Crowd SSO

21.09.2017 / 0 Comments

Inhalt

  1. Vorbedingungen für die Einrichtung
  2. Installieren und Einrichten der einzelnen Komponenten als Server-Anwendung
  3. Einrichten von Crowd für die zentrale Benutzerverwaltung
  4. Einrichten der Applikation (z.B. JIRA) zur Nutzung von Crowd
  5. Einrichten des Single-Sign-On
  6. SecSign hinzufügen
  7. Nötige Schritte für bestimmte Szenarien


Das SecSign ID Crowd Plugin kann schnell und einfach integriert werden. Ausführliche Informationen über das Plugin und die Integration können den folgenden Seiten entnommen werden.

Sie haben noch Fragen? Zögern Sie nicht, sich mit uns in Verbindung zu setzen.


Einrichten einer zentralen Benutzerverwaltung für Atlassian Produkte und SecSign (optional mit Single Sign-On)

Alle Atlassian Produkte ermöglichen eine zentrale Benutzerverwaltung in Crowd, sowie Single Sign-On (SSO). Somit ist es möglich, sich zum Beispiel in JIRA anzumelden und dann automatisch auch bei Crowd, Confluence, Bamboo oder anderen angemeldet zu sein. Unsere SecSign Plug-Ins ermöglichen außerdem den Login mit Hilfe einer sicheren 2 Faktor-Authentifizierung. (siehe Schritt 5)
Im Folgenden werden nun alle benötigten Schritte für die Einrichtung erklärt. Wenn ein Einrichtungs-Schritt bereits zuvor erledigt wurde, so kann dieser übersprungen werden und mit dem nächsten fortgefahren werden. Am Ende gibt es eine ausführliche Auflistung der benötigten Schritte je nach bereits installierten Komponenten.

Vorraussetzungen für die Einrichtung

Um Atlassian-Produkte über eine zentrale Benutzerverwaltung nutzen zu können, müssen alle Komponenten, z.B.: JIRA, Confluence, Bamboo mit dem Server kommunizieren können, auf dem der Crowd-Server installiert werden soll. Proxy-Server und Firewalls müssen also entsprechend angepasst werden.

Um die individuellen Atlassian logins mit Crowd zu verwalten müssen die SecSign ID Plugins für die entsprechenden Angebote, zum Beispiel JIRA oder Confluence, installiert sein.
Ein Überblick über die momentan verfügbaren SecSign ID Plugins für Atlassian finden Sie auf der Atlassian Übersichtsseite.

ATLASSIAN UEBERSICHT

Um den SSO nutzen zu können, ist es außerdem nötig, dass sich alle Komponenten in der selben Domäne befinden. Dies liegt daran, dass der SSO mit Hilfe eines Cookies verwirklicht wird. Der Zugriff auf die Cookies ist aber immer nur auf die Domäne begrenzt, so dass Cookies außerhalb der Domäne nicht gefunden werden können. Hier zwei Beispiele für mögliche Konfigurationen:

Crowd crowd.mydomain.de
JIRA jira.mydomain.de
Confluence confluence.mydomain.de
Crowd www.mydomain.de/crowd
JIRA www.mydomain.de/jira
Confluence www.mydomain.de/confluence

1. Installieren und Einrichten der einzelnen Komponenten als Server-Anwendung

Um die Komponenten miteinander zu verbinden, müssen diese erst getrennt voneinander installiert werden. Hierbei gibt es noch keine Besonderheiten, die beachtet werden müssen und der Installations- und Einrichtungsassistent begleitet einen durch die Einrichtung der einzelnen Komponenten.
Hier die Links zu den einzelnen Komponenten:

2. Einrichten von Crowd für die zentrale Benutzerverwaltung

Je nach bestehender Konfiguration existiert bereits ein Benutzerverzeichnis, welches von weiteren Applikationen genutzt werden soll. Dieses Verzeichnis nennen wir im folgenden „zentrales
Verzeichnis“. Sollte noch kein solches Verzeichnis bestehen, so wird im Folgenden die Erstellung eines Verzeichnisses erklärt. Ist dies bereits vorhanden kann der Schritt übersprungen werden.

