希望在 Confluence 中配置SAML： Go to  > 基本配置（General Configuration） > SAMl 授权（SAML Authentication）。 选择 SAML 单点登录（SAML single sign-on）。 配置下面的设置：   Single sign-on issuer 这个值是是由你 IdP 提供的，作为设置 SAML 的一部分。有时候这个被称为 'Entity ID' 发布者是将会接受授权请求表单的 IdP 应用。 Identity provider single sign-on URL 这个值是是由你 IdP 提供的，作为设置 SAML 的一部分 这个定义的是当登录后你用户将要重定向的 URL。 X.509 Certificate 这个值是是由你 IdP 提供的，作为设置 SAML 的一部分。有时候这个被称为 ''Signing certificate'。这个键通常以 '-----BEGIN CERTIFICATE-----' 开头。 这个含有public key，我们将用这个校验由你 IdP 发出的授权请求。 Login mode 这个定义了你的用户可以使用 SSO，通常的可选项为： 使用 SAML 为二级授权（Use SAML as secondary authentication） – 默认情况下，应用将使用资金登录表单来登录系统。你可以通过使用 SAML登录，如果到你的 IdP 然后选择你的应用的话，或者使用下面的 URL 进行登录：BASE-URL/plugins/servlet/external-login。我们推荐你使用这个方法，因为你可以用这个方法测试所有的配置，并确定用户可以使用 SSO 登录。 使用 SAML 为主授权（Use SAML as primary authentication） – 在这个模式中，所有基于浏览器的用户将会被从应用登录界面中重定向到 IdP 界面来登录系统，可能可以使用的授权如下： 基本授权（Basic Auth） 通过定义 REST 的基于表单的授权（Form-based auth via dedicated REST endpoint） 存在的记住我令牌（Existing Remember Me tokens） 你需要确定你的 SAMl 授权正确配置后才可以启用这个模式。 Remember user logins 当你选择这个的时候，登录成功的用户将会被浏览器记住。当访问其他浏览器的时候，用户将会自动进行登录而不需要使用 SAMl 进行第二次登录。 Confluence 数据中心使用 'remember me' 来启用在 2 个节点中的登录。在这个页面中将 记住用户登录（Existing Remember Me tokens）设置为禁用可以重写 Confluence 的表现同时将会提示用户在移动到另外节点中的时候 Confluence 将会要求再次登录。我们推荐设置  Remember user logins 为启用。 下面的配置信息在授权界面中提供，同时将会被要求配置你的额 IdP：   Assertion Consumer Service URL 这个是 IdP  将会返回 SAML 授权请求的地址。 Audience URL (Entity ID) 这个是 IdP  准备 SAML 授权请求的地址。 单击 保存配置（Save configuration）。 一旦你顺利完成你的应用程序和你的 IdP 配置后，你可以开始使用 SSO 了。   https://www.cwiki.us/display/CONFLUENCEWIKI/SAML+SSO+for+Confluence+Data+Center

如果你希望 Confluence 提供 SSO，将需要将 Confluence 添加到你的 IdP 中。一些后续的步骤将会与你的 IdP 有关，但是你通常需要： 在你的 IdP 中定义一个 'application' 提供你应用的一些数据，包括在你授权界面中需要的数据。 请确定你 IdP 中的 NameId 用户设置为你 Atlassian 应用的用户名 在应用中给出正确的用户权限 在设置你 IdP 过程的最后，将会提供一些配置你 Atlassian 应用需要的数据。 https://www.cwiki.us/display/CONFLUENCEWIKI/SAML+SSO+for+Confluence+Data+Center

请确定 SAML 授权是安全和私有的，你需要在你的应用程序中设置SSL/TLS。 请参考in the application. See Running Confluence Over SSL or HTTPS 页面中的内容。 一旦上面的设置完成，你需要确定你的应用程序的 configured base URL 使用的是 HTTPS 协议。 如果你在你的服务器配置上使用了反向代理（reverse proxy），请阅读下面的文章： Proxying Atlassian server applications with Apache HTTP Server (mod_proxy_http) Securing your Atlassian applications with Apache using SSL 当在反向代理中使用 SSL/TLS，你需要确定你应用服务器请求的 URL 为你的反向代理与完整的域名对应。通常这个可以在 <Connector> 目录中配置，需要配置正确的  proxyName, proxyPort, secure 和 scheme 配置。请阅读上面的文章中的具体配置实例。   https://www.cwiki.us/display/CONFLUENCEWIKI/SAML+SSO+for+Confluence+Data+Center

