Zeige mehr…

Hipchat Server Dokumentation - Single Sign-On mithilfe eines SAML Identity Providers


Auf dieser Seite:

Hipchat Server unterstützt das Single Sign-On (SSO) mit SAML 2.0. Als IT-Administrator Ihres Unternehmens können Sie Ihrem Team das Login in Hipchat erleichtern, indem Sie sich den Identity Anbieter Ihres Unternehmens zu Nutze machen. Dadurch hat Ihr Team ein Passwort weniger zu verwalten und dessen Zugänge sind viel sicherer.


Was Sie dafür benötigen

Bevor Sie das Single Sign-On für Ihr Team konfigurieren, müssen Sie Ihren Identity-Provider wissen (IdP). Hipchat unterstützt OneLogin und Okta standardmäßig. Sie können einen anderen Identity-Provider oder ein personalisiertes SAML 2.0 benutzen, jedoch ist die Unterstützung in Hipchat Server eingeschränkt.

Single Sign-On mit OneLogin

Hipchat unterstützt OneLogin standardmäßig, aber die Hipchat-App in OneLogins App-Liste funktioniert nicht in Verbindung mit Hipchat Server. Sie müssen den SAML Test Connector verwenden, um Hipchat als personalisierte Applikation hinzufügen zu können.

Lesen Sie sich die OneLogin Dokumentation durch, wenn Sie Hilfe dabei benötigen den SAML Test Connector zu verwenden und Ihren Kollegen Zugriff zu Hipchat zu gewähren.

Gehen Sie wie folgt vor, um Hipchat mit OneLogin zu verbinden:

  1. Fügen Sie in OneLogin eine neue App hinzu, die den SAML Test Connector (IdP w/aatr.) verwendet.
  2. In Hipchat, gehen Sie nun zu Group admin > Authentication.
  3. Klicken Sie auf SAML single sign-on und wählen Sie OneLogin als Ihren Identity-Provider aus.
  4. Kopieren Sie jede in Hipchat hinterlegte SSO URL und fügen Sie sie in den Konfigurations-Tab Ihrer neuen App in OneLogin ein.
  5. In OneLogin kopieren Sie nun die Issuer URL aus dem SSO Tab Ihrer neuen App.
  6. Diese URL fügen Sie in Hipchat in das Issuer URL Feld ein.
    Hipchat pflegt die SSO URL und das x.509 Zertifikat für Sie ein.
  7. Entscheiden Sie, wie Sie die Benutzer erstellen, deren Profi-Iinformationen synchronisieren und wie sich die Benutzer einloggen (weitere Informationen dazu).
    (Wir empfehlen, das interne Verzeichnis sowie das SAML Single Sign-on zu verwenden, bis Sie verifiziert haben, dass sich Ihre Benutzer via Ihrem Identity-Provider einloggen können.)
  8. Mappen Sie in OneLogin, im Parameters Tab die folgenden Attribute. Diese werden zur Pflege des vollen Namens, der @Erwähnung und des Job Titel Feldes in HipChat verwendet.

    Feldname OneLogin Wert
    email Email
    user.firstName First Name
    user.lastName Last Name
    user.title Title
  9. Speichern Sie Ihre Änderungen in Hipchat und OneLogin ab.
  10. Führen Sie in OneLogin alle zusätzlichen Schritte durch, um Ihren Benutzern Zugang zu Ihrer neuen Hipchat App zu geben.

Das sieht in Hipchat so aus:

Single Sign-On mit Okta

Hipchat unterstützt Okta standardmäßig, jedoch funktioniert die in Oktas Applikationsliste aufgeführte Hipchat App nicht mit Hipchat Server. Sie müssen dafür eine komplett neue Applikation erstellen.

Lesen Sie die Okta Dokumentation, wenn Sie Hilfe beim Installationsassistenten für die Installation einer neuen Hipchat Applikation oder beim Hinzufügen von Personen zur neuen Hipchat Applikation benötigen.

So verbinden Sie Hipchat mit Okta:

  1. Gehen Sie in Okta zu Admin > Add Applications > Create new app, um eine neue Applikation zu erstellen (wählen Sie sie nicht aus der Liste aus) und wählen Sie SAML 2.0 als Login-Methode aus.
  2. In Hipchat gehen Sie nun zu Group admin > Authentication.
  3. Wählen Sie SAML single sign-on aus und wählen Sie Okta als Ihren Identity-Provider aus.
  4. Kopieren Sie alle in Hipchat bereitgestellten SSO URLs und fügen Sie sie in Okta im Schritt Configure SAML ein.
  5. Mappen Sie in Okta die folgenden Attribute im Schritt Configure SAML. Diese werden für die Pflege des vollständigen Namens, der @Erwähnung und des Job Titel Felds in Hipchat benötigt.