2.1 Erstellen des „zentralen Benutzerverzeichnis“

Öffnen Sie die Crowd-Konsole, indem Sie die Adresse des Crowd-Servers eingeben. Nun loggen Sie
sich mit einem Administrator-Konto ein.
In der oberen Navigationsleiste wählen Sie die Option „Directories“.

Im linken Bereich wählen Sie die Option „Add directory“, um das Hinzufügen eines
Benutzerverzeichnisses zu starten.
Nun bestehen verschiedene Möglichkeiten ein neues Verzeichnis zu erstellen.
So ist es möglich ein externes Verzeichnis (zum Beispiel Active Directory) hinzuzufügen. ( Anleitung )
Hier wird nun weiter das Verfahren für ein internes Crowd Verzeichnis erklärt, sollten Sie bereits einVerzeichnis erstellt haben oder die Anleitung zum Verwenden eines LDAP nutzen, so fahren Sie bitte mit Schritt 2.2. fort.

Wählen Sie „Internal“, um ein internes Verzeichnis zu erstellen.

Anschließend geben Sie einen Namen für das Verzeichnis ein, z.B.: „zentrales Benutzerverzeichnis“.
Alle anderen Felder sind optional und können unverändert belassen werden. Hier können Sie, wenn nötig, eine Beschreibung für das Verzeichnis angeben und die Regeln für Passwörter anpassen.
Klicken Sie auf „Continue“, um die Erstellung abzuschließen.

2.2 „Zentrales Benutzerverzeichnis“ extern nutzbar machen

Um das „zentrale Benutzerverzeichnis“ von anderen Applikationen nutzen zu lassen, müssen Sie
dieses für die Nutzung freigeben.
Hierfür wählen Sie in der oberen Navigationsleiste „Applications“.

Um nun eine Applikation hinzuzufügen, welche Zugriff auf Crowd haben soll, drücken Sie bitte auf „Add Application“ im linken Bereich.

Als „Application type“ wählen Sie nun die Applikation, die das „zentrale Benutzerverzeichnis“ nutzen soll, z.B. JIRA.
Im Feld „Name“ geben Sie der Applikation einen eindeutigen Namen, der von dieser genutzt wird,
um sich bei Crowd zu identifizieren.
In „Password“ und „Confirm Password“ sollten Sie ein sicheres Passwort eingeben, welches ebenfalls später zur Identifizierung der Applikation bei Crowd dient.
Ein Druck auf „Next“ führt zum nächsten Schritt, bei dem Sie nun die URL und die IP-Adresse der Applikation eingeben müssen. Dies dient der Sicherheit, da nur von dieser URL, bzw. IP auf das Verzeichnis zugegriffen werden kann und so Dritte auch mit dem Passwort keinen Zugriff hierzu bekommen könne.
Als nächstes folgt nach Druck auf „Next“ die Auswahl der nutzbaren Verzeichnisse. In Ihrem Fall müssen Sie also einen Haken bei „zentrales Benutzerverzeichnis“ machen.
Anschließend haben Sie die Wahl, ob sich jeder in dem Verzeichnis bei der Applikation anmelden darf oder ob Sie nur bestimmten Gruppen Zugriff geben möchten. Dies ist dann sinnvoll, wenn Sie Benutzer haben, die zu mehreren Applikationen Zugriff haben sollen, aber nicht zu allen. So könnte man sich eine Gruppe A vorstellen, die Zugriff zu JIRA und Confluence hat und eine Gruppe B, die Zugriff zu JIRA und Bamboo hat.
Drücken Sie dann „Next“ und „Add Application“, um die Konfiguration abzuschließen.

2.3 Gruppen hinzufügen

Entsprechend der Applikation, sollten Sie die Standardgruppen zum „zentralen Benutzerverzeichnis“ hinzufügen.
In Jira sind dies „jira-administrators“ und „jira-users“
Wählen Sie in der oberen Navigationsleiste „Groups“ und anschließend links „Add Group“.

Hier geben Sie bitte den Namen der Gruppe ein und wählen Sie bei „Directory“ das „zentrale
Benutzerverzeichnis“.
Optional können Sie der Gruppe eine Beschreibung geben und anschließend mit „Create“ abschließen.
Nun wählen Sie wieder „Applications“ und dort die Applikation z.B. JIRA.