安全申明标记语言（Security Assertion Markup Language (SAML)）是一个基于 XML 的数据格式，允许各个软件平台通过identity provider （IdP）交换授权信息。最常用的情况是允许用户使用相同的的用户登录信息在不同的软件平台之间进行登录。这个就是我们常说的单点登录（SSO）。 我们为 Confluence 数据中心连接到你的 IdP 提供了这个功能，这样你可以能够为你的用户提供 SSO 功能。这个仅仅能够处理授权。应用的访问和任何其他需要授权的功能，比如说检查用户属于哪个用户组，具有何种角色和具有何种权限应该是在你的目录服务器上或者应用程序本身进行配置。   支持的身份提供系统 SAML 应该能够在支持 SAML 2.0 Web 浏览器 SSO 属性的任何身份提供系统（使用 HTTP 的 POST 绑定）。 我们当前对下面的系统进行了测试： Microsoft Active Directory (using ADFS 3.0) Microsoft Azure Active Directory OneLogin Okta PingIdentity 设置单点登录 你需要为你的用户配置你的应用程序和 IdP 来支持单点登录。   https://www.cwiki.us/display/CONFLUENCEWIKI/SAML+SSO+for+Confluence+Data+Center

在一些特定的情况下，你可能希望禁用 Confluence 自带的用户管理或完全使用外部的用户目录进行用户管理。例如 Jira 软件或者 Jira Service Desk。你可以在 Confluence 的 外部用户管理（External User Management）中禁用 Confluence 的内部用户管理。你需要具有系统用户管理权限才能进行这个操作。 你可以禁用 Confluence 的内部也用户管理：You might disable Confluence's internal user management: 当使用 Crowd's directory permissions 来管理你的用户的时候，Confluence 不能更新 Crowd  目录（你将会得到一个系统错误信息，当 Confluence 尝试向  Crowd 中写入数据的时候）。请查看 Connecting to Crowd or Jira for User Management 页面中的内容获取更多信息。 如果你使用的是 Jira 应用程序来管理的用户，那么所有用户的管理中心都在 Jira 应用中。请查看 Connecting to Crowd or Jira for User Management 页面中的内容获取更多的信息。 希望在 Confluence 中禁用用户和用户管理：  > 基本配置（General Configuration） > 安全配置（Security Configuration）。 单击 编辑（Edit）。 选择 外部用户管理（ External user management）选择对话框，然后单击 保存（Save ）来使你的配置生效。 注意：如果你启用了 外部用户管理（External user management）： 你将不能在 Confluence 中添加用户和用户组。 你将不能在 Confluence 中编辑 Confluence 内部目录的用户信息（完整用户名和电子邮件地址）。 你将不能允许用户自动在你的站点中注册。 忘记密码（Forgot Password）的连接不会在 Confluence 登录页面中出现。 用户不能自己在 Confluence 重置他们的密码。 https://www.cwiki.us/display/CONFLUENCEWIKI/Disabling+the+Built-In+User+Management

提交一个 服务器请求（support request） 然后在你的服务请求中同时提供下面的信息。 Confluence 服务器 登录 Confluence 然后访问管理员控制台。 将 系统信息（System Information）页面的中内容进行截图，或者保存页面为 HTML。 如果用户在登录系统有困难的话，对 全局权限（Global Permissions）页面中的内容进行截图。 如果你在空间和页面权限访问有困难的话，进入 空间管理（Space Admin）页面，然后对这个页面中的权限（Permissions）页面的内容进行截图。 Confluence 配置文件 如果你实现了自定义的授权，或者在任何情况下你编辑了 seraph-config.xml 或 seraph-paths.xml文件的话，请提供修改过的文件。 用户管理系统 包含你 LDAP 服务器的名字和版本。 你的 LDAP 服务器使用的是动态还是静态组？ 重新检查你的目录设置。请查看 Connecting to an LDAP Directory 页面中的内容，然后对内容进行屏幕截图后提交。 分析 启用分析，请查看 Performance Tuning 页面。 启用用户管理的的日志详细信息。可以通过编辑 confluence/WEB-INF/classes/log4j.properties 配置文件进行修改。 修改下面的内容： ### # Atlassian User ### #log4j.logger.com.atlassian.user=DEBUG #log4j.logger.com.atlassian.confluence.user=DEBUG #log4j.logger.bucket.user=DEBUG #log4j.logger.com.atlassian.seraph=DEBUG #log4j.logger.com.opensymphony.user=DEBUG 删除每一行之前的 '#' 符合，现在的开始行内容为： ### # Atlassian User ### log4j.logger.com.atlassian.user=DEBUG log4j.logger.com.atlassian.confluence.user=DEBUG log4j.logger.bucket.user=DEBUG log4j.logger.com.atlassian.seraph=DEBUG log4j.logger.com.opensymphony.user=DEBUG 当你完成上面的日志配置文件修改后，请尝试用你的 Confluence 的 LDAP 账号登录系统，然后拷贝日志文件中出现的错误信息。你可以找到你的 Confluence 安装目录，然后压缩（zip）整个 /logs 目录为一个独立文件发给我们进行检查。日志目录位于你的 Confluence Home 目录中。 https://www.cwiki.us/display/CONFLUENCEWIKI/Requesting+Support+for+External+User+Management

