Jenkins SAML シングル サインオン (SSO) このアプリを使用すると、Jenkins の SAML 2.0 を介してシングル サインオン (SSO または SAML SSO) を有効にすることができます。 Jenkins SAML SSO プラグインを利用すると、Jenkins に対してユーザーを簡単に認証できます。
(ここをクリックして Jenkins シングル サインオン アプリをダウンロードします)
Jenkins SSO アプリは、次のようなすべての SAML 2.0 ID プロバイダーと互換性があります。 アズールAD, キークローク, ADFS, , Salesforce, シボレス 2, GSuite / Google Apps, ミニオレンジ, OneLogin, 中心化する, SimpleSAMLphp, オープンAM , ピンワン, RSA, オラクル, ビチウム , WSO2, Auth0, オースアンビル 実質的には SAML 準拠のアイデンティティ プロバイダーです。
詳細については、ここをクリックしてください Jenkins シングル サインオン.
IDP がリストされておらず、アプリケーションが ID プロバイダーとして SAML 2.0 をサポートしている場合は、以下のガイドに従って、アプリケーションを使用して Jenkins への SSO を有効にすることができます。
ステップ 1: アイデンティティ プロバイダーをセットアップして、モジュールの saml を有効にします。
前提条件: このアプリを構成するには、IDP からの SAML 情報が必要です。 入手してください
SAMLメタデータ ID プロバイダーから。 IDP にメタデータ URL または XML がない場合は、次の情報を問い合わせてください。
- 発行者/エンティティ ID。
- SAML ログイン URL。
- SAML ログアウト URL (ユーザーがアトラシアン アプリケーションからログアウトするときに IDP からログアウトする場合のみ。Jira など)。
- X.509 証明書。
- NameID 形式 (オプション)。
- SAML ログイン バインディング タイプ (オプション)。
- SAML ログアウト バインディング タイプ (オプション)。
- ID プロバイダーにセットアップ情報を提供して、ID プロバイダーがアトラシアン アプリケーションをアカウントの SAML サービス プロバイダーとして構成できるようにします。 SAML メタデータ URL または SAML 関連情報を提供できます。 それぞれの入手方法については、以下で詳しく説明します。
- に行く サービスプロバイダー情報 以下に示すリンクを ID プロバイダーに提供します。 リンクをクリックすると、そのメタデータを表示できます。 SAML シングル サインオン アプリ.
- ID プロバイダーがメタデータを受け入れない場合は、SAML 情報を手動で提供できます。 に行く サービスプロバイダー情報 タブをクリックして次の情報を取得します。
SPエンティティID / 発行者 |
この値には、Atlassian アプリケーションの一意の識別子が含まれています。 |
ACSのURL |
これは、IdP が SAML 認証リクエストを返す URL です。 |
シングル ログアウト URL |
これにより、SAML SSO 経由で確立されたすべてのサーバー セッションが終了します。 |
オーディエンスURI |
IdP は SAML 認証リクエストを準備します。 |
受信者のURL |
IdP は SAML 認証リクエストを返します。 |
リンク先URL |
IdP は SAML 認証リクエストを返します。 |
認証 |
この証明書は SAML リクエストの検証に使用され、IDP からの暗号化された SAML アサーションを復号化するために使用されます。 |
ステップ 2: Jenkins をサービスプロバイダーとしてセットアップする
SP構成
IDP で SP 設定を構成するには、次の 2 つの方法があります。
- メタデータ XML ファイルをアップロードすることにより
- 手動設定
A. メタデータ XML ファイルをアップロードすることにより
- ソフトウェアの制限をクリック サービスプロバイダーのメタデータ in SP構成 のセクションから無料でダウンロードできます。
- メタデータ XML ファイルがダウンロードされます。
- このファイルを使用して IDP をセットアップします。
B. 手動設定
- 設定するには SP設定 IDP で以下の URL をコピーし、IDP 側の各フィールドに貼り付けます。
- SP エンティティ ID: https://your-jenkins-domain
- 対象ユーザーの URI: https://your-jenkins-domain
- ACS URL: https://your-jenkins-domain/securityRealm/moSamlAuth
IDP構成
IDP を設定するには、次の詳細を入力して、 を押します。
適用する 設定を保存します。