Unter dem Register „Groups“ können Sie nun die beiden Gruppen zu der Applikation hinzufügen,
indem Sie diese wählen und „Add“ drücken.

2.4 Benutzer hinzufügen

Zum Hinzufügen eines Benutzers wählen Sie in der oberen Navigationsleiste „Users“ und dann „Add User“.

Geben Sie alle Details für den Benutzer ein und wählen Sie unter „Directory“ das „zentrale
Benutzerverzeichnis“. Anschließend beenden Sie das Erstellen mit einem Druck auf „Create“.
In der folgenden Ansicht können Sie nun den Benutzer zu den gewünschten Gruppen hinzufügen.
Wählen Sie hierfür den Register „Groups“ und „Add Groups“. Geben Sie den Namen der Gruppe ein,
drücken Sie „Search“ und wählen Sie die Checkbox neben der Gruppe.
Abschließend wählen Sie unten „Add selected groups“.

3. Einrichten der Applikation (z.B. JIRA) zur Nutzung von Crowd

A. JIRA einrichten
B. Confluence einrichten
C. Andere Anwendungen einrichten

A. JIRA einrichten

Um Jira für die zentrale Benutzerverwaltung einzurichten, starten Sie, falls nicht bereits geschehen, den JIRA-Server.
Anschließend navigieren Sie mit dem Browser zu der JIRA-Adresse und loggen Sie sich mit einem
Administrator-Konto an.
Als Erstes muss nun das Benutzerverzeichnis zu JIRA hinzugefügt werden. Hierfür wählen Sie
rechtsoben im „JIRA-Verwaltung“-Menü die Option „Benutzerverwaltung“.

In der Ansicht, die nun alle Benutzer anzeigen sollte, wählen Sie links „Benutzerverzeichnisse“, um die verfügbaren Verzeichnisse anzuzeigen. Hier sollte nun bereits das interne JIRA-Verzeichnis stehen.
Wählen Sie nun „Verzeichnis hinzufügen“ und im folgenden Drop-Down-Menü die Option „Atlassian
Crowd“ und „Weiter“, um das Hinzufügen zu beginnen.

In der folgenden Ansicht geben Sie dem Verzeichnis einen Namen und geben Sie die URL des Servers ein, damit JIRA den Crowd-Server kontaktieren kann.

Außerdem müssen Sie den Anwendungsnamen und das Passwort angeben, welche vorher in Schritt
2.2 festgelegt wurden.
Unter Crowd-Berechtigungen können Sie zwischen einem reinen Lese-Zugriff oder einem Lese- und
Schreib-Zugriff entscheiden.
Sollten Sie später SecSign nutzen wollen und Ihre IDs auch aus Jira verwalten können, so wählen Sie bitte Lese- und Schreibzugriff. Im Fall eines reinen Lese-Zugriffs, können Sie zwar die SecSign IDs aus anderen Applikationen übernehmen, aber diese nicht in JIRA ändern.
Das Synchronisationsintervall kann nach Belieben angepasst werden.
Mit einem Klick auf „Test-Einstellungen“ wird die Verbindung zu Crowd geprüft, um eine
einwandfreie Funktion zu sichern.
Bei erfolgreichem Test wird der Button „Speichern und testen“ aktiviert und ein Druck darauf stellt das Hinzufügen des Verzeichnisses fertig.
Wenn Sie nun neben dem Verzeichnis auf „Synchronisieren“ drücken und anschließend in der linken Navigationsleiste „Benutzer“ wählen, so sollten nun die neuen Benutzer in der Liste auftauchen.

B. Confluence einrichten

Um Confluence für die zentrale Benutzerverwaltung einzurichten, starten Sie, falls nicht bereits geschehen, den Confluence-Server.
Anschließend navigieren Sie mit dem Browser zu der Confluence-Adresse und loggen Sie sich mit
einem Administrator-Konto an.
Als Erstes muss nun das Benutzerverzeichnis zu Confluence hinzugefügt werden. Hierfür wählen Sie rechtsoben im „Confluence-Administration“-Menü die Option „Benutzerverwaltung“

In der Ansicht, in der Sie nach Benutzern suchen können, wählen Sie links „Benutzerverzeichnisse“,um die verfügbaren Verzeichnisse anzuzeigen. Hier sollte nun bereits das interne Confluence- Verzeichnis stehen.
Wählen Sie nun „Verzeichnis hinzufügen“ und im folgenden Drop-Down-Menü die Option „Atlassian
Crowd“ und „Weiter“, um das Hinzufügen zu beginnen.

