Close

开始使用 Atlassian Guard

使用这份详细的分步指南设置 Atlassian Guard 试用版

简介

在本设置指南中,我们将为您详细介绍设置 Atlassian Guard 试用版的步骤。本指南包含遵循我们最佳实践建议的步骤,但鉴于贵组织的独特需求,其中部分控制措施可能并非不可或缺。

入门

通过以下三个步骤开始保护您的业务,以深入了解您的组织,并有效地管理用户的访问权限。

开始之前的重要准备事项

Atlassian Guard 在所有 Atlassian Cloud 产品中实施。在验证网域和设置组织之前,请确保使用 Atlassian Cloud 产品的利益相关者、管理员和团队均已知晓。

1. 确认或验证网域:通过验证网域,您可证明您拥有相应网域,并可控制自己的帐户。如需确认或创建您的组织,请转至 admin.atlassian.com

2. 申领帐户:使用受管理帐户可简化用户管理。通过申领帐户,您能够更高效地管理用户,并自动且大规模地应用安全设置。

3. 开始 30 天试用,设置 Atlassian Guard 功能。


组织和网域验证

什么是 Atlassian 组织?

“组织”作为管理层,可以让管理员查看使用公司电子邮件地址的所有 Atlassian 帐户并对其应用控制机制。它是公司 Atlassian Cloud 层次结构的顶层,用于集中管理所有用户和内容。组织中包括所有 Atlassian 站点和产品,提供了公司 Atlassian Cloud 产品的全貌。可以在 admin.atlassian.com 访问您的组织。

什么是网域验证?

借助网域验证这一流程,组织管理员可以开始集中管理所有使用公司网域的 Atlassian 帐户。如果管理员有权编辑网域的 DNS 或 HTTPS 设置,则可以使用 Atlassian Guard 验证公司的网域。

如何进行网域验证?

假设您的公司名为 Acme Inc.,拥有“acme.com”和“acme.co.uk”这两个网域。

设置组织后,即可通过组织视图中的“目录 > 网域”页面验证您对这些网域的所有权。您可以将一个 HTML 文件上传到网域对应网站的根文件夹,也可以将一个 TXT 记录复制到域名系统 (DNS)。

完成上述任一步骤后,可以点击“验证”。现在,使用“jack@acme.com”和“jill@acme.co.uk”等网域的电子邮件地址来创建帐户的 Atlassian Cloud 用户,将作为贵组织的一部分受到管理。

您需要知道,验证网域后,可能要开始管理不在当前管理范围内的站点和产品的 Atlassian 帐户。例如,公司内的其他团队或员工注册了 Atlassian Cloud 产品,而他们之前不属于您的职权范围。我们建议您在验证网域之前,向公司内使用 Atlassian Cloud 产品的其他站点管理员或团队核实,让他们了解即将发生的更改。

在组织的管理员验证网域之后,使用该网域的电子邮件地址的 Atlassian 用户将在其个人资料设置中看到一条消息,告知其帐户现在由组织进行管理。

您可以前往组织的受管理帐户页面,编辑各个帐户的用户详细信息。如果您要应用安全策略并订阅 Atlassian Guard,则使用受管理帐户的用户将受您设置的任何策略的约束。


SAML 单点登录

什么是 SAML SSO?

SAML 单一登录 (SSO) 允许用户通过公司现有身份提供程序对 Atlassian Cloud 产品进行身份验证。这意味着,用户可以使用同一组凭据访问多个工具,同时使用一种更安全的身份验证方法而不只是用户名和密码。

为什么使用 SAML SSO?

SAML SSO 便于员工和客户更加轻松、便捷地访问所用工具,让管理员能够大规模实施与身份相关的安全控制机制,显著简化了对大型用户群组的安全管理。

工作原理

Atlassian Guard 与贵公司的身份供应程序集成,为员工和客户访问 Atlassian Cloud 产品提供简单、无缝的身份验证流程。


SCIM 自动化用户调配

什么是用户调配和取消调配?