    Name Okta Wert
    user.email user.email
    user.firstName user.firstName
    user.lastName user.lastName
    user.title user.title
  6. Vervollständigen Sie in Okta das Set-Up.
  7. Navigieren Sie in Okta zu Ihrer neuen Applikation und gehen Sie zum Sign On Tab, um die Identity-Provider Metadata herunterzuladen oder zu kopieren.
  8. Fügen Sie sie oder laden Sie sie in Hipchat in das Identity-Provider Metadata Feld ein/hoch.
  9. Entscheiden Sie wie Sie Benutzer erstellen, Profilinformationen synchronisieren und sich einloggen möchten (weitere Informationen dazu).
    (Wir empfehlen sowohl das interne Verzeichnis als auch das SAML Single Sign-on zu erlauben, bis Sie verifiziert haben, dass sich Ihre Benutzer via Ihrem Identity-Provider einloggen können.)
  10. Speichern Sie Ihre Änderungen in Hipchat ab.
  11. Führen Sie alle erforderlichen Schritte in Okta durch, um Ihren Benutzern den Zugang zu Ihrer neuen Hipchat App zu gewähren.

Das sieht in Hipchat wie folgt aus:

Single Sign-On mit anderen Identity-Providers oder personalisierten Implementierungen

Wenn Sie eine andere SAML 2.0 Implementierung als OneLogin oder Okta verwenden, dann können Sie trotzdem das Single Sign-on in Hipchat konfigurieren, aber Sie werden dabei nur beschränkt Unterstützung von Atlassians Support-Team erhalten.

Bevor Sie beginnen, benötigen Sie noch die folgenden Informationen von Ihrem Identity-Provider:

Sobald Sie die benötigten Informationen haben, können Sie das Single Sign-on in Hipchat konfigurieren.

  1. Loggen Sie sich in Ihrem Webbrowser in Hipchat ein.
  2. Gehen Sie zu Group admin > Authentication.
  3. Klicken Sie auf SAML Single Sign-on.
  4. Wählen Sie im Identity Provider Feld Custom SAML 2.0.
  5. Geben Sie die Entitäts-ID Ihres Identity-Providers ein.
  6. Geben Sie die SSO Endpunkt URL Ihres Identity-Providers ein.
  7. Kopieren Sie die Inhalte des x.509 Zertifikats Ihres Providers und fügen Sie sie in das Public certificate Feld ein.
  8. Entscheiden Sie wie Sie Benutzer erstellen, Profilinformationen synchronisieren und sich einloggen (weitere Informationen dazu).
    (Wir empfehlen sowohl das interne Verzeichnis als auch das SAML Single Sign-on zu erlauben, bis Sie verifiziert haben, dass sich Ihre benutzer via Ihrem Identity-Provider einloggen können.)
  9. Speichern Sie Ihre Änderungen ab.
  10. Als nächstes kopieren Sie jede SSO URL, die in Hipchat ist und fügen sie in Ihren Identity-Provider ein, um die Konfiguration abzuschließen.

11. Falls erforderlich, dann mappen Sie für Ihren Identity-Provider die folgenden Attribute/Felder zu den entsprechenden Werten. Diese werden für die Pflege des vollständigen Namens, der @Erwähnung und des Job Titel Felds in Hipchat benötigt.

HipChat Feldname Identity-Provider Wert
user.email Die E-Mail-Adresse des Benutzers.
user.firstName Der Vorname des Benutzers.
user.lastName Der Nachname des Benutzers.
user.title Die Rolle oder die Berufsbezeichnung des Benutzers (falls zutreffend)



Bekannte Probleme mit anderen Identity-Providern

Kunden berichteten über Probleme bei der Verbindung mit Google Identity-Provider.

Optionen für die Registrierung und Account-Anlage

In den folgenden Optionen können Sie einstellen wie Ihre Benutzer sich registrieren und wann Accounts angelegt werden. Sie können diese Einstellungen unter Group admin > Authentication ändern.

Zusätzlich können Sie, sofern Ihr SAML Provider verschlüsselte Nachrichten versendet, die Hipchat CLI verwenden, sodass Ihre Hipchat-Instanz über einen privaten Schlüssel verfügt und diese Nachrichten entschlüsseln kann. Erstellen Sie einen privaten Schlüssel, kopieren und fügen Sie Ihn in den Host ein und starten Sie den folgenden Befehl (ersetzen Sie "Pfad/zu/cert" mit dem aktuellen Pfad des Knotens)

hipchat saml --sp-cert path/to/cert

SAML Sign-on deaktivieren

Wenn Sie sich dazu entschließen das SAML Single Sign-on nicht mehr zu verwenden, gehen Sie wie folgt vor:

  1. Gehen Sie in Hipchat zu Group admin > Authentication.
  2. Wählen Sie für SAML Single Sign-on den Wert None als Ihren Identity-Provider aus.

Die Benutzer werden nun über Hipchats internem Verzeichnis oder über Ihr externes Verzeichnis (falls konfiguriert) authentifiziert. Wenn ein Benutzer sein Passwort aus dem internen Verzeichnis nicht weiß, kann er den Forgot password Link für ein neues Passwort anklicken.

Problemlösung

Zurück zur Übersicht

Zur Hipchat Cloud Dokumentation

Workshop Angebote

Zeige mehr…
Zeige mehr…