Trello (Atlassian)
Dieser Leitfaden erklärt Ihnen, wie Sie die Einzelanmeldung (SSO) zwischen SmartLink und Trello unter Verwendung von SAML 2.0 über Atlassian Access einrichten.
Voraussetzungen
- Trello Enterprise-Abonnement mit Atlassian Access
- Administratorzugriff auf Atlassian Admin
- Domain in Atlassian überprüft
- Anwendung in SmartLink mit SAML2 konfiguriert
Hinweis: Die SSO für Trello erfordert Atlassian Access, das nur mit Enterprise-Plänen verfügbar ist.
Konfiguration in SmartLink
1. Anwendung erstellen
- Melden Sie sich als Administrator bei SmartLink an
- Gehen Sie zu Anwendungen → Hinzufügen
- Erstellen Sie eine neue Anwendung:
- Name: Trello
- URL:
https://trello.com - Beschreibung: Projektmanagement und Zusammenarbeit
- Symbol: Wählen Sie das Trello-Symbol aus
2. SAML2 konfigurieren
- Im Tab Authentifizierung
- Wählen Sie SAML2
- Konfigurieren Sie die folgenden Parameter:
- Entity-ID:
https://[your-smartlink].link.vaultys.org/[appid] - ACS-URL:
https://auth.atlassian.com/login/callback - Format NameID:
emailAddress - App-ID:
[appid](automatisch generierte eindeutige Kennung)
- Entity-ID:
3. Metadaten abrufen
Notieren Sie sich die folgenden URLs:
- IdP-Metadaten:
https://[your-smartlink].link.vaultys.org/api/saml2/[appid]/metadata - SSO-URL:
https://[your-smartlink].link.vaultys.org/api/saml2/sso/[appid] - SLO-URL:
https://[your-smartlink].link.vaultys.org/api/saml2/slo/[appid] - X.509-Zertifikat: Herunterladen von SmartLink
Konfiguration in Atlassian Access
1. Zugriff auf Atlassian Admin
- Melden Sie sich bei admin.atlassian.com an
- Wählen Sie Ihre Organisation aus
- Gehen Sie zu Sicherheit → Identitätsanbieter
2. Hinzufügen eines SAML-Identitätsanbieters
- Klicken Sie auf Identitätsanbieter hinzufügen
- Wählen Sie SAML Single Sign-On
- Konfigurieren Sie die Informationen des Identitätsanbieters:
Manuelle Konfiguration
- Identitätsanbieter-Entity-ID:
[appid] - SSO-URL:
https://[your-smartlink].link.vaultys.org/api/saml2/sso/[appid] - Öffentliches x509-Zertifikat: Fügen Sie das Zertifikat von SmartLink ein
Oder über Metadaten-URL
- Importieren von Metadaten-URL:
https://[your-smartlink].link.vaultys.org/api/saml2/[appid]/metadata
3. Konfiguration der SAML-Attribute
Konfigurieren Sie das Mapping der Attribute:
<AttributeStatement>
<Attribute Name="email">
<AttributeValue>user.email</AttributeValue>
</Attribute>
<Attribute Name="displayName">
<AttributeValue>user.displayName</AttributeValue>
</Attribute>
<Attribute Name="firstName">
<AttributeValue>user.firstName</AttributeValue>
</Attribute>
<Attribute Name="lastName">
<AttributeValue>user.lastName</AttributeValue>
</Attribute>
</AttributeStatement>
4. Konfiguration der Domains
- Unter Domains fügen Sie Ihre Unternehmensdomain hinzu
- Überprüfen Sie die Domain über DNS (TXT-Eintrag)
- Aktivieren Sie SSO erzwingen für diese Domain
5. Benutzerzuweisung
- Unter Benutzer konfigurieren Sie:
- Automatische Bereitstellung: Aktiviert
- Just-in-Time-Bereitstellung: Aktiviert
- Benutzerdetails bei Anmeldung aktualisieren: Aktiviert
Konfiguration von Gruppen und Berechtigungen
Gruppensynchronisierung
In SmartLink konfigurieren Sie die SAML-Assertionen, um Gruppen einzuschließen:
<Attribute Name="groups">
<AttributeValue>smartlink-trello-admins</AttributeValue>
<AttributeValue>smartlink-trello-users</AttributeValue>
</Attribute>
Mapping der Trello-Berechtigungen
In Atlassian Access:
- Verzeichnis → Gruppen
- Erstellen Sie die Zuordnungen:
smartlink-trello-admins→ Workspace-Administratorsmartlink-trello-users→ Normaler Benutzersmartlink-trello-guests→ Gastbenutzer
Konfiguration der Workspaces
Um Benutzer automatisch den richtigen Workspaces zuzuweisen:
- Produkte → Trello
- Workspace-Zugriff
- Konfigurieren Sie den Zugriff nach Gruppe
Konfiguration der Sicherheitsrichtlinien
Sitzung und Authentifizierung
- In Atlassian Access → Richtlinien
- Konfigurieren Sie:
- Sitzungsdauer: 8 Stunden
- Erfordern erneute Authentifizierung: Nach 30 Tagen
- Mobile Sitzung: 90 Tage
IP-Beschränkungen (optional)
{
"ip_allowlist": [
"203.0.113.0/24",
"198.51.100.0/24"
],
"enforce_for_admins": true
}
Konfigurationstest
