Okta を使用してユーザープロビジョニングを構成する

You can now find user provisioning in the same place you manage your identity provider. To find it, go to Security > Identity providers. Learn more about identity providers

Who can do this?
Role: Organization admin
Plan: Atlassian Guard Standard

ユーザープロビジョニングでは、ご利用のアトラシアン組織に外部ユーザーのディレクトリを統合できます。このページでは、ID プロバイダーとして Okta を使用している際にユーザープロビジョニングを構成する方法について説明します。ユーザープロビジョニングで実現できる処理の詳細については、「ユーザープロビジョニングの機能」をご参照ください。

ユーザープロビジョニングの構成を完了したら、ユーザー属性やグループメンバーシップの管理はアイデンティティプロバイダーから行います。

プロビジョニングはすべての Atlassian アカウントでご利用になれます。つまり、ID プロバイダーからアカウントを作成、更新、無効化できます。現在、グループ同期は Jira 製品インスタンスと Confluence でのみ利用でき、Bitbucket と Trello では利用できません。

はじめる前に

ご利用のサイトおよび製品に外部ユーザーをプロビジョニングする前に行う必要があることは次のとおりです。

組織から Atlassian Guard Standard に登録します。Atlassian Guard について

Okta アカウントでユーザープロビジョニング機能を有効化します。詳細については「Lifecycle Management」をご確認ください。

ご自身が Atlassian 組織の管理者であることを確認します。

Verify one or more of your domains in your organization. Learn about Domain verification

Add an identity provider directory to your organization. Learn how to add an identity provider

認証済みドメインを ID プロバイダーディレクトリにリンクします。ドメインをリンクする方法の詳細についてご確認ください

同期済みのユーザーのアクセスを許可する Jira または Confluence サイトのうちの 1 つ以上で管理者であることを確認します。

テストアカウントを設定する

最初に、Okta で次のようなテストアカウントとテストグループを使用してセットアップ手順を試してみることをお勧めします。例: atlassian-test-jira-users、atlassian-test-confluence-users

テストアカウントを使用して開始することで、Atlassian アプリからユーザーの割り当てが意図せず解除された場合に、利用の中断を回避することができます。アプリでユーザーの割り当てを解除し、アカウントを無効化すると、アトラシアン製品へのアクセス権も失われます。

SCIM プロビジョニングによって Okta を接続する

ユーザープロビジョニングをセットアップしたら、[SCIM ベース URL] と [API キー] の値を必ず保存してください。これらは今後表示されなくなります。

admin.atlassian.com に移動します。複数の組織がある場合は、対象の組織を選択します。
[セキュリティ] > [ID プロバイダー] の順に選択します。
ID プロバイダーディレクトリを選択します。
[ユーザープロビジョニングをセットアップする] を選択します。
[SCIM ベース URL] と [API キー] の値をコピーします。 Okta を設定する際にこれらが必要になります。
SCIM 設定を保存します。
View API key expiration date.

2025 年 1 月上旬に、SCIM API キーは次の場合に 1 年で有効期限が切れるように自動的に設定されるようになります。

これは既存の SCIM API キーには影響しません。

ユーザーとグループが組織の Jira サイトと Confluence サイトに自動でプロビジョニングされます。ユーザーとグループを組織と同期する方法の詳細については「ユーザープロビジョニング」ページをご覧ください。

Okta で SCIM API 連携を有効化する

この手順の一部として、コピーした SCIM ベース URL と API キーが必要です。

Okta にログインして Atlassian Cloud アプリケーションを追加します。
アプリで [プロビジョニング] タブ > [Configure API integration (API 統合を設定)] の順にクリックします。

Okta UI に、[Atlassian: 設定ガイド] という情報ボックスと [Configure API Integration (API 統合を設定)] ボタンが表示されています。

3. [Enable API integration (API 統合を有効化)] を選択します。

Okta UI。未選択の [API 統合を有効化] チェックボックスと [保存] ボタンが表示されています。

4. Atlassian 組織で作成した SCIM ベース URL と API キーを入力します。

[API 統合を有効化] チェックボックスがオンになっています。ディレクトリベース URL と API キーを入力するボックスがあります。

5. [Test API Credentials (API 資格情報をテスト)] を選択します。テストに合格したら [保存] を選