Child pages
  • Hipchat Server Dokumentation - Single Sign-On mithilfe eines SAML Identity Providers
Skip to end of metadata
Go to start of metadata


Auf dieser Seite:


Hipchat Server unterstützt das Single Sign-On (SSO) mit SAML 2.0. Als IT-Administrator Ihres Unternehmens können Sie Ihrem Team das Login in Hipchat erleichtern, indem Sie sich den Identity Anbieter Ihres Unternehmens zu Nutze machen. Dadurch hat Ihr Team ein Passwort weniger zu verwalten und dessen Zugänge sind viel sicherer.


Was Sie dafür benötigen

Bevor Sie das Single Sign-On für Ihr Team konfigurieren, müssen Sie Ihren Identity-Provider wissen (IdP). Hipchat unterstützt OneLogin und Okta standardmäßig. Sie können einen anderen Identity-Provider oder ein personalisiertes SAML 2.0 benutzen, jedoch ist die Unterstützung in Hipchat Server eingeschränkt.


Single Sign-On mit OneLogin

Hipchat unterstützt OneLogin standardmäßig, aber die Hipchat-App in OneLogins App-Liste funktioniert nicht in Verbindung mit Hipchat Server. Sie müssen den SAML Test Connector verwenden, um Hipchat als personalisierte Applikation hinzufügen zu können.

Lesen Sie sich die OneLogin Dokumentation durch, wenn Sie Hilfe dabei benötigen den SAML Test Connector zu verwenden und Ihren Kollegen Zugriff zu Hipchat zu gewähren.

Gehen Sie wie folgt vor, um Hipchat mit OneLogin zu verbinden:

  1. Fügen Sie in OneLogin eine neue App hinzu, die den SAML Test Connector (IdP w/aatr.) verwendet.
  2. In Hipchat, gehen Sie nun zu Group admin > Authentication.
  3. Klicken Sie auf SAML single sign-on und wählen Sie OneLogin als Ihren Identity-Provider aus.
  4. Kopieren Sie jede in Hipchat hinterlegte SSO URL und fügen Sie sie in den Konfigurations-Tab Ihrer neuen App in OneLogin ein.
  5. In OneLogin kopieren Sie nun die Issuer URL aus dem SSO Tab Ihrer neuen App.
  6. Diese URL fügen Sie in Hipchat in das Issuer URL Feld ein.
    Hipchat pflegt die SSO URL und das x.509 Zertifikat für Sie ein.
  7. Entscheiden Sie, wie Sie die Benutzer erstellen, deren Profi-Iinformationen synchronisieren und wie sich die Benutzer einloggen (weitere Informationen dazu).
    (Wir empfehlen, das interne Verzeichnis sowie das SAML Single Sign-on zu verwenden, bis Sie verifiziert haben, dass sich Ihre Benutzer via Ihrem Identity-Provider einloggen können.)
  8. Mappen Sie in OneLogin, im Parameters Tab die folgenden Attribute. Diese werden zur Pflege des vollen Namens, der @Erwähnung und des Job Titel Feldes in HipChat verwendet.

    FeldnameOneLogin Wert
    emailEmail
    user.firstNameFirst Name
    user.lastNameLast Name
    user.titleTitle
  9. Speichern Sie Ihre Änderungen in Hipchat und OneLogin ab.
  10. Führen Sie in OneLogin alle zusätzlichen Schritte durch, um Ihren Benutzern Zugang zu Ihrer neuen Hipchat App zu geben.

Das sieht in Hipchat so aus:

 

Single Sign-On mit Okta

Hipchat unterstützt Okta standardmäßig, jedoch funktioniert die in Oktas Applikationsliste aufgeführte Hipchat App nicht mit Hipchat Server. Sie müssen dafür eine komplett neue Applikation erstellen.

Lesen Sie die Okta Dokumentation, wenn Sie Hilfe beim Installationsassistenten für die Installation einer neuen Hipchat Applikation oder beim Hinzufügen von Personen zur neuen Hipchat Applikation benötigen.