1. Verbindungstest
- Öffnen Sie ein privates Browserfenster
- Gehen Sie zu trello.com/login
- Geben Sie Ihre Unternehmense-Mailadresse ein
- Sie werden zu SmartLink weitergeleitet
- Melden Sie sich mit Ihren SmartLink-Anmeldeinformationen an
- Sie sollten bei Trello angemeldet sein
2. Test mit der mobilen Anwendung
- Öffnen Sie die mobile Trello-App
- Tippen Sie auf Anmelden
- Geben Sie Ihre Unternehmens-E-Mailadresse ein
- Die App öffnet einen Browser zur Authentifizierung
- Nach der Anmeldung werden Sie zur App zurückgeleitet
3. Überprüfung der Berechtigungen
# Über die Trello-API
curl -X GET "https://api.trello.com/1/members/me" \
-H "Authorization: OAuth oauth_consumer_key=\"{key}\", oauth_token=\"{token}\""
Integration mit Power-Ups
Konfiguration von Power-Ups mit SSO
Für benutzerdefinierte Power-Ups, die die Authentifizierung verwenden:
// Konfiguration des Power-Ups mit SSO
const t = window.TrelloPowerUp.iframe();
t.authorize({
url: 'https://[your-smartlink].link.vaultys.org/api/oidc/[appid]/authorize',
clientId: 'trello-powerup-xxxxxx',
scope: 'read,write',
expiration: '30days',
name: 'Mein Power-Up'
});
Automatisierung mit Butler
Konfiguration von Butler mit SSO
Butler-Automatisierungen funktionieren weiterhin mit SSO. Für benutzerdefinierte Befehle:
Wenn eine Karte von jemandem in die Liste "Erledigt" verschoben wird,
kommentiere "@{username} hat diese Aufgabe abgeschlossen"
Fehlerbehebung
Fehler "SAML-Antwortvalidierung fehlgeschlagen"
Problem: Die SAML-Antwort ist ungültig
Lösung:
- Überprüfen Sie das X.509-Zertifikat
- Stellen Sie sicher, dass die Entity-ID in SmartLink übereinstimmt:
[appid] - Überprüfen Sie die Protokolle in Atlassian Admin:
- Sicherheit → Authentifizierungsprotokoll
Fehler "Benutzer im Verzeichnis nicht gefunden"
Problem: Der Benutzer ist nicht bereitgestellt
Lösung:
- Überprüfen Sie, ob die E-Mail-Domain verifiziert ist
- Aktivieren Sie Just-in-Time-Bereitstellung
- Überprüfen Sie die E-Mail-Attribute in der SAML-Assertion
Gruppen werden nicht synchronisiert
Problem: Gruppenberechtigungen werden nicht angewendet
Lösung:
- Überprüfen Sie das Format des Attributs
groupsin der SAML-Assertion - In Atlassian Access überprüfen Sie Verzeichnis → Gruppen
- Stellen Sie sicher, dass die Gruppennamen genau übereinstimmen
Fehler auf dem Handy "Authentifizierung fehlgeschlagen"
Problem: Die Authentifizierung in der mobilen App schlägt fehl
Lösung:
- Stellen Sie sicher, dass das SSL-Zertifikat gültig ist
- Überprüfen Sie, ob die Callback-URL zugelassen ist
- Versuchen Sie, sich vollständig abzumelden und erneut anzumelden
Sicherheit
Empfehlungen
- SSO erzwingen: Aktivieren Sie die SSO-Anwendung für alle Benutzer
- Domainüberprüfung: Überprüfen Sie alle Ihre Unternehmensdomains
- Sitzungsverwaltung: Konfigurieren Sie angemessene Sitzungsdauern
- Audit-Protokolle: Überwachen Sie regelmäßig die Authentifizierungsprotokolle
- API-Token: Verwalten Sie API-Token getrennt von SSO
Konformitätskonfiguration
{
"compliance_settings": {
"data_residency": "EU",
"encryption_at_rest": true,
"audit_log_retention": "365 days",
"gdpr_compliant": true
}
}
Sicherung und Wiederherstellung
Bei Problemen mit SSO:
- Administratoren können die Wiederherstellungs-E-Mail verwenden
- Atlassian Access behält einen Notfallzugriff bei
- API-Token bleiben unabhängig vom SSO gültig
Integration mit anderen Atlassian-Produkten
Jira und Confluence
Die gleiche SSO-Konfiguration gilt automatisch für:
- Jira Software/Service Management
- Confluence
- Bitbucket
- Opsgenie
Vereinheitlichte Konfiguration
atlassian_products:
- trello:
enabled: true
default_workspace: "Unternehmen"
- jira:
enabled: true
default_project: "PROJ"
- confluence:
enabled: true
default_space: "DOCS"
Migration von bestehenden Benutzern
Migrationskript
# Skript zur Migration von Benutzern zu SSO
import requests
def migrate_users_to_sso(domain):
# Holen Sie alle Benutzer
users = get_all_users(domain)
for user in users:
if user['email'].endswith(f'@{domain}'):
# Aktivieren Sie SSO für den Benutzer
enable_sso_for_user(user['id'])
# Benachrichtigungs-E-Mail senden
send_migration_email(user['email'])