- IDP エンティティ ID
- シングルサインオンURL
- 名前ID形式
- X.509証明書
ユーザープロファイルの設定
- ユーザー名または電子メールを選択してください 次の方法で Jenkins アカウントにログインします。
- のユーザー名に対応する IDP の属性名を入力します。 ユーザー名の属性 テキストボックス。
- の電子メールに対応する IDP の属性名を入力します。 電子メールの属性 テキストボックス。
- チェックボックスを選択します 正規表現パターンをユーザー名に適用するSAML から返されたユーザー ID が Jenkins のユーザー名と同じでない場合。
- 正規表現を入力してください 正規表現パターン テキストボックス。 SAML Response からのユーザー ID に適用され、Jenkins と同じユーザー名に変換されます。 たとえば、正規表現 ^.*?(?=@) を使用して、ユーザー名 demo@example.com からデモを抽出できます。
高度な構成
- 現在地に最も近い 新しいユーザーを作成しますか? SAML を介してユーザーを作成できるようにします。
SP構成
IDP で SP 設定を構成するには、次の 2 つの方法があります。
- メタデータ XML ファイルをアップロードすることにより
- 手動設定
A. メタデータ XML ファイルをアップロードすることにより
- ソフトウェアの制限をクリック サービスプロバイダーのメタデータ in SP構成 のセクションから無料でダウンロードできます。
- メタデータ XML ファイルがダウンロードされます。
- このファイルを使用して IDP をセットアップします。
B. 手動設定
- 設定するには SP設定 IDP で以下の URL をコピーし、IDP 側の各フィールドに貼り付けます。
- SP エンティティ ID: https://your-jenkins-domain
- 対象ユーザーの URI: https://your-jenkins-domain
- ACS URL: https://your-jenkins-domain/securityRealm/moSamlAuth
IDP構成
IDP を設定するには、次の詳細を入力して、 を押します。
適用する 設定を保存します。
- IDP エンティティ ID
- シングルサインオンURL
- シングル ログアウト URL
- 名前ID形式
- X.509証明書
ユーザープロファイルの設定
- ユーザー名または電子メールを選択してください 次の方法で Jenkins アカウントにログインします。
- のユーザー名に対応する IDP の属性名を入力します。 ユーザー名の属性 テキストボックス。
- の電子メールに対応する IDP の属性名を入力します。 電子メールの属性 テキストボックス。
- のフルネームに対応する IDP の属性名を入力します。 フルネーム属性.
- チェックボックスを選択します 正規表現パターンをユーザー名に適用するSAML から返されたユーザー ID が Jenkins のユーザー名と同じでない場合。
- 正規表現を入力してください 正規表現パターン テキストボックス。 SAML Response からのユーザー ID に適用され、Jenkins と同じユーザー名に変換されます。 たとえば、正規表現 ^.*?(?=@) を使用して、ユーザー名 demo@example.com からデモを抽出できます。
高度な構成
- 現在地に最も近い 署名されたリクエストが必要ですか? 署名されたログインおよびログアウト要求を送信します。 リクエストはオプションの公開証明書を使用して署名されます SP証明書のダウンロード in SP構成 のセクションから無料でダウンロードできます。
- 現在地に最も近い 新しいユーザーを作成しますか? SAML を介してユーザーを作成できるようにします。
- 現在地に最も近い 既存のユーザーの属性を更新しますか? 既存のユーザーが SSO 経由で Jenkins にサインインするたびにその属性を更新します。
- カスタム属性を追加するには、選択します Add オプションを選択します。
- 作成セッションプロセスで 属性名 IDP で設定されたものとして。 名前
- 作成セッションプロセスで 表示名 ユーザープロパティで、jenkinsユーザーのconfig.xmlファイルとユーザーのconfig.xmlファイルに表示したいものとして 「構成」タブ。
- SSO を通じて作成されたユーザーにデフォルトのグループを割り当てるには、グループ名を 新しいユーザーにグループを割り当てる オプション。 ,(カンマ)区切り文字を使用して複数のグループを追加できます
- If デフォルトのログインを無効にしますか? このオプションが有効になっている場合、デフォルトの Jenkins ログイン ページにアクセスしようとする認証されていないユーザーは、認証のために IDP ログイン ページにリダイレクトされます。 認証が成功すると、Jenkins のベース URL にリダイレクトされます。
- コピー バックドア URL そして緊急用に保存しておきます。