Confluence與Jira整合之統一用戶管理

 

 

 

轉至元數據結尾

 

• 由 HoneyMoose創建, 最后修改於08/06/2018

轉至元數據起始

 

中文標題【為用戶管理連接到 Crowd 或者 Jira 】

你可以連接你的 Confluence 應用程序到 Atlassian Crowd 或 a Jira （5.3 及后續版本）來管理你的用戶和用戶組以及針對他們的授權。

為用戶管理連接 Confluence 到 Crowd

 

Atlassian Crowd 是一個應用安全框架，這框架可以處理授權和在你的 Web 應用中互相授權。在 Crowd 中，你可以整合多個應用程序和用戶目錄，從而讓所有系統都能支持單點登錄（SSO）和中央身份和授權管理。

Crowd 管理控制台（Crowd Administration Console）提供了一個 web 界面來管理目錄，和他們的用戶權限。請參考 _Crowd Description 頁面中的內容。

什么時候使用這個選項：如果你想使用 Crowd 的所有功能選項來管理你的用戶，用戶組和用戶目錄的話，你可以連接到 Crowd。你可以讓 Crowd 連接到其支持的多種目錄服務器包括自定義目錄連接。

 

 

本頁中的內容：

 

• 為用戶管理連接 Confluence 到 Crowd
• 為用戶管理連接 Confluence 到 Jira 應用程序
• Diagrams of Some Possible Configurations
• 問題解決

 

相關頁面：

• Configuring User Directories

希望連接 Confluence 到 Crowd：

1. 進入你的 Crowd 管理控制台（Crowd Administration Console）然后在 Crowd 中定義 Confluence 應用。請查看 Crowd 文檔：Adding an Application。
2. 在屏幕的右上角單擊 控制台按鈕 ，然后選擇 基本配置（General Configuration） 鏈接。
3. 在左側的面板中單擊 用戶目錄（User Directories）。
4. 添加（Add）一個用戶目錄，然后選擇類型 Atlassian Crowd'。輸入下面描述的配置信息。
5. 保存目錄設置。
6. 在 用戶目錄（User Directories）界面中，通過單擊目錄前面的上下移動按鈕，定義目錄序列（directory order）。 這里是有關目錄順序如何影響系統的摘要信息：
   • 當應用程序允許對 LDAP 進行信息修改的時候，用戶在系統中修改的信息只會影響到第一個目錄。
   • 目錄的順序是對用戶和用戶組查找的時候的搜索順序（通過在所有目錄中對 Confluence 默認的用戶組聚集，所以目錄的順序將不會影響成員）。
   有關的更多細節，請參考頁面 Managing Multiple Directories。
7. 如果需要的話，配置 Confluence 使用 Crowd  單點登錄（SSO）。請查看 Crowd 的文檔：Integrating Crowd with Atlassian Confluence。

Confluence 的 Crowd 設置

 

設置	描述
名字（Name）	輸入一個有意義的服務器名字，會讓你在 Crowd 服務器中更好的識別你的目錄服務器： Crowd Server Example Company Crowd
服務器URL（Server URL）	你的 Crowd 控制服務器地址。例如： http://www.example.com:8095/crowd/ http://crowd.example.com
應用名（Application Name）	為了讓你的 Crowd 服務器識別的你的應用的名字。請注意，你同時使用 Crowd 管理員控制台在 Crowd 中定義這個名字。請查看 adding an application 文檔中的內容。
應用密碼（Application Password）	使用 Crowd framework 框架的客戶端的應用的用戶密碼。這個密碼是你在 Crowd 中注冊應用時候使用的用戶密碼。請查看 adding an application 文檔中的內容。

 

 

請注意：當使用 Jira/Crowd  作為外部目錄的時候，可能會在一些實例中存在用戶密碼不能保存的問題。 https://jira.atlassian.com/browse/CONFSERVER-33979

 

Crowd 權限

 

設置	描述
只讀（Read Only）	從 Crowd 上獲取的用戶，用戶組和用戶組成員信息只具有讀取權限，你只能在 Crowd 上對你的配置進行修改。你不能通過你的應用程序管理員界面修改，用戶，用戶組，用足成員信息的配置。
讀和寫（Read/Write）	從 Crowd 上獲取的用戶，用戶組和用戶組成員信息你是可以在本地應用程序管理員界面中進行修改的。在應用程序管理員界面中修改的內容將會同時同步回 Crowd 上。請確定你的應用程序在 Crowd 上具有修改的權限。請參考 _Crowd Permission Settings 中的內容。

