最佳實踐
- SAML 受權僅僅在有限的時間進行校驗。你須要肯定運行你的應用的計算機時間與 IdP 的時間是同步的。
- 若是你應用中的用戶和用戶組是經過用戶目錄進行配置的,你一般但願用戶來源目錄和你的 IdP 和 Atlassian 應用使用相同的 LDAP 目錄。用戶須要在用戶目錄支中存在才能夠使用 SSO 進行登陸。
故障排除
- 若是你錯誤的配置了 SAML 收取,或者不能登陸到你的 IdP。你能夠經過刪除請求來讓你的登陸受權恢復(在你用戶目錄中爲一個管理員用戶配置使用一個用戶名和密碼)。
curl -u admin_user:admin_password -X DELETE http://base-url/product/rest/authconfig/1.0/saml - 若是受權有錯誤發生,用戶將只能看到基本的錯誤信息。基於安全的考慮,有關錯誤的具體信息將不會顯示,你須要檢查應用程序的日誌來找到錯誤發生的具體緣由和問題是什麼。
- 在一些狀況下,你可能看到你的 IdP 顯示錯誤信息。在這種狀況下,你須要一些 IdP 的診斷工具來肯定你的 IdP 的問題,這方面問題的解決 Atlassian 不提供相關的服務。
- 當使用 使用 SAML 爲主受權(Use SAML as primary authentication)同時你還有有驗證碼被啓用的話,使用 HTTP 的基本受權(例如在 REST 資源調用)可能將用戶鎖定,若是用戶輸入的錯誤用戶名和密碼信息次數太多的話。在這種狀況下,須要一個系統管理進入後臺從新設置用戶登陸錯誤次數的計數。
https://www.cwiki.us/display/CONFLUENCEWIKI/SAML+SSO+for+Confluence+Data+Centerjava