KeycloakとJIRAやConfluenceでSAML SSOを設定する方法を説明します。KeycloakでID管理を行いながら、JIRAやConfluenceにSSOできるので便利です。
TL;DR
- Keycloakはオープンソースの統合ID管理ツールです。OpenID ConnectやSAMLによる認証を提供しています。(こちらの記事が参考になります)
- JIRA Softwareはプロプライエタリなバックログ管理ツールです。アドオンを利用することでSAMLによるSSOに対応します。
- ConfluenceはプロプライエタリなWikiツールです。アドオンを利用することでSAMLによるSSOに対応します。
- Keycloakとの連携にはSAMLを利用します。
JIRA Software
Keycloakで新しいClientを追加します。認証連携したいユーザがいるRealmで作業してください。
- クライアントID:
https://jira.example.com:443/jiraSAML
- クライアントプロトコル: saml
- クライアント署名が必須: OFF
- ルート URL:
https://jira.example.com
- 有効なリダイレクト URI:
https://jira.example.com/*
- マッパー
Atlassian Marketplaceでは多くのSAMLアドオンが公開されています。ここでは無償で公開されている下記のアドオンをインストールします。
なお、このアドオンは最新のJIRAをサポートしていないと表示されますが、アドオンのJARをダウンロードし、JIRAの管理画面からJARをインストールすると動くようです。
JIRAの管理画面から「SAML 2.0 Plugin Configuration」を開き、以下を設定します。
- Login URL:
https://keycloak.example.com/auth/realms/YOUR_REALM/protocol/saml
- UID Attribute:
NameID
NameID
を指定すると、Keycloakのユーザ名をそのままJIRAのユーザ名に対応付けます。
- X.509 Certificate:
- Entity ID:
https://keycloak.example.com/auth/realms/YOUR_REALM
- Auto-create User: ON
- JIRA側にユーザが存在しない場合は自動的に作成します。
- Default Group for Auto-created Users:
jira-software-users
- ユーザを自動的に作成する場合のデフォルトグループを設定します。デフォルトは一般グループにしておき、必要に応じて管理者グループを割り当てるとよいでしょう。
シークレットウィンドウでJIRAを開いてみましょう。 Use Corporate Login というボタンが追加で表示されるはずです。Keycloakを経由してJIRAにログインできれば成功です。
なお、JIRAのデフォルトでは一般権限から管理者権限に昇格する際にパスワードを確認されます。SSOでログインしたユーザはパスワードを持っていないため、このままでは管理者権限に昇格できない問題があります。一般権限から管理者権限に昇格する際のパスワード確認を無効化するため、JVM引数に -Djira.websudo.is.disabled=true
を追加しておきます*1。
- name: JAVA_OPTS value: "-Djira.websudo.is.disabled=true"
Confluence
上記と同様に、Keycloakで新しいClientを追加します。
- クライアントID:
https://confluence.example.com:443/confluenceSAML
- クライアントプロトコル: saml
- クライアント署名が必須: OFF
- ルート URL:
https://confluence.example.com
- 有効なリダイレクト URI:
https://confluence.example.com/*
- マッパー
Atlassian Marketplaceでは多くのSAMLアドオンが公開されています。ここでは無償で公開されている下記のアドオンをインストールします。
Confluenceの管理画面から「SAML 2.0 Plugin Configuration」を開き、以下を設定します。
- Login URL:
https://keycloak.example.com/auth/realms/YOUR_REALM/protocol/saml
- Logout URL:
https://keycloak.example.com/auth/realms/YOUR_REALM/protocol/saml
- X.509 Certificate:
- Entity ID:
https://keycloak.example.com/auth/realms/YOUR_REALM
- Redirect URL:
https://confluence.example.com
- Auto-create User: ON
- Confluence側にユーザが存在しない場合は自動的に作成します。
- Default Group for Auto-created Users:
confluence-users
- ユーザを自動的に作成する場合のデフォルトグループを設定します。デフォルトは一般グループにしておき、必要に応じて管理者グループを割り当てるとよいでしょう。
シークレットウィンドウでConfluenceを開いてみましょう。 Use Corporate Login というボタンが追加で表示されるはずです。Keycloakを経由してConfluenceにログインできれば成功です。
なお、Confluenceのデフォルトでは一般権限から管理者権限に昇格する際にパスワードを確認されます。JIRAと同様に一般権限から管理者権限に昇格する際のパスワード確認を無効化しておきます。Confluenceの管理画面を開き、Security ConfigurationでSecure administrator sessionsのチェックを外します*2。