In der folgenden Ansicht geben Sie dem Verzeichnis einen Namen und geben Sie die URL des Servers ein, damit Confluence den Crowd-Server kontaktieren kann.

Außerdem müssen Sie den Anwendungsnamen und das Passwort angeben, welche vorher in Schritt
2.2 festgelegt wurden.
Optional können Sie noch einige Einstellungen für Verbindungen und einen Proxy-Server einrichten.
Unter Crowd-Berechtigungen können Sie zwischen einem reinen Lese-Zugriff oder einem Lese- und
Schreib-Zugriff entscheiden.
Sollten Sie später SecSign nutzen wollen und Ihre IDs auch aus Confluence verwalten können, so
wählen Sie bitte Lese- und Schreibzugriff. Im Fall eines reinen Lese-Zugriffs, können Sie zwar die SecSign IDs aus anderen Applikationen übernehmen, aber diese nicht in Confluence ändern.
Das Synchronisationsintervall, sowie die Einstellung zum Aktualisieren der Gruppenzugehörigkeiten, können nach Belieben angepasst werden
Mit einem Klick auf „Test-Einstellungen“ wird die Verbindung zu Crowd geprüft, um eine
einwandfreie Funktion zu sichern.
Bei erfolgreichem Test wird der Button „Speichern und testen“ aktiviert und ein Druck darauf stellt das Hinzufügen des Verzeichnisses fertig.
Wenn Sie nun neben dem Verzeichnis auf „Synchronisieren“ drücken und anschließend in der linken Navigationsleiste „Benutzer“ wählen, so sollten nun die neuen Benutzer in der Liste auftauchen.

C. Andere Applikationen einrichten

Auch andere Atlassian-Produkte sind schnell zur Verwendung mit Crowd konfigurierbar.
Die Schritte ähneln in größten Teilen denen für JIRA und Confluence.
Atlassian bietet Anleitungen für jede Applikation und die Anleitungen für JIRA und Confluence (3.A und 3.B) können ebenfalls bei der Einrichtung helfen.
Anleitungen von Atlassian:

4. Einrichten des Single-Sign-On

Wenn Ihre Applikation bereits mit Crowd verbunden ist (siehe Schritte 2 und 3), so ist das Aktivieren
des SSO schnell zu erledigen.

A. SSO für JIRA einrichten
B. SSO für Confluence einrichten
C. SSO für andere Anwendungen einrichten

A. SSO für JIRA einrichten

Um JIRA SSO-fähig zu machen, beenden Sie den Jira-Server zuerst.
Anschließend müssen Sie die „seraph-config.xml“ bearbeiten. Diese finden Sie im JIRA-Verzeichnis (z.B.: C:\Programme\Atlassian\JIRA unter Windows) im Unterordner „atlassian-jira\WEB-INF“. Durch einen Rechtsklick auf die Datei und einen Klick auf Bearbeiten, wird die Datei in einem Editor geöffnet.
Nun muss der aktuelle Authenticator auskommentiert werden. Hierfür fügen Sie vor dem
Authenticator JiraSeraphAuthenticator die Zeichenkombination
hinzu.

Anschließend müssen die Crowd-Informationen nochmal für den Authenticator zugänglich
gespeichert werden.
Hierfür kopieren Sie die „crowd.properties“-Datei aus dem Crowd-Verzeichnis, aus dem
Unterverzeichnis „client/conf“ in das JIRA-Verzeichnis, in das Unterverzeichnis „atlassianjira\WEB-INF\classes“.
Nun müssen noch einige Details hierin bearbeitet werden, um die Kommunikation zu ermöglichen.
Klicken Sie mit der rechten Maustaste auf die Datei und dann auf „Öffnen Mit“. Wählen Sie WordPadoder einen beliebigen anderen Editor.
Nun ändern Sie folgende Parameter:

