管理対象アカウントのメール アドレス一括変更を予定
プラットフォームの注記: Cloud のみ - This article only applies to Atlassian apps on the クラウド プラットフォーム上のアトラシアン製品にのみ適用されます。
要約
リブランディングや会社の合併などの特定の変更が発生すると、多数のエンド ユーザーのメール アドレスの更新が必要になります。メール アドレスの変更は、クラウド内のエンド ユーザー側の Atlassian アカウントにも適用し、新しいメール アドレスを使用してデータに引き続きアクセスできるようにする必要があります。一般的なユース ケースを次に挙げます。
会社が別の会社と合併することになり、メール アドレスのドメインを変更する必要があります (つまり、 ユーザー@companyA.com → ユーザー@companyB.com)
エンド ユーザーのメール アドレスの形式を切り替えます。(つまり、abc123@company.com → firstname.lastname@company.com )
ソリューション
背景
クラウド製品の製品アクセスと履歴データは、Atlassian アカウントまたはメール アドレスにリンクされません。各 Atlassian アカウントは、一意 (不変) の ID とメール アドレスによって識別されます。Atlassian アカウントのメール アドレスが更新されても、エンド ユーザーは新しいメール アドレスで既存の製品アクセスとデータを引き続き使用できます。
メール アドレスは、一度に Atlassian Cloud の 1 つの Atlassian アカウントでのみ使用できます。アカウントのメール アドレスアップデートには、新しいメール アドレスがまだ別の Atlassian アカウントにリンクされていないことをご確認ください。
管理者および ID プロバイダー (IdP) が Atlassian アカウントへのメール アドレスの変更を行えるのは、メール アドレスのドメインが検証され、Atlassian アカウントが 1 つの組織内で申請された場合のみです。
Atlassian Access で設定すると、ID プロバイダーは SAML-SSO とユーザープロビジョニングを使用してアトラシアン クラウド内のメール アドレスを更新します。
SAML-SSO を設定するには、「ID プロバイダーを使用して SAML シングル サインオンを設定する」のガイドに従ってください。
ユーザー プロビジョニングを設定するには、「ユーザー プロビジョニングについて 」のガイドに従ってください。
プロビジョニングによって ID プロバイダーにリンクされた管理対象アカウントは、アトラシアン側で編集できないようにロックされます。Atlassian アカウントのメール アドレスは、ID プロバイダーを介してのみ更新できます。
前提条件
ソースとターゲットのメール アドレスのドメインは、同じ Atlassian Cloud 組織内で申請されている必要があります。
ターゲットのメール アドレスを保持している可能性のある Atlassian アカウントをクリーンアップします。
利用するターゲット メール アドレスのリストを生成します (つまり、ID プロバイダーから取得)
https://admin.atlassian.com で [管理コンソール] に移動します。
組織の管理対象アカウントの管理画面を開きます。
アカウントをエクスポートします。
ターゲットメール アドレスをすでに使用している Atlassian アカウントがあるかどうかを確認します。管理対象アカウントのエクスポートを、ID プロバイダーのターゲット メール アドレス リストと比較します。
ターゲットのメール アドレスが別の Atlassian アカウントですでに使用されている場合は、競合アカウントのメール アドレスを別のものに変更します (つまりtargetemail_FREE@domain.com )。
管理対象アカウント管理者インターフェイスまたは組織メール アドレスの設定 API を使用してメール アドレスをアップデートします。変更の完了後に、これらのアカウントを非アクティブ化/削除できます。
切り替え中は、新たに競合アカウントが生成されないように、Atlassian Cloud 内のどこでもターゲットのメール アドレスを使用しないようにエンド ユーザーに伝えてください。
2 つの Atlassian アカウントを 1 つにマージすることはできません。競合アカウントに製品アクセスがある場合は、ID-240 をチェックして、競合アカウントからエンド ユーザーのメイン Atlassian アカウントにデータを移動する場合の提案事項を確認してください。
アカウント #1: 古いメール アドレスにリンクされています。
アカウント #2: ターゲットのメール アドレスを使用しており、Jira と Confluence にアクセスできる競合アカウントです。
代わりに競合アカウントを残しておく場合は、次のようにしてください。
アカウント #2 は一切変更しません。
IDP 側で切り替えが完了すると、ID が一致すれば、SSO (シングル サインオン) (シングル サインオン) が競合アカウントにリンクできるようになります (後述のシナリオ 2 を参照)。
アカウント #2 がプロビジョニングによってリンクされた場合 (ロック)、ユーザー プロビジョニングのためにアカウントの再リンクが必要になることがあります。状況を詳しく分析するために、アトラシアン サポートに連絡してください。
ソリューション
シナリオ 1: SAML-SSO とユーザー プロビジョニングの両方が組織で有効になっていない
管理対象アカウントの管理画面から Atlassian アカウント メール アドレスをアップデートするか、組織メール アドレスの設定 API を使用してメール アドレスを一括変更します。
管理対象アカウントをエクスポートして、API 経由で更新できる Atlassian アカウント ID を確認します。
ソーシャル ログイン (つまり Microsoft や Google) を使用している場合は、アカウントのメール アドレスがそれらのプロバイダーで更新されていることを確認してください。プロバイダー側で変更が行われない場合は、エンド ユーザーが Atlassian Cloud に次回ソーシャル ログインしたときに、アトラシアン側で行われたメール アドレスの変更が元に戻ります。
シナリオ 2: SAML-SSO は組織で有効になっているが、ユーザー プロビジョニングは有効になっていない
ジャスト イン タイム (JIT) プロビジョニングにより、ユーザーが SAML SSO を介して初めてログインしたときに、ユーザー アカウントが作成されます。詳細については「SAML によるジャストインタイム プロビジョニング」をご参照ください。
メール アドレスの変更は、ユーザーが Atlassian Cloud に次回ログインしたときに、ID プロバイダーのアカウントから Atlassian アカウントに反映されます。ただし、強制 SSO を介してログインしていることが前提条件となります。ただし、組織のアイドル セッションの期間によっては、エンド ユーザーがすぐに Atlassian Cloud に再ログインするよう求められない場合があります。
ステップ 1: SAML-SSO 経由でログインするときに、Atlassian アカウントのメール アドレスとして使用される IdP 属性を特定します。
アイデンティティ プロバイダー | 属性 |
|---|---|
Azure AD | IdP において Atlassian Cloud SCIM/SAML アプリのシングル サインオン設定で設定された一意のユーザー ID にマッピングされた IdP 属性 |
Okta | Atlassian Cloud アプリのシングル サインオン設定で設定されたアプリ ユーザー名形式にマッピングされた IdP 属性 |
その他 | SAML レスポンスの NameID 属性にマッピングされた IdP 属性
|
ステップ 2: ステップ 1 で特定した IdP 属性をターゲットのメール アドレスに更新します。エンド ユーザーが Atlassian Cloud に次回ログインしたときに、新しいメール アドレスが既存の Atlassian アカウントに反映されます。
ターゲットのメール アドレスを持つ重複した管理対象アカウントがある場合は、SSO によって再リンクされ、エンド ユーザーは重複アカウントにログインすることになります。
ステップ 3: すべての管理対象アカウントがすぐに Atlassian Cloud に再ログインすることを保証できないため、それぞれのメール アドレスをターゲットのメール アドレスに更新するのが最善です。上記のシナリオ 1 に従ってください。
JIT メール アドレス更新は、ユーザーが以前に SAML 経由でログインした場合にのみ機能することに注意してください。ユーザーが以前に SAML 経由でログインしたかどうか不明な場合は、上記のシナリオ 1 に従ってください。
シナリオ 3: SAML-SSO とユーザー プロビジョニングの両方が組織で有効になっている
ステップ 1: SAML-SSO 経由でログインするときに、Atlassian アカウントのメール アドレスとして使用される IdP 属性を特定します。上記のシナリオ 2 を参照してください。
ステップ 2: アカウントを同期するときに、Atlassian アカウントのメール アドレスとして使用される IdP 属性を特定します。
アイデンティティ プロバイダー | 属性 |
|---|---|
Azure AD | Atlassian Cloud アプリのプロビジョニング設定の emails[type eq “work”].value にマッピングされたメール IdP 属性 |
Okta | Atlassian Cloud アプリのプロビジョニング設定のプライマリ メールにマッピングされたプライマリ メール IdP 属性 |
その他 | プロビジョニング アプリの emails[type eq "work"].value にマッピングされた IDP 属性。 |
ステップ 3: ステップ 1 およびステップ 2 で特定した IdP 属性について、ターゲットのメール アドレスを使用するように更新します。プロビジョニングを通じて、リンクされた Atlassian アカウントに変更が自動的に同期されます。
SSO またはユーザー プロビジョニングの属性の更新を忘れると、エンド ユーザーの Atlassian アカウントが古いメール アドレスと新しいメール アドレスを切り替えてしまう可能性があります。
ステップ 4: プロビジョニングされていない管理対象アカウントについて、上記のシナリオ 1 に従ってメール アドレスを更新します。
シナリオ 4: Google Workspace の統合が有効になっている (SAML-SSO でも SCIM ユーザー プロビジョニングでもない)
Google との統合には次の 2 つのタイプがあります。
Google Workspace は、組織と Google が直接統合したものです。SSO とユーザー プロビジョニングがサポートされており、ドメインは自動的に申請されます。
Google ID プロバイダーは、SAML-SSO と SCIM ユーザー プロビジョニングを利用した統合であり、ドメインは手動で申請します。これが設定されている場合は、上記のシナリオ 2 および 3 に従ってください。
ステップ 1: Google のプライマリ メール アドレス属性を更新します。これは、リンクされた (ロックされた管理対象アカウント) Atlassian アカウントに反映されるはずです。
ステップ 2: プロビジョニングされていない管理対象アカウントについて、上記のシナリオ 1 に従ってメール アドレスを更新します。
この内容はお役に立ちましたか?