借助用户调配和取消调配功能,对 Atlassian Cloud 产品的访问权限将由您在外部目录中设置的规则定义。每当从外部目录中添加或删除用户时,系统都会自动纳管或取消纳管用户。此用户目录通常由软件提供商以服务的形式提供,被称作身份提供程序。Atlassian Guard 允许客户将其 Atlassian Cloud 产品与身份提供程序进行集成。

为什么实施用户调配和取消调配?

当员工加入公司或调至新团队时,用户调配可以减少向他们授予应用程序访问权限时需要的手动操作。此外,自动化的取消调配可以移除离职员工的访问权限,降低信息泄露的风险。员工离开公司或团队后,系统会自动移除相应的用户帐户,进而更严格地控制成本。

工作原理

Atlassian Guard 将用户目录与 Atlassian Cloud 产品集成,并自动将身份提供程序中的更新与 Atlassian 组织中的用户进行同步。

当新员工加入公司时,比如加入工程团队,IT 管理员通常要向这位新员工授予至少 10 个工程师常用应用的访问权限。借助用户调配设置,管理员只需将这位员工添加到工程组,即可自动为该用户调配所需的全部应用。如果这位工程师离职,管理员只需在用户目录中进行一项更改即可撤消其访问权限。

如果员工更换团队,比如从工程团队转到产品团队,则可能需要访问一些不同的工具集。管理员只需在用户目录群组设置中进行一项更改,即可撤销员工对不再需要的工具的访问权限,并授予员工对新工具的访问权限。

用户调配屏幕

定义多个授权策略

什么是身份验证策略?

管理员可以为受管理帐户设置身份验证策略,并对成员应用这些设置。

可通过策略配置的身份验证设置包括:

  • 单点登录 (SSO)
  • 强制双重验证 (2SV)
  • 密码策略(密码强度、密码到期时间)
  • 会话持续时间

为什么使用多个身份验证策略?

组织内使用多个身份验证策略有很多原因,其中的主要原因是:

  • 为特定的用户子集指定策略
  • 测试身份验证设置功能

工作原理

管理员可以灵活定义多个身份验证策略,并为组织中的不同用户子集应用这些策略,以确保每组用户都具备相应的安全级别。

可以设置单独的身份验证策略来测试 SAML 配置,具体方法是先为小型测试组启用单一登录,然后再推广到整个组织。

身份验证策略屏幕
身份验证策略屏幕

强制双重验证验证

什么是强制双重验证?

强制双重验证是一种安全策略,它要求组织中的用户启用双重验证来登录和访问 Atlassian Cloud 产品。

为什么使用强制双重验证?

强制双重验证可以在帐户密码遭到泄露时保护帐户安全,提高这些帐户可访问的信息的安全性。

工作原理

如果应用强制双重验证时用户已经有 Atlassian 帐户,系统会让用户从帐户退出并提示他们在下次登录时设置第二种验证方法。如果用户是首次创建 Atlassian 帐户,则需要在注册流程中设置第二种验证方法。

强制双重验证屏幕

API 令牌控制

什么是 API 令牌控制?

API 令牌允许用户使用云应用进行身份验证,从而通过 REST API 从实例中检索数据。管理员可通过令牌控制查看和撤消其受管理用户和外部用户对 API 令牌的使用。

为什么使用 API 令牌控制?

用户 API 令牌控制使管理员能够更好地了解和控制用户 API 令牌生命周期,从而改善组织的安全状况。具体包括:

  • 更好地控制哪些用户可以通过 API 令牌访问数据
  • 更清楚地了解哪些用户在创建和撤消 API 令牌,从而使他们能够发现和应对不良行为者造成的安全威胁

了解用户如何在 Atlassian 中创建和使用 API 令牌

工作原理

管理员可以通过导航到身份验证策略下的 API 令牌设置,来控制是否允许受管理用户创建新的用户 API 令牌或使用现有令牌。

管理员还可以在 Atlassian 管理中查看与其组织内受管理帐户关联的所有活动用户 API 令牌。这样,如果他们想撤消访问权限,可以更轻松地导航到受管理帐户中特定用户的帐户详细信息。

API 令牌控制屏幕截图

控制用户是否可以使用用户 API 令牌进行身份验证

API 令牌控制屏幕截图

查看受管理帐户的所有活动用户 API 令牌

API 令牌控制屏幕截图

允许或阻止外部用户访问 API 令牌


移动应用管理 (MAM)

什么是移动应用策略?