application.name Hier geben Sie bitten den Namen an, den Sie in
Crowd als Applikation definiert haben
application.password Hier geben Sie bitte das Passwort ein, welches
Sie für die Applikation in Crowd festgelegt
haben.
crowd.base.url Hier muss die URL des Crowd-Servers
angegeben werden. (Z.B.:
http://mydomain.de/crowd )
session.validationinterval Wenn Sie diesen Wert auf 0 setzen, wird bei jeder Anfrage geprüft, ob die Session noch
gültig ist oder ob Sie sich bereits in einer anderen Applikation abgemeldet haben.
Bei Werten größer als 0, gibt der Wert an nach wie vielen Minuten erneut geprüft werden soll.
Hierdurch erhöht sich die Performance des Systems bei sehr vielen Nutzern, da nicht bei jeder Anfrage der Crowd-Server kontaktiert werden muss.

Haben Sie alle Parameter angepasst, speichern Sie die Datei und starten Sie den JIRA-Server.
Nun sollten Sie sich in Crowd anmelden können und werden, wenn Ihr Konto auch Zugriff zu JIRA hat, auch bei Jira angemeldet.
Wenn Sie nun also im Browser zu Jira wechseln, sind Sie angemeldet und können JIRA sofort nutzen. Auch andersherum ist dies genauso möglich.

B. SSO für Confluence einrichten

Um Confluence SSO-fähig zu machen, beenden Sie den Confluence-Server zuerst.
Anschließend müssen Sie die „seraph-config.xml“ bearbeiten. Diese finden Sie im Confluence-
Verzeichnis (z.B.: C:\Programme\Atlassian\Confluence unter Windows) im Unterordner
„confluence\WEB-INF“. Durch einen Rechtsklick auf die Datei und einen Klick auf Bearbeiten, wird die Datei in einem Editor geöffnet.
Nun muss der aktuelle Authenticator auskommentiert werden. Hierfür fügen Sie vor dem
Authenticator ConfluenceAuthenticator die Zeichenkombination
hinzu.

Anschließend müssen vor und nach dem SSO-Authenticator
ConfluenceCrowdSSOAuthenticator dieselben Zeichenketten gelöscht werden.

Anschließend müssen die Crowd-Informationen nochmal für den Authenticator zugänglich
gespeichert werden.
Hierfür kopieren Sie die „crowd.properties“-Datei aus dem Crowd-Verzeichnis, zu finden im
Unterverzeichnis „client/conf“ in das Confluence-Verzeichnis, in das Unterverzeichnis
„confluence\WEB-INF\classes“.
Nun müssen noch einige Details hierin bearbeitet werden, um die Kommunikation zu ermöglichen.
Klicken Sie mit der rechten Maustaste auf die Datei und dann auf „Öffnen Mit“. Wählen Sie WordPad oder einen beliebigen anderen Editor.
Nun ändern Sie folgende Parameter:

application.name Hier geben Sie bitten den Namen an, den Sie in
Crowd als Applikation definiert haben
application.password Hier geben Sie bitte das Passwort ein, welches
Sie für die Applikation in Crowd festgelegt
haben.
crowd.base.url Hier muss die URL des Crowd-Servers
angegeben werden. (Z.B.:
http://mydomain.de/crowd )
session.validationinterval Wenn Sie diesen Wert auf 0 setzen, wird bei jeder Anfrage geprüft, ob die Session noch
gültig ist oder ob Sie sich bereits in einer anderen Applikation abgemeldet haben.
Bei Werten größer als 0, gibt der Wert an nach wie vielen Minuten erneut geprüft werden soll.
Hierdurch erhöht sich die Performance des Systems bei sehr vielen Nutzern, da nicht bei jeder Anfrage der Crowd-Server kontaktiert werden muss.

Haben Sie alle Parameter angepasst, speichern Sie die Datei und starten Sie den Confluence-Server.
Nun sollten Sie sich in Crowd anmelden können und werden, wenn Ihr Konto auch Zugriff zu
Confluence hat, auch bei Confluence angemeldet.
Wenn Sie nun also im Browser zu Confluence wechseln, sind Sie angemeldet und können Confluence
sofort nutzen.
Auch andersherum ist dies genauso möglich.

