Google Cloud を使用したユーザー プロビジョニング構成

現在、ユーザー プロビジョニングは、ID プロバイダーを管理している場所と同じ場所にあります。これを見つけるには、[セキュリティ] > [ID プロバイダー] の順に移動します。ID プロバイダーの詳細についてご確認ください

ユーザー プロビジョニングでは、ご利用のアトラシアン組織に外部ユーザーのディレクトリを統合できます。このページでは、ID プロバイダーとして Google Cloud を使用している際にユーザー プロビジョニングを構成する方法について説明します。ユーザー プロビジョニングでサポートされる操作については「ユーザー プロビジョニングについて」をご参照ください。

ユーザー プロビジョニングの構成を完了したら、ユーザー属性やグループ メンバーシップの管理はアイデンティティ プロバイダーから行います。

プロビジョニングはすべての Atlassian アカウントで利用できます。つまり、アイデンティティ プロバイダからアカウントを作成、更新、および無効化できます。グループ同期は現在、Jira 製品と Confluence でのみ利用でき、Bitbucket と Trello では利用できません。

はじめる前に

ご利用のサイトおよび製品に外部ユーザーをプロビジョニングする前に行う必要があることは次のとおりです。

組織から Atlassian Access をサブスクライブします。「Atlassian Access を使用したセキュリティ」を参照してください

自身が Atlassian 組織の管理者であることを確認します。「組織の管理」の詳細についてご確認ください

組織内で 1 つ以上のドメインを検証します。「ドメイン検証」の詳細についてご確認ください

組織に ID プロバイダー ディレクトリを追加します。ID プロバイダーを追加する方法をご確認ください

認証済みドメインを ID プロバイダー ディレクトリにリンクします。ドメインをリンクする方法の詳細についてご確認ください

同期済みのユーザーのアクセスを許可する Jira または Confluence サイトのうちの 1 つ以上で管理者であることを確認します。

テスト アカウントを設定する

最初に、Google Cloud でテスト アカウントとテスト グループを使用してセットアップ手順を試してみることをお勧めします (例: atlassian-test-jira-users、atlassian-test-confluence-users)。

テスト アカウントを使用して開始することで、Atlassian アプリからユーザーの割り当てが意図せず解除された場合に、利用の中断を回避することができます。アプリでユーザーの割り当てを解除し、アカウントを無効にすると、アトラシアン製品へのアクセス権も失われます。

SCIM プロビジョニングによって Google Cloud を接続する

  1. admin.atlassian.com に移動します。複数の組織がある場合は、組織を選択します。

  2. [セキュリティ] > [ID プロバイダー] の順に選択します。

  3. Google Cloud の ID プロバイダー ディレクトリを選択します

  4. [ユーザー プロビジョニングをセットアップする] を選択します。

  5. [SCIM ベース URL] と [API キー] の値をコピーします。

  6. SCIM 設定を保存します。

SCIM ベース URL と API キーの値は、今後表示されないため、必ず保存してください。

組織にサイトを追加したことを確認する

ユーザーは組織内のサイトや製品に同期されます。ユーザーを組織にプロビジョニングする際には、ユーザーに製品へのアクセス権を付与する必要があります。これは、製品のサイトを追加した後に行うことができます。

  1. admin.atlassian.com に移動します。複数の組織がある場合は、組織を選択します。

  2. [製品] > [製品] の順に選択します。

  3. [Add product (製品の追加)] を選択します。

  4. 追加する製品を選択します

  5. [サイト名] (例: example.atlassian.net) を入力します

Google Cloud Admin で SCIM API 連携を有効化する

この手順の一部として、コピーした SCIM ベース URL と API キーが必要です。

  1. Google Cloud Admin にログインして、SAML アプリで Atlassian Cloud アプリを追加します。

スクリーンショット: SAML アプリで SSO を有効にするページ

現在、Google Cloud のユーザー プロビジョニングのセットアップでは、最初に SAML セットアップを完了する必要があります。Google Cloud のドキュメントをご参照ください。

2. [ユーザー プロビジョニングをセットアップする] を選択します。

スクリーンショット: ユーザー プロビジョニングの設定ページ

3. Atlassian 組織で作成した API キーSCIM ベース URL を入力します。

スクリーンショット: Atlassian アカウントからアクセス トークンの入力を求める認証画面
スクリーンショット: Atlassian Cloud エンドポイント URL を表示する画面

4. 必要に応じて属性マッピングを設定します。Google の初期設定は Atlassian アプリですぐに使用できるように設計されていますが、ここでは組織のニーズに合わせて追加の変更を加えられます。

5. 同期するユーザーがいる Google のグループを選択します。

6. [有効化] を選択します。

スクリーンショット: プロビジョニングを有効化する画面

 

Google Cloud Admin で SCIM と SAML のメールを確認する

ユーザー プロビジョニングではメール アドレスを使用して Atassian アプリのユーザーを特定し、新しい Atlassian アカウントを作成するか、既存の Atlassian アカウントにリンクします。したがって、ユーザーのメール アドレス属性が Google Cloud アプリの SAML SSO 設定と SCIM のユーザー プロビジョニング設定とで異なる場合、Atlassian アカウントが複製されてしまう可能性があります。

アカウントの複製を防ぐために、ユーザー アカウントのマッピングに使用するメール アドレス属性が、SAML SSO と SCIM ユーザー プロビジョニングで同じであることを確認します。

  1. Google Cloud Admin の [SAML アプリ] タブにある Atlassian アプリから [プライマリ メール] 属性にマッピングされているフィールドを確認します。初期設定では、スクリーンショットのようにメールとなります

スクリーンショット: 利用可能なユーザー プロファイル フィールドにサービス プロバイダーの属性をマッピングできる属性マッピング
スクリーンショット: サービス プロバイダーの詳細

プロビジョニングされたユーザーの製品アクセスをセットアップする

プロビジョニングされたユーザーに製品アクセスを付与するには、既存のグループの製品アクセスをセットアップする必要があります。

  1. 前のステップで追加したサイト (example.atlassian.net) で [製品アクセス] に移動して、グループを追加する製品を見つけます。

  2. [グループを追加] を選択して、すべての SCIM 同期ユーザーを含む自動生成グループの名前を選択または入力します。

  3. [グループを追加] を選択して、グループに製品アクセス権を付与します。

    製品アクセス設定の更新に関する詳細についてご確認ください

その他のヘルプ