通过移动应用管理(简称 MAM)在整个组织中实现更大的灵活性。MAM 可允许您在 Jira Cloud、Confluence Cloud 和 Opsgenie 移动应用上为自带设备 (BYOD) 配置安全控制。

为什么要使用移动应用策略?

实施移动应用策略有助于贵组织促进协作,并同时主动设置控制措施以保护用户和数据。在您设置移动策略后,用户的设备必须符合您的安全要求,才能访问连接到贵组织的移动应用。

工作原理

MAM 策略可以应用于所有用户,也可以应用于特定部分的受管理用户。MAM 适用于托管用户和外部用户。您的组织可以利用 MAM 功能增加额外的安全保障,包括:

  • 禁用内容共享、保存或备份
  • 禁用屏幕截图和屏幕录制
  • 禁用内容剪切或复制
  • 屏蔽受攻击设备
  • 要求设置数据加密、生物识别身份验证或设备密码
  • 要求符合最低操作系统版本规定
  • 覆盖所有 IP 允许列表,以允许从 Jira 和 Confluence 移动应用进行访问
移动应用管理屏幕截图

自动产品发现

什么是产品自动发现?

管理员通过发现由其受管理用户创建的 Atlassian 云产品,可查看这些产品的管理员以及有多少用户加入了这些产品,以此了解组织内的影子 IT 并对其进行管理。

为什么产品自动发现很重要?

在云端,无论组织的核心管理团队是否意识到或批准,用户都可以轻松创建新产品。对管理员来说,这可能是一件可怕的事情,因为它可能会导致以下问题:

  • 缺乏成本控制
  • 运营复杂性
  • 安全性和合规性问题

产品自动发现可让组织管理员一致地了解组织内由用户创建的 Atlassian 云产品(影子 IT)。通过将组织管理员与管理这些产品的用户联系起来,还有助于简化对这些影子 IT 产品的管理。通过联系影子 IT 的负责人,组织管理员可以开始执行以下操作:

  • 通过移除产品来缓解账单和安全问题
  • 创建经过 IT 部门批准且符合用户需求的产品
  • 将产品和数据整合到组织的官方产品中

工作原理

Atlassian 将主动发送一封电子邮件,其中包含由受管理用户创建的影子 IT 产品数量以及实际的影子 IT 产品。

在“admin.atlassian.com”中,组织管理员还可以查看其他信息,例如这些产品的负责人、该产品包含多少用户以及产品的创建日期。

要开始修复,组织管理员可以单击省略号“...”来联系产品负责人。

自动电子邮件发现电子邮件屏幕截图

组织范围的审核日志

什么是组织审核日志?

组织洞察信息有助于管理员跟踪 Atlassian 产品的采用情况并评估用户的安全状况。此功能提供涵盖与组织关联的 Jira 和 Confluence Cloud 产品的一系列分析。

为什么使用组织审核日志?

防止数据丢失:通过查看具体哪些人获得了哪些产品实例的访问权限,管理员可采取行动来禁用相应用户的访问权限,并在发生数据(例如知识产权、敏感的医疗保健或财务数据)丢失时立即采取补救措施。

活动监控:在进行故障排除或根因分析时,管理员可以立即查看哪个用户在什么时间获得了访问权限,从而协助识别在特定时间所发生事件的相关情况。这非常有利于实现合规性和审核目的。

协作控制:审核日志中的信息可解答某些问题,比如“此用户应读取或编辑此页面或项目吗?”如果答案是否定的,则可将此用户删除;再比如“此用户是如何失去其本应有权访问的产品的访问权限的?”,知道答案后便可恢复此用户的访问权限。

工作原理

在 Atlassian Guard 仪表板中,组织管理员可以查看和筛选审核日志,还可以下载过去六个月的活动记录,并导出至 .CSV 文件。

产品自动发现屏幕截图

组织范围内的洞察

什么是组织洞察信息?