 

高級 Crowd 設置

 

設置	描述
啟用嵌套用戶組（Enable Nested Groups）	為嵌套組啟用或禁用支持。  在啟用嵌套用戶組之前，你需要檢查你在 Crowd 中定義的目錄能夠支持嵌套用戶組。當嵌套用戶組啟用成功后，你可以將一根用戶組定義為另外一個用戶組的成員。 如果你使用的是用戶組來對權限進行管理，你可以使用嵌套用戶組來允許一個用戶組的權限繼承上級用戶組，使系統的權限配置變得簡單。
同步時間（分鍾）（Synchronisation Interval (minutes)）	同步指的是應用程序從目錄服務器上更新自己用戶和用戶組上的信息的時間間隔。這個參數表示的是你的應用服務器將會在 x 分鍾發送一個請求到你的目錄服務器上。 默認的配置是 60 分鍾。

 

 

為用戶管理連接 Confluence 到 Jira 應用程序

請注意，在使用這個功能的時候，你的 Jira 應用許可證數量和 Confluence 的許可證數量不需要完全等同。例如，你可以通過 Jira 管理一個 50 個用戶的 Confluence 許可證，盡管你的 Jira 軟件只有 25 個用戶許可證。

 

 

基於一些限制，你可以連接一系列 Atlassian 應用程序到 JIRA 應用程序中，以便於你使用 JIRA 集中管理你的用戶。

什么時候使用這個功能：你可以連接一個運行 JIRA 4.3 及后續版本的服務器，JIRA 4.3 及后續版本, JIRA Software 7.0 及后續版本, JIRA Core 7.0 及后續版本，或者 JIRA Service Desk 3.0 及后續版本。針對簡單的配置和用戶的的限制，你可以考慮使用 Atlassian Crowdor。

 

 

 

希望連接 Confluence 到一個 Jira 應用：

 

1. 在你的 Jira 應用中，進入  > 用戶管理（User Management） > Jira 用戶服務器（Jira User Server）。
   （針對 Jira 6.4 及早期版本，通過Jira administration screen then 用戶（User Management） > Jira 用戶服務器（Jira User Server）進入）。
   
   • 單擊 添加應用（Add Application）。
   • 輸入 Confluence 用於訪問 Jira 的應用程序名稱（application name）和密碼（password ） 。
   • 輸入你 Confluence  服務器的 IP 地址或者地址。 有效的值，請參考：
      

     • A full IP address, e.g. 192.168.10.12.
     • A wildcard IP range, using CIDR notation, e.g. 192.168.10.1/16. For more information, see the introduction to CIDR notation on Wikipedia and RFC 4632.

      

   • 保存（Save）為新的應用程序。
2. 在 Confluence 中設置 Jira 用戶目錄：
   
   • 在屏幕的右上角單擊 控制台按鈕 ，然后選擇 基本配置（General Configuration） 鏈接。
   • 在左側邊欄中單擊 用戶目錄（User Directories）。
   • 添加（Add）一個目錄，然后選擇類型 Atlassian Jira。
   • 輸入下面描述的設置。當設置中詢問應用名稱（application name）和 密碼（password）的時候，輸入在 Jira 中定義 Confluence 連鎖需要的用戶名和密碼。
   • 保存目錄設置。
   •  在下一步完成之前，不要修改你的目錄讀取順序。否則有可能將你自己鎖定到 Confluence 系統之外（你不能登錄 Confluence 系統）。
     
     
3. 為了可以使用 Confluence，用戶必須是  confluence-users 用戶組的成員，或者具有 Confluence 的可以使用（can use）的權限。下面的步驟是在你的 Jira 應用中配置 Confluence 用戶組的步驟：

   1. 在你的 JIRA 應用中添加 confluence-users 和 confluence-administrators 用戶組。
   2. 在上面的用戶組中添加你自己的用戶名來作為一個組成員。
   3. 選擇下面的方法來讓你 JIRA 中的用戶能夠訪問 Confluence：
      
