Guard 와 Entra ID 를 연동하여 SAML 과 SSO 를 사용하는 방법에 대해서 설명합니다.
사전 준비 사항
Atlassian Guard
Atlassian Guard 구독이 필요합니다.
Entra ID
Atlassian Cloud 용 Entra ID 앱을 설치합니다.
1. 최소한 클라우드 애플리케이션 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID → 애플리케이션 → 엔터프라이즈 애플리케이션 → 새 애플리케이션으로 이동합니다.
3. 갤러리에서 추가 섹션의 검색 상자에 Atlassian Cloud를 입력합니다.
There were errors rendering macro:
- An unknown error occurred.
4. 만들기를 클릭해서 Atlassian cloud 앱을 추가합니다.
SAML 설정
1. admin.atlassian.com 에 로그인한 후에 보안 → ID 공급자 → Azure AD 를 선택합니다.
2. 디렉터리 이름(1) 을 설정한 후에 Azure 옵션(2) 에서 “수동으로 사용자 프로비저닝 설정” 을 선택합니다.
3. 화면이 바뀌면 SAML Single Sign-On 설정을 클릭합니다.
프로비저닝 안내 화면을 읽어본 후에 다음을 클릭합니다.
5. SAML 세부 정보 추가 화면이 표시되면 해당 브라우저 창을 열고 아래 6번 항목으로 전환합니다.
6. 브라우저 새 창을 띄우고 최소한 클라우드 애플리케이션 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
7. ID → 애플리케이션 → 엔터프라이즈 애플리케이션 → Atlassian Cloud 를 선택한 후에 아래에서 Single Sign-On 설정을 선택합니다.
8. SSO 방법 선택에서 SAML 을 클릭합니다.
9. SAML로 Single Sign-On 설정 페이지에서 아래로 스크롤하여 Atlassian Cloud를 설정합니다. “로그인 URL(1)” 과 Microsoft Entra 식별자 를 복사합니다.
이 값을 6번의 Atlassian Guard 설정에 붙여 넣습니다.
10. SAML 서명 인증서 섹션에서 인증서(Base64)를 찾은 후 다운로드를 클릭하여 인증서를 컴퓨터에 다운로드한 후에 에디터로 파일을 엽니다.
에디터로 연 후에 모든 내용을 선택해서 복사해 놓은 후에 이 값을 Atlassian Guard 의 “공개 x509 인증” 항목에 붙여 넣고 다음을 클릭합니다.
인증서에는 -----BEGIN CERTIFICATE----- 과 -----END CERTIFICATE----- 가 포함되어야 합니다.
11. Guard 화면에 IdP 에 설정할 URL 과 ACS(Assertion Consumer Service) 가 표시됩니다. 이 값을 복사해둔 후에 Entra ID 의 “SAML로 Single Sign-On 설정” 로 전환합니다.
12. “기본 SAML 구성” 의 편집을 클릭합니다.
13. 11 번 Guard 에서 복사한 값중 “서비스 공급자 엔터티 URL” 을 식별자(엔터티 ID) 항목(1) 에 붙여 넣습니다. Guard의 “서비스 공급자 ACS URL” 은 회신 URL(2) 에 붙여 넣습니다. 그리고 “로그인 URL(3)” 에는 사용하는 Atlassian Cloud 의 주소를 추가해 줍니다.
14. Atlassian Cloud 애플리케이션은 특정 형식의 SAML 어설션이 필요하므로 SAML 토큰 특성 구성에 사용자 지정 특성 매핑을 추가해야 합니다. 편집 아이콘을 클릭하여 특성 매핑을 편집할 수 있습니다.
15. 고유한 사용자 id를 클릭합니다.
15. Atlassian Cloud에는 nameidentifier(고유한 사용자 식별자)가 사용자의 이메일(user.email)에 매핑되야 합니다.
M365 가 있을 경우 원본 특성을 편집하고 user.mail로 변경한후 저장합니다.
최종적으로 아래와 같이 매핑되야 합니다.
특성 및 클레임 givenname user.givenname surname user.surname emailaddress user.mail name user.userprincipalname 고유한 사용자 ID user.mail
M365가 없을 경우 Azure는 Microsoft 365 라이선스 없이 Microsoft Entra 테넌트에서 만들어진 사용자에 대해 user.mail 특성을 채우지 않고 해당 사용자에 대한 이메일을 userprincipalname 특성에 저장합니다. Atlassian Cloud에는 nameidentifier(고유한 사용자 식별자)가 사용자의 이메일(user.userprincipalname)에 매핑되야 하므로 user.userprincipalname으로 변경후 저장합니다.
최종적으로 아래와 같이 매핑되야 합니다.
특성 및 클레임 givenname user.givenname surname user.surname emailaddress user.mail name user.userprincipalname 고유한 사용자 ID user.userprincipalname
16. 설정이 끝났으면 SSO 테스트 버튼을 눌러서 정상 동작 여부를 확인합니다.
17. 이제 Guard 로 돌아와서 다음을 클릭한 후 IdP 와 연결할 도메인을 선택해 줍니다.
18. SAML 구성이 끝났습니다. “SAML 구성 저장" 을 클릭하면 현재 설정을 확인할 수 있습니다.
프로비저닝 설정
SAML 설정을 마쳤다면 프로비저닝을 자동으로 수행하도록 설정할 수 있습니다.
1. Guard 관리 화면에서 사용자 프로비저닝을 클릭합니다.
2. 생성된 디렉토리 기본 URL(1) 과 API 키(2)를 복사해 둡니다.
API 키는 보관되지 않으므로 꼭 안전한 곳에 복사해 둬야 합니다.
3. Microsoft Entra 관리 센터에 로그인한후에 “사용자 계정 프로 비전” 을 클릭합니다.
4. “ID 수명 주기 자동화" 화면에서 시작 버튼을 클릭합니다.
5. 자격 증명 화면에서 1번에서 Guard 에서 생성한 디렉토리 기본 URL(1) 을 “테넌트 URL” 에 복사하고 API 키(2) 를 비밀 토큰에 붙여 넣고 연결 테스트를 클릭한후 저장을 클릭합니다.
6. 11
Entra ID(Azure AD) 에서 설정
Azure AD 의 Display name 은 본부/부서명/직급/성명같이 복잡하게 사용하지 않는 것을 권장합니다. 알림이나 멘션시 불편할 수 있습니다.
LG Electoronics Use case
https://mail.google.com/mail/u/0/#search/"협업툴+불편사항"/FMfcgzGrbvKsFDDpRVMTDjkDxpgWJPst
금일 옵니채널마케팅팀과 회의 진행 했던 내용 주요 사항 정리하여 송부 합니다.아틀라시안쪽에 개선 등록 진행 바랍니다.
등록을 해도 개선투표를 많이 받은 내용 중심으로 우선 적용 됨은 고객과 공유 되었지만
불필요 메일수신 등 메일 관련 기능 개선에 대한 부분은 계속 접수가 되고 있는 상황으로 신속한 개선이 필요 할 것 같습니다.
금일 옵니채널마케팅팀과 회의 진행 했던 내용 주요 사항 정리하여 송부 합니다. 아틀라시안쪽에 개선 등록 진행 바랍니다. 등록을 해도 개선투표를 많이 받은 내용 중심으로 우선 적용 됨은 고객과 공유 되었지만 불필요 메일수신 등 메일 관련 기능 개선에 대한 부분은 계속 접수가 되고 있는 상황으로 신속한 개선이 필요 할 것 같습니다.
Ref
See also
if you don’t need to nested group, Choose the right Microsoft Azure AD option for you