提交一个 服务器请求（support request） 然后在你的服务请求中同时提供下面的信息。 下载一个 LDAP 浏览器，你可以通过这个确定你的 LDAP 服务器配置正确。Atlassian 推荐使用 LDAP Studio。请提供你的用户和用户组 DNs 的截图。 如果你可以启动 Confluence 并且能够进入管理员控制台，查看你的目录配置。请查看 Connecting to an LDAP Directory 页面中的内容。然后对屏幕进行截图后一并提交给我们。 https://www.cwiki.us/display/CONFLUENCEWIKI/Requesting+Support+for+External+User+Management

在有关外部目录服务器配置页面中有一个测试配置（Test Settings）按钮。这个功能将会帮助你分析你的用户管理在 Active Directory 和其他 LDAP 服务器中出现的问题。 希望对你的目录进行连接测试： 在屏幕的右上角单击 控制台按钮 ，然后选择 General Configuration 链接。 单击左侧面板中的 用户目录（User Directories）。 编辑（Edit ）相关的目录。 单击 测试配置（Test Settings）。 有关测试的结果将会在页面的顶端显示。 请参考知识库中有关的文章：troubleshooting user management and login issues. 如果上面提供的信息对你没有帮助的话，请继续下面的操作。   https://www.cwiki.us/display/CONFLUENCEWIKI/Requesting+Support+for+External+User+Management

本页面描述了如果你在配置外部用户管理的时候遇到了问题，如何向 Atlassian 支持项目组寻求帮助。外部用户目录挂你包括 Active Directory，其他 LDAP 服务器，Atlassian Crowd 或者 一个 Jira 应用程序。有关帮助的更多信息，请参考页面：Troubleshooting Problems and Requesting Technical Support 中的内容。 可能出现一些问题有： LDAP 服务器不响应。 应用程序的用户名和密码没有配置正确，导致 LDAP 服务器或者其他目录服务器返回收取错误的信息。 其他 LDAP 服务器被错误的配置。 https://www.cwiki.us/display/CONFLUENCEWIKI/Requesting+Support+for+External+User+Management

建议 如果下面所有的选项都为是的话： JIRA 应用程序不在高负载下运行。 你仅仅希望在一些不多的应用中跨平台管理你的用户和用户组，例如一个 JIRA 软件服务器和 Confluence 服务器，或者 2 个 JIRA 服务器。 你不需要在你的 JIRA 和 Confluence 直接启用单点登录（SSO）。 你没有自定义应用程序连接器。或者你有应用程序连接器，但是你有足够的技术力量将这个转换为新的 REST API。 当你进行你 JIRA 应用升级的时候，关闭所有服务器是你可以接受的。 你的环境满足优化的需求，你可以使用 JIRA 为你的用户管理目录。 如果下面一个或者多个的选项都为是的话： 如果你的 JIRA 应用已经在高负载下运行。 你希望在超过 5 个应用直接共享用户和用户组管理。 你需要在多个跨平台应用中使用 单点登录（SSO）。 你没有自定义应用程序通过 Crowd SOAP API 进行了整合，同时你没有足够的技术力量将这个转换为新的 REST API。 当你进行你 JIRA 应用升级的时候，关闭所有服务器是不可以接受的。 我们推荐你使用 Atlassian Crowd 进行用户管理和 SSO。 如果你考虑创建一个新的自定义目录来连接到你自己存储的用户和用户组... 可能下面的其中一个选项适合你： 如果你希望写一个自定义提供器并且支持特定的 LDAP schema，请查看 LDAP schemas，也许你可以用其中的一个。 如果你希望写一个自定义提供器并且支持嵌套用户组，请考虑在你支持的目录连接器中启用嵌套用户组。 如果你希望写一个自定义提供器并且连接到你自己的数据库，请考虑载入数据倒你的应用程序数据库。 如果你希望保持自定义目录连接，请考虑 Atlassian Crowd 可能适合你的需求。请查看  Creating a Custom Directory Connector 文档。   https://www.cwiki.us/display/CONFLUENCEWIKI/User+Management+Limitations+and+Recommendations