      • 方法 1：在你的 JIRA 應用中，找到這些用戶所屬的用戶組，然后將這個用戶組添加為上面 2 個 Confluence 用戶組的成員。這里等於用戶組嵌套的關系。
      • 方法 2：使用你的 JIRA 賬號登錄 Confluence，然后進入 Confluence 的 管理員控制台（Administration Console）界面。單擊 全局屬性（Global Permissions），然后將 可以使用（can use）權限指派給你 JIRA 中希望使用 Confluence 的用戶組。

    

4. 在 用戶目錄（User Directories）界面中，通過單擊目錄前面的上下移動按鈕，定義目錄序列（directory order）。

    

   這里是有關目錄順序如何影響處理流程：

   • 目錄中的順序是被用來如何查找用戶和組的順序。
   • 修改用戶和用戶組將會僅僅應用到應用程序具有修改權限的第一個目錄中。

    

    有關的更多細節，請參考頁面：Managing Multiple Directories
   
   

請確定你已經添加了你的 Confluence 應用的 URL 到 Jira 的白名單列表中了。請訪問：Jira Administration >> System >> Security >> Whitelist 來確定你的白名單已經正確添加了。例如：https://confluence.atlassian.com/ 或者請參考下面的指南：Configuring the whitelist。

在 Confluence 中的 Jira 設置

 

設置	描述
名字（Name）	輸入一個有意義的服務器名字，會讓你在 JIRA 服務器中更好的識別你的目錄服務器： Jira Service Desk Server My Company Jira
服務器URL（Server URL）	你 Jira 服務器的 Web 訪問地址。例如： http://www.example.com:8080 http://jira.example.com
應用程序名（Application Name）	當用戶作為用戶管理員訪問你 Jira 應用服務器的時候使用的用戶名。 請注意，你還需要在 Jira 中定義的應用。通過在 'Users, Groups & Roles' section of the 'Administration' 菜單下的其他應用（Other Applications）進行查看。
應用程序密碼（Application Password）	當用戶作為用戶管理員訪問你 Jira 應用服務器的時候使用的密碼。

 

Jira 權限

 

設置	描述
只讀（Read Only）	從你 JIRA 應用服務器上取得的用戶，用戶組和用戶組成員。這些用戶的信息只能通過你的 JIRA 服務器進行修改。

 

高級 Jira 設置

 

設置	描述
啟用嵌套用戶組（Enable Nested Groups）	為嵌套組啟用或禁用支持。  在啟用嵌套用戶組之前，你需要檢查你在 JIRA 服務器中的嵌套用戶組是否啟用了。當嵌套用戶組啟用成功后，你可以將一根用戶組定義為另外一個用戶組的成員。 如果你使用的是用戶組來對權限進行管理，你可以使用嵌套用戶組來允許一個用戶組的權限繼承上級用戶組，使系統的權限配置變得簡單。
同步時間（分鍾）（Synchronisation Interval (minutes)）	同步指的是應用程序從目錄服務器上更新自己用戶和用戶組上的信息的時間間隔。這個參數表示的是你的應用服務器將會在 x 分鍾發送一個請求到你的目錄服務器上。 默認的配置是 60 分鍾。

 

Diagrams of Some Possible Configurations

 

 

 

 

 

Diagram above: Confluence, JIRA and other applications connecting to Crowd for user management.

 

 

 

 

Diagram above: Confluence connecting to JIRA for user management.

 

 

 

 

Diagram above: Confluence connecting to JIRA for user management, with JIRA in turn connecting to LDAP.

 

 

問題解決

下面是可能會發生的一些錯誤信息。如果你的系統中出現了下面的一些提示，你應該調整你的日志錯誤級別到 WARN，然后查看具體的錯誤原因。請參考：Configuring Logging。