组织洞察信息有助于管理员跟踪 Atlassian 产品的采用情况并评估用户的安全状况。此功能提供涵盖与组织关联的 Jira 和 Confluence Cloud 产品的一系列分析。

为什么使用组织洞察信息?

管理员可以更深入地了解 Atlassian 产品的使用情况,在斟酌增加产品采用率或优化产品 ROI 时,以数据为依据,做出更明智的决策。此外,管理员可以快速查看用户的安全状况,让管理员在管理用户和权限时更具主动性。

工作原理

管理员可通过组织管理中心的安全部分访问组织洞察信息。在此页面,管理员可以:

  1. 查看与其组织关联的 Jira 或 Confluence Cloud 产品的每日和每月活跃用户
  2. 查看当前许可证的使用情况,从而更好地了解其 Atlassian 产品支出
  3. 查看启用了双重验证或 SSO 的受管理用户数

我们将持续添加更多洞察信息,帮助管理员深入了解组织层面的安全状况和使用情况。

组织洞察信息屏幕截图

CASB 与 McAfee MVISION Cloud 集成

什么是 CASB?

云访问安全代理 (CASB) 是一款第三方软件,它通过与组织中使用的云产品相集成来提供高级云安全功能。CASB 软件会跟踪和分析每个云产品发送和接收的所有信息。有了这些数据,CASB 供应商便可提供更好的可见性、修复、威胁防护、策略管理和数据安全性。

为什么要将 CASB 与 Atlassian Guard 配合使用?

通过 CASB 软件 McAfee MVISION Cloud 与 Atlassian Guard 的集成,管理员可实现以下功能:

  • 跨云服务(包括 Atlassian 云产品)集中查看内容和用户操作
  • 具备更强大的能力来保护重要的 Atlassian 云数据,且无论这些数据存储在何处
  • 通过监控可疑活动加强威胁防范

借助 Atlassian Guard,McAfee MVISION Cloud 可捕获 Atlassian 组织级活动的完整记录,并利用机器学习来分析活动以准确检测威胁。

工作原理

使用 Atlassian Guard 集中治理您的 Atlassian Cloud 产品,然后连接到 CASB 软件 McAfee MVISION Cloud,从而通过您的 McAfee MVISION Cloud 仪表板实现自动安全监控和行为分析。


后续事项

恭喜!您已成功为贵组织设置了 Atlassian Guard。在有效保障 Atlassian Cloud 产品免遭未授权访问和风险行为侵袭的路上,您又迈出了一大步。试用结束后,请务必订阅以继续使用 Atlassian Guard 的功能。

Atlassian Guard 如何定价?

我们针对每位唯一用户提供灵活的定价。Atlassian Guard 的唯一用户是指,无论用户有权访问多少产品,他们都作为一个用户计费。

我们的定价可确保您随着组织的发展通过 Atlassian Guard 订阅获得最大价值。随着您添加更多用户,每位用户的平均价格将会降低。

在每个计费周期(按月或按年),我们将根据为 Atlassian Guard 支持的产品调配的唯一用户数量向您收费,而不考虑任何一个用户可访问的产品数量。

这意味着,当我们为 Atlassian Guard 计费时,同时为 Confluence 和 Jira 调配的用户仅算作单个用户。

仍需要帮助?

我们的团队可以解答您关于 Atlassian Guard 设置以及其他方面的所有问题

开始之前

Atlassian Guard 在整个公司范围内实施,因此需要组织内的利益相关者(例如其他管理员)之间相互协调。

在设置组织并验证网域之前,请确保任何其他使用 Atlassian 云产品的团队都知道即将发生的变更。

入门

1

前往 admin.atlassian.com 确认或创建您的组织

2

通过验证贵公司拥有的域,将用户添加到您的组织。

3

开始 30 天的试用,设置 Atlassian Guard 功能。

组织和域验证概述

功能详情

验证了组织的域并开始试用后,您便可以在管理员控制台中启用某些功能。

以下章节介绍了每项功能如何保护您的组织安全。

阅读更多

Atlassian Trust Center

了解 Atlassian 的可靠性、隐私和合规性

Atlassian 社区

在社区中讨论、提问和学习关于 Atlassian Guard 的方方面面

资源

浏览有关云安全和规模的更多资料