとよいでしょう。

シークレットウィンドウでConfluenceを開いてみましょう。 Use Corporate Login というボタンが追加で表示されるはずです。Keycloakを経由してConfluenceにログインできれば成功です。

なお、Confluenceのデフォルトでは一般権限から管理者権限に昇格する際にパスワードを確認されます。JIRAと同様に一般権限から管理者権限に昇格する際のパスワード確認を無効化しておきます。Confluenceの管理画面を開き、Security ConfigurationでSecure administrator sessionsのチェックを外します*2

まとめ

  • KeycloakでSAML Clientsを作成する。
  • JIRA SoftwareにSAML 2.0 Single Sign-On for Jiraプラグインをインストールし、SAMLを設定する。
  • ConfluenceにSAML 2.0 Single Sign-On for Confluenceプラグインをインストールし、SAMLを設定する。