錯誤	消息	原因
error.jirabaseurl.connection.refused	Connection refused. Check if an instance of Jira is running on the given url	可能導致的原因是： Jira url 不正確 Jira 實例沒有在指定的 URL 下運行。 Jira  實例在指定的 URL 下運行，但是可能實例不是 4.3 及后續版本。
error.applicationlink.connection.refused	Failed to establish application link between Jira server and Confluence server.	在 Jira 和 Confluence 之間不能創建應用連接。可能的原因是： Confluence 或 Jira url 不正確 2 個應用的實例沒有在指定的 URL 下運行 連接用戶名或者密碼不正確 請參考 Confluence 的日志文件來獲得更多的信息。
error.jirabaseurl.not.valid	This is not a valid url for a Jira application.	一個運行時異常被捕獲到了。請參考 Confluence 的日志文件來確定異常發生的原因錯誤內容。

confluence和jira用戶賬戶同步設置及使用方式記錄

 

confluence和jira都是比較常見的開發輔助工具，這兩者賬戶是可以互通同步的。方式有很多種，目前用的是confluence用戶目錄的形式，去拉取jira的用戶體系，當然也支持LDAP等其他方式同步的。

 

 Confluence版本：6.14.10，Jira版本：7.12.3，是部署在docker中的

 

 如果是通過jira創建用戶目錄，由confluence來同步的話，要先安裝好jira，並建立相關用戶。在confluence安裝時選擇connect to jira或者安裝完成后在站點管理-用戶目錄-添加用戶目錄進行配置

 

 

注意服務器URL必須根據容器網絡情況填寫，比如常見的bridge模式連接的話，必須填寫bridge上的地址，比如我的就是容器的ip地址+端口172.17.0.3:8080

 

配置jira權限

jira權限主要是通過權限方案來控制的。每個項目都會指定一種權限方案，在權限方案中定義每種權限對應的人，可以是管理項目、瀏覽項目等等。下面說說我的權限方案。

首先從右上角 管理-問題-權限方案進入頁面

在Jira創建用戶組，因為需要隔離兩個項目的人員，所以在Jira中就創建projectA-users和projectA-manager這樣的用戶組

 

我的項目分為管理員manager，pm產品經理，test測試人員，users普通開發人員，這只是個范例，實際可能需要根據權限划分把每種角色都細化。

 創建完成后，給每個用戶組編輯成員

 

 然后是最重要的兩步，第一步給用戶組授予應用程序訪問權，否則這些賬號連登陸都登陸不了。

 

 

最后維護一下權限方案 ，打開問題-權限方案.並分別為項目A和B添加權限方案。建議寫好一個后另一個直接復制，參照着改更快。

 

 點擊權限方案右側的權限，進入權限定義頁面。比如給manager管理項目的權限，並且給user,pm,test瀏覽項目的權限。

 

 又比如這里，給manager,pm有創建問題的權限（實際還應該加上test），而刪除問題只有項目的administrator才有權限。

 

 

 

項目的administrator在項目首頁下面的項目設置-用戶和作用中打開

 

可以看到默認每個項目的Administrators都會包含jira-administrators這個用戶組。你可以再右上角為角色添加用戶, 特別的指定某一用戶為該項目管理員

 

 

 配置confluence

配置前，需要先同步目錄，把用戶、用戶組從jira中同步過來。

進入設置-一般設置-用戶目錄，可以看到有一個遠程的jira目錄，點擊同步，剛才在jira中定義的用戶、用戶組就都同步過來了

 

 

 

首先定義全局權限，進入左邊的全局權限-編輯權限，把需要授權的用戶組都加上，呈現可用狀態，否則無法登錄confluence。這里還可以選擇創建空間（一般用戶不需要給），站點管理，系統管理員權限。

 

 

然后是空間權限。可以定義全部、頁面、博文、附件、評論等權限。打開空間權限，下面是現有的空間。我這里是把默認用戶組設置為newbie，避免新人直接接觸到項目核心資料。

 

 然后為每個空間分別定義權限。打開項目右側的權限管理。

為manager加上全部權限，而pm，user只給添加權限

 

 需要注意最下面的匿名訪問，如果允許匿名用戶訪問的話，所有用戶都可以看到內容。一般而言，我們把它關掉。僅有公共新人資料區可以打開，比如我可以創建一個welcome空間，用於存放入職資料。

 

 

好了，這樣所有項目權限就定義完畢了。項目相互隔離，無法互相訪問，每個項目又分為manager,pm,user幾種角色，當然還可以進行細分。

因為新人進來還需要創建gitlab賬號，gitlab，jira，confluence都是支持ldap的，所以后面考慮搭建一個open ldap服務來集中管理用戶賬號。