Okta を使用してユーザー プロビジョニングを構成する
You can find user provisioning in the same place you manage your identity provider. To find it, go to Security > Identity providers. More about identity providers
Who can do this? |
User provisioning integrates an external user directory with your Atlassian organization. This page describes how to configure user provisioning when Okta is your identity provider. For the operations that user provisioning supports, see User provisioning features for more details.
ユーザー プロビジョニングの構成を完了したら、ユーザー属性やグループ メンバーシップの管理はアイデンティティ プロバイダーから行います。
Provisioning is available for all Atlassian accounts, which means that you can create, update, and deactivate accounts from your identity provider. Syncing groups is only currently available for Jira app instances and Confluence and are not yet available for Bitbucket and Trello.
はじめる前に
Here’s what you must do before you can provision external users to your sites andapps:
組織から Atlassian Guard Standard に登録します。Atlassian Guard について
Get the user provisioning functionality for your Okta account. See Lifecycle Management for more details.
ご自身が Atlassian 組織の管理者であることを確認します。
Verify one or more of your domains in your organization. Learn about Domain verification
Add an identity provider directory to your organization. Learn how to add an identity provider
Link verified domains to your identity provider directory. Learn how to link domains
同期済みのユーザーのアクセスを許可する Jira または Confluence サイトのうちの 1 つ以上で管理者であることを確認します。
For an Enterprise plan or Atlassian Government subscription, make sure that the number of users you need to provision doesn't exceed your user tier.
テスト アカウントを設定する
最初に、Okta で次のようなテスト アカウントとテスト グループを使用してセットアップ手順を試してみることをお勧めします。例: atlassian-test-jira-users、atlassian-test-confluence-users
Starting with test accounts can help to avoid disruption when someone unintentionally unassigns users from the Atlassian app. When you unassign users from the app, you disable their accounts, which also removes their access to Atlassian apps.
SCIM プロビジョニングによって Okta を接続する
ユーザー プロビジョニングをセットアップしたら、[SCIM ベース URL] と [API キー] の値を必ず保存してください。これらは今後表示されなくなります。
Go to admin.atlassian.com. Select your organization if you have more than one.
[セキュリティ] > [ID プロバイダー] の順に選択します。
ID プロバイダー ディレクトリを選択します。
[ユーザー プロビジョニングをセットアップする] を選択します。
[SCIM ベース URL] と [API キー] の値をコピーします。 Okta を設定する際にこれらが必要になります。
SCIM 設定を保存します。
View API key expiration date.
2025 年 1 月上旬に、SCIM API キーは次の場合に 1 年で有効期限が切れるように自動的に設定されるようになります。
これは既存の SCIM API キーには影響しません。
We automatically provision users and groups to Jira and Confluence sites in your organization. See the user provisioning page for more details on how your users and groups sync to your organization.
Okta で SCIM API 連携を有効化する
この手順の一部として、コピーした SCIM ベース URL と API キーが必要です。
Okta にログインして Atlassian Cloud アプリケーションを追加します。
アプリで [プロビジョニング] タブ > [Configure API integration (API 統合を設定)] の順にクリックします。
3. [Enable API integration (API 統合を有効化)] を選択します。
4. Atlassian 組織で作成した SCIM ベース URL と API キーを入力します。
5. [Test API Credentials (API 資格情報をテスト)] を選択します。テストに合格したら [保存] を選択します。
6. [設定] から [To App (アプリへ)] をクリックします。
7. [編集] を選択して、必要なオプションに対して [有効化] を選択します。
Use this step to map user attributes or leave them with default settings. For the operations that Atlassian supports, see User provisioning features for more details.
8. [保存] を選択して統合設定を適用します。
Okta でメール アドレスを検証する
ユーザー プロビジョニングではメール アドレスを使用してアトラシアン アプリのユーザーを特定し、新しい Atlassian アカウントを作成するか、既存の Atlassian アカウントにリンクします。したがって、ユーザーのメール アドレス属性が SAML SSO 設定と Okta アプリの SCIM のユーザー プロビジョニング設定とで異なる場合、Atlassian アカウントが複製されてしまう可能性があります。
アカウントの複製を防ぐために、ユーザー アカウントのマッピングに使用するメール アドレス属性が、SAML SSO と SCIM ユーザー プロビジョニングで同じであることを確認します。
Okta の [ユーザー プロビジョニング] タブで [Primary email] 属性にマッピングされているフィールドを記録します。初期設定は、スクリーンショットのように
emailです。
2. [サインオン] タブを選択します。[Credentials details (資格情報の詳細)] セクションで [アプリケーション ユーザー名の形式] 設定を見つけます。Okta では、Atlassian アカウントを作成またはリンクする際に、ユーザー アカウントのこのフィールドが SSO メール アドレスとして渡されます。
[アプリのユーザー名] が渡すデータが古い値である場合は (例: user1@example.com の対象属性のメール アドレスが古く、最新のメール アドレスである user1+new@example.com を格納する別の属性がある)、次の操作を行えます。
管理者がこのステップを完了する前に、ユーザーに Atlassian アカウントにログインするように依頼します。
引き続きアカウントが複製する場合、ユーザーのメール アドレスをアトラシアン サポートにお知らせください。
3. [アプリケーション ユーザー名の形式] フォーマットが、前のステップで Primary email として指定した属性と同じであることを確認します。
4. [Update application username on (次のアプリのユーザー名を更新)] が [Create and update (作成して更新)] に設定されていることを確認します。[保存] を選択して変更を適用します。
5. [今すぐ更新] を選択して、Okta の自動更新を待たずに変更をプッシュします。
組織にグループをプッシュする
グループ同期機能を使い、ディレクトリを使用してユーザー権限やライセンスを自動的に管理することをおすすめします。これは、ユーザー権限およびライセンスの管理を組織から手動で行うことよりも推奨されます。このセクションでは、グループベースの管理を構成する方法について説明します。
グループをプッシュしてもユーザーは同期されません。グループが Atlassian 組織にプッシュされるだけです。
Okta で [Push Groups (グループをプッシュ)] タブ > [By Name (名前別)] の順にクリックします。グループ名を選択して (例: atlassian-test-jira-users または atlassian-test-confluence-users) [保存] をクリックします。
In the screenshot above, we use the atlassian-confluence-users group to manage app access to Confluence.
グループをプッシュしてもユーザーは同期されません。グループが Atlassian 組織にプッシュされるだけです。
2. 必要なグループがすべてプッシュされていることを確認します。
Okta でユーザーを Atlassian アプリケーションに割り当てる
Okta で、Atlassian アプリケーションの [割り当て] タブをクリックします。
2. [割り当て] > [グループ] の順に選択します。割り当てるグループを選択します。この例では、グループは atlassian-confluence-users です。
3. このダイアログで既定値を設定します。これらの既定値は、ユーザー プロファイルに既定値が設定されていない場合にのみ使用されます。これらのフィールドの入力はすべて任意であり、空欄のままにしておけます。このステップが完了したら [保存して戻る] をクリックします。
4. Atlassian 組織で、ユーザーが同期されていることを確認します。Okta のログまたは [ID プロバイダー] ページのいずれかで確認できます。
Configure app access for the provisioned groups and users
To grant app access to provisioned users, you need to set up app access for existing groups.
From the site (example.atlassian.net) you added, go to App access and find the app you’d like to add the group to.apps
[グループを追加] を選択して、すべての SCIM 同期ユーザーを含む自動生成グループの名前を選択または入力します。
Select Add groups to give the group app access.
Learn more about updating app access.
この内容はお役に立ちましたか?