C. SSO für andere Applikationen einrichten

Auch die meisten anderen Atlassian Produkte können schnell für den Single Sign-On eingerichtet
werden.
Der Vorgang ähnelt in größten Teilen denen für JIRA und Confluence (4.A und 4.B) und Atlassian
bietet Anleitungen für die Produkte an.
Anleitungen von Atlassian:

5. SecSign hinzufügen

Mit Hilfe von SecSign ist es möglich für Crowd, JIRA und Confluence eine sicher 2-Faktor-
Authentifizierung (2FA) zu nutzen. Mit Hilfe des SSO ist es dann möglich auch die hiermit
authentifizierten Benutzer in anderen Produkten wie Bamboo zu nutzen.
Hierzu ist es als Erstes nötig, die Plug-Ins für JIRA, Confluence und Crowd zu installieren.

Wenn die Plug-Ins installiert sind, steht Ihnen auch sofort der SSO zur Verfügung, wenn Sie diesen
bereits konfiguriert haben (siehe Schritt 4).
Um nun die SecSign IDs über Crowd synchronisierbar zu machen, führen Sie bitte für alle 3
Applikationen die folgenden Schritte durch:

  • Wählen Sie in der oberen Navigationsleiste SecSign ID aus.
  • In der Ansicht, welche die Konfiguration des Plug-Ins darstellt, drücken Sie den Button
    „Optionen editieren“
  • Machen Sie einen Haken bei „Synchronisierbare IDs“ und drücken Sie „Optionen speichern“

Wenn Sie Schreibzugriff auf das Verzeichnis haben, sollte das Speichern der Optionen
funktionieren und die synchronisierbaren IDs sind aktiviert.
Wenn Sie keinen Schreibzugriff haben, so erhalten Sie hierzu eine Fehlermeldung.
Sie können nun den Zugriff ändern oder Sie nutzen den Button „Importiere und Aktiviere“,
um die IDs aus anderen Programmen zu übernehmen.
Sie haben dann nicht die Möglichkeit diese in dieser Applikation zu ändern, können aber
darauf zugreifen, um sich anzumelden.
Wenn Sie nun in einer Applikation die SecSign ID eines Nutzers ändern, so wird Sie auf die anderen
Applikationen synchronisiert und sind somit auch direkt dort nutzbar.
Ebenso können Sie sich nun beispielsweise bei JIRA mit der 2FA anmelden und sind dann ebenfalls
sicher bei Confluence und sogar bei Applikationen ohne ein SecSign Plug-In mit aktiviertem SSO
angemeldet.

6. Nötige Schritte für bestimmte Szenarien

  1. Ich habe JIRA und möchte zentrale Benutzerverwaltung mit Crowd
  2. Sie müssen die gesamte Anleitung befolgen und können lediglich den Schritt der Installation von JIRA
    überspringen

  3. Ich habe Confluence und möchte zentrale Benutzerverwaltung mit Crowd
  4. Sie müssen die gesamte Anleitung befolgen und können lediglich den Schritt der Installation von Confluence überspringen.

  5. Ich habe Jira und Confluence und möchte zentrale Benutzerverwaltung mit Crowd
  6. Sie müssen die gesamte Anleitung befolgen und können lediglich den Schritt der Installation von Confluence und JIRA überspringen.

  7. Ich habe bereits die zentrale Benutzerverwaltung und möchte den Single Sign-On
    einrichten.
  8. Sie müssen in diesem Fall nur Schritt 4 befolgen und, wenn Sie ebenfalls die sicher 2-Faktor-
    Authentifzierung mit SecSign wollen, auch Schritt 5.
    Dann haben Sie die sichere 2FA, sowie den Single Sign-On für alle Ihre Atlassian Produkte.

  9. Ich habe bereits die zentrale Benutzerverwaltung und möchte eine sichere 2-Faktor-
    Authentifzierung
  10. Sie müssen nur noch den 5. Schritt der Anleitung befolgen und haben sofort alle Vorteile der 2FA

Letzte Blog Einträge, Neuigkeiten & Funktionen

Crowd SSO

21.09.2017

Read More
Do NOT follow this link or you will be banned from the site!