Recommendations for SCIM provisioning with Atlassian Guard

With an Atlassian Guard Standard (formerly known as Atlassian Access) subscription, you can use SCIM to provision user accounts and sync group memberships from your identity provider. The process to set up SCIM user provisioning, and when this should happen, will depend on the products you’re migrating and the data migration method you plan to use.

始める前に

SCIM ユーザー プロビジョニングを設定する

プロセスは、移行している製品と、使用しているデータ移行方法によって異なります。

Migration Assistant を使用する場合

移行の開始前または開始後に、SCIM ユーザー プロビジョニングを設定して ID プロバイダーからユーザーを同期できます。Jira Cloud Migration Assistant と Confluence Cloud Migration Assistant は、メール アドレスでデータを関連付けます。データ同期中にユーザーとコンテンツの関連付けが中断されないため、移行中も SCIM を有効にしておけます。Migration Assistant は、内部サーバー ディレクトリと外部サーバー ディレクトリの両方からもユーザーを移行します。

ただし、戦略を決めるときは、重複する Atlassian アカウントが作成されるリスクを軽減する必要があります。問題を早期に特定できるように、最初にドメインを確認し、アカウントを申請することをお勧めします。ユーザーの Atlassian アカウントのメール アドレスが、ID プロバイダーのプライマリ メール アドレスと一致しない可能性がある場合は、移行が完了し、ユーザー データが正しくマップされたことを確認し、Atlassian アカウントのメール アドレスに必要な変更を加えた後、最後に SCIM ユーザー プロビジョニングを有効にすることをお勧めします。

SCIM を無効にする

SCIM を無効にする方法は 2 つあります。

  • Atlassian のプロビジョニング ディレクトリを削除します これによって、Atlassian 組織が ID プロバイダー (IdP) プロビジョニングから切断され、すべての Atlassian アカウントがプロビジョニング時と同じ状態のままになり。過去に同期されたグループはすべてローカルとなり、すべてのメンバーシップと製品の関連付けが保持されます。移行後に、ゼロから ID プロバイダーとディレクトリを再設定する必要があります。この方法を推奨します。

  • IdP でのプロビジョニングを停止または無効にします これによって、以前にプロビジョニングされたユーザーは IdP からアクティブに維持されなくなったことを示すシグナルが Atlassian に送信されます。プロビジョニングを一時的に停止または無効にする方法は、IdP のドキュメントをご参照ください。同期が「一時停止」状態になると問題が発生する可能性が高くなるため、ほとんどの場合、ID プロバイダーからの同期を停止し、Atlassian 組織から既存のプロビジョニングディレクトリを削除することをお勧めします。

よくあるご質問

SCIM は既存のクラウド ユーザーとグループに対してどのように機能しますか?

  1. ユーザーが Jira Cloud Migration Assistant または Confluence Cloud Migration Assistant で移行された場合、またはクラウド サイトに同じメール アドレスを持つユーザーが存在する場合、ユーザーの SCIM レコードは既存の Atlassian アカウントにリンクされます。

  2. ユーザーが Jira Cloud Migration Assistant または Confluence Cloud Migration Assistant で移行されなかった場合、またはクラウドに同じメール アドレスを持つユーザーが存在しない場合は、SCIM 同期によってユーザーの Atlassian アカウントが作成されるか、SCIM レコードが既存の Atlassian アカウントにリンクされます。

  3. ID プロバイダー内で管理対象ユーザーが削除された場合、SCIM はユーザーの Atlassian アカウントを非アクティブ化します。つまり、それらのユーザーはどのクラウド製品にもアクセスできなくなります。

  4. ID プロバイダー内でグループが削除された場合、そのグループはクラウド サイトとディレクトリから削除されます。グループが製品へのアクセスや権限を提供するために使用されていた場合、グループ メンバーはアクセスできなくなります。グループを再同期したり、同じ名前で新しいグループを作成したりしても、アクセスは復元しません。

グループの競合に遭遇した場合の対処方法

グループの競合は、Migration Assistant でグループを移行して SCIM を有効にすると発生します。SCIM は、ID プロバイダー (IdP) を介して、異なるユーザー セットを持つ可能性のある同じグループを同期します。

移行中または移行後にグループの競合が発生する可能性があります。同期する際に、IdP と Atlassian 組織間でグループ名が重複している場合、警告が表示されます。これらのグループを同期する前に、グループ メンバーの変更を承認または却下できます。同期前のグループ競合の解消について詳細をご確認ください  

さらにヘルプが必要ですか?

アトラシアン コミュニティをご利用ください。