Authentik 接管 Atlassian Data Center 全家桶
动机
公司的 Atlassian 全家桶(Jira / Confluence / Bitbucket / Bamboo,全是 Data Center 版)一直挂在 Crowd 上做用户中心。Crowd 的角色很简单:把 Windows AD 当后端,自己再同步一份用户/组到下游各个 app 里去。单论 Atlassian 这一摊事儿,跑得也算稳,本来没什么动它的理由。
真正想动它,是因为 Authentik 这条新线。Authentik 是不久前刚搭起来的统一身份入口,长期目标是把公司里越来越多的新业务(自建工具、内部看板、第三方 SaaS、新上的开源服务)都收到一个 SSO 入口下面——新业务要么走 SAML、要么走 OIDC,统一接到 Authentik 就完事,不再需要每上一个新服务都重新写一遍 AD 集成、也不再需要把 LDAP 凭据发出去给一堆服务各自持有。
Atlassian 这一摊老资格自然该并进来。从「Atlassian → Crowd → AD」改成「Atlassian → Authentik → AD」之后:
- 公司里所有服务的登录入口长一个样,不会出现「这套走 Crowd、那套走 Authentik、新业务又是另一套」的割裂
- 直接跟 AD 说话的服务从一堆收敛到「只有 Authentik」,AD 那边的攻击面和暴露的 bind 凭据数都跟着收
- 以后想给 Atlassian 加任何额外的访问策略(按 IP、按设备、按角色),在 Authentik 一处加完即可,不用挨个 app 改
- Crowd 这一层可以一并退役,少一个 Java + Postgres 实例要养
折腾下来发现:只要先做 SAML、再换用户目录、最后退役 Crowd,整条链路可以平滑切。下游已有用户的 issue 分配、权限、关注者一个都不会丢。这篇把每一步、踩过的坑、最终配置都写下来,下次再切别的 app 直接抄。