So verbinden Sie Hipchat mit Okta:

  1. Gehen Sie in Okta zu Admin > Add Applications > Create new app, um eine neue Applikation zu erstellen (wählen Sie sie nicht aus der Liste aus) und wählen Sie SAML 2.0 als Login-Methode aus.
  2. In Hipchat gehen Sie nun zu Group admin > Authentication.
  3. Wählen Sie SAML single sign-on aus und wählen Sie Okta als Ihren Identity-Provider aus.
  4. Kopieren Sie alle in Hipchat bereitgestellten SSO URLs und fügen Sie sie in Okta im Schritt Configure SAML ein.
  5. Mappen Sie in Okta die folgenden Attribute im Schritt Configure SAML. Diese werden für die Pflege des vollständigen Namens, der @Erwähnung und des Job Titel Felds in Hipchat benötigt.

    NameOkta Wert
    user.emailuser.email
    user.firstNameuser.firstName
    user.lastNameuser.lastName
    user.titleuser.title
  6. Vervollständigen Sie in Okta das Set-Up.
  7. Navigieren Sie in Okta zu Ihrer neuen Applikation und gehen Sie zum Sign On Tab, um die Identity-Provider Metadata herunterzuladen oder zu kopieren.
  8. Fügen Sie sie oder laden Sie sie in Hipchat in das Identity-Provider Metadata Feld ein/hoch.
  9. Entscheiden Sie wie Sie Benutzer erstellen, Profilinformationen synchronisieren und sich einloggen möchten (weitere Informationen dazu).
    (Wir empfehlen sowohl das interne Verzeichnis als auch das SAML Single Sign-on zu erlauben, bis Sie verifiziert haben, dass sich Ihre Benutzer via Ihrem Identity-Provider einloggen können.)
  10. Speichern Sie Ihre Änderungen in Hipchat ab.
  11. Führen Sie alle erforderlichen Schritte in Okta durch, um Ihren Benutzern den Zugang zu Ihrer neuen Hipchat App zu gewähren.

Das sieht in Hipchat wie folgt aus:

Single Sign-On mit anderen Identity-Providers oder personalisierten Implementierungen

Wenn Sie eine andere SAML 2.0 Implementierung als OneLogin oder Okta verwenden, dann können Sie trotzdem das Single Sign-on in Hipchat konfigurieren, aber Sie werden dabei nur beschränkt Unterstützung von Atlassians Support-Team erhalten.

Bevor Sie beginnen, benötigen Sie noch die folgenden Informationen von Ihrem Identity-Provider:

  • Deren Entitäts-ID - ein einzigartiger Name (normalerweise die URL), den der Identity-Provider für SAML 2.0 verwendet (manchmal ist dieser in einem Feld namens "identity provider issuer" enthalten).
  • Dessen SSO Endpunkt URL - eine SAML 2.0 Endpunkt URL, zu dem Hipchat Ihre Benutzer beim Login weiterleiten wird, damit Ihr Identity-Provider sie authentifizieren kann.
  • Deren x.509 Zertifikat - das öffentliche Zertifikat des Identity-Providers, das deren öffentlichen Schlüssel besitzt, sodass Hipchat Login-Anfragen von ihnen validieren kann.

Sobald Sie die benötigten Informationen haben, können Sie das Single Sign-on in Hipchat konfigurieren.

  1. Loggen Sie sich in Ihrem Webbrowser in Hipchat ein.
  2. Gehen Sie zu Group admin > Authentication.
  3. Klicken Sie auf SAML Single Sign-on.
  4. Wählen Sie im Identity Provider Feld Custom SAML 2.0.
  5. Geben Sie die Entitäts-ID Ihres Identity-Providers ein.
  6. Geben Sie die SSO Endpunkt URL Ihres Identity-Providers ein.
  7. Kopieren Sie die Inhalte des x.509 Zertifikats Ihres Providers und fügen Sie sie in das Public certificate Feld ein.
  8. Entscheiden Sie wie Sie Benutzer erstellen, Profilinformationen synchronisieren und sich einloggen (weitere Informationen dazu).
    (Wir empfehlen sowohl das interne Verzeichnis als auch das SAML Single Sign-on zu erlauben, bis Sie verifiziert haben, dass sich Ihre benutzer via Ihrem Identity-Provider einloggen können.)
  9. Speichern Sie Ihre Änderungen ab.
  10. Als nächstes kopieren Sie jede SSO URL, die in Hipchat ist und fügen sie in Ihren Identity-Provider ein, um die Konfiguration abzuschließen.
      • Audience - der einzigartige Name (in diesem Fall eine URL), den Ihre Hipchat-Gruppe für SAML 2.0 verwendet. Dieser ist manchmal auch als Service Provider Entity ID bekannt.
      • Recipient (ACS consumer URL) - die SAML 2.0 Endpunkt URL, die Ihr Identity-Provider für den Login Ihres Teams in Hipchat verwenden wird.
      • Single log-out (SLO) URL - eine optionale URL, den Ihr Provider für den Logout Ihres Teams aus Hipchat verwenden kann. Wenn sich eines Ihrer Teammitglieder von Ihrem Identity-Provider ausloggt (zum Beispiel aus OneLogin), dann wird Ihr Identity-Provider ihn auch aus Hipchat ausloggen.

11. Falls erforderlich, dann mappen Sie für Ihren Identity-Provider die folgenden Attribute/Felder zu den entsprechenden Werten. Diese werden für die Pflege des vollständigen Namens, der @Erwähnung und des Job Titel Felds in Hipchat benötigt.

HipChat FeldnameIdentity-Provider Wert
user.emailDie E-Mail-Adresse des Benutzers.
user.firstNameDer Vorname des Benutzers.
user.lastNameDer Nachname des Benutzers.
user.titleDie Rolle oder die Berufsbezeichnung des Benutzers (falls zutreffend)



Bekannte Probleme mit anderen Identity-Providern

Kunden berichteten über Probleme bei der Verbindung mit Google Identity-Provider.

Optionen für die Registrierung und Account-Anlage

In den folgenden Optionen können Sie einstellen wie Ihre Benutzer sich registrieren und wann Accounts angelegt werden. Sie können diese Einstellungen unter Group admin > Authentication ändern.

  • "Just in time" Anlage
    Mit dieser Option werden Hipchat-Accounts für neue Benutzer angelegt, wenn sie sich mit Ihrem Identity-Provider einloggen.
  • Profil Synchronisierung
    Diese Option aktualisiert automatisch die Namen und Titel der Benutzer, wenn sie sich mit Ihrem Identity-Provider einloggen.
  • Internes Verzeichnis und SAML Single Sign-on
    Mit dieser Option können sich Ihre Benutzer direkt in Hipchat oder über Ihren Identity-Provider einloggen. Ist diese Option deaktiviert, ist das Single Sign-on Pflicht und Ihre Benutzer können sich nur noch mit Ihrem Identity-Provider in Hipchat einloggen.

Zusätzlich können Sie, sofern Ihr SAML Provider verschlüsselte Nachrichten versendet, die Hipchat CLI verwenden, sodass Ihre Hipchat-Instanz über einen privaten Schlüssel verfügt und diese Nachrichten entschlüsseln kann. Erstellen Sie einen privaten Schlüssel, kopieren und fügen Sie Ihn in den Host ein und starten Sie den folgenden Befehl (ersetzen Sie "Pfad/zu/cert" mit dem aktuellen Pfad des Knotens)

hipchat saml --sp-cert path/to/cert

SAML Sign-on deaktivieren

Wenn Sie sich dazu entschließen das SAML Single Sign-on nicht mehr zu verwenden, gehen Sie wie folgt vor:

  1. Gehen Sie in Hipchat zu Group admin > Authentication.
  2. Wählen Sie für SAML Single Sign-on den Wert None als Ihren Identity-Provider aus.

Die Benutzer werden nun über Hipchats internem Verzeichnis oder über Ihr externes Verzeichnis (falls konfiguriert) authentifiziert. Wenn ein Benutzer sein Passwort aus dem internen Verzeichnis nicht weiß, kann er den Forgot password Link für ein neues Passwort anklicken.

Problemlösung

  • Sie können sich nicht mit dem Single Sign-on einloggen? Wenn Sie nicht in der Lage sind sich mit dem Single Sign-on in Hipchat einzuloggen (z. B. wenn Ihr Identity-Provider nicht erreichbar ist), dann können sich Ihre Administratoren weiterhin mit dem internen Verzeichnis von Hipchat über den Admin Login Link, auf dem Hipchat Login-Bildschirm, einloggen.
    Wenn Sie sich unmittelbar nach der Konfiguration von SAML 2.0 nicht einloggen können, dann ändern Sie die Authentifizierungsart zurück auf Internal Directory und überprüfen Sie anschließend die Konfigurationseinstellungen von Hipchat und Ihres Identity-Providers.
  • Sie brauchen Hilfe? Atlassians Support-Team kann Ihnen beim Verbinden von Hipchat und Ihres Identity-Providers helfen, jedoch müssen Sie sich für Fragen bezüglich Ihres Identity-Providers direkt an Ihren Identity-Provider wenden.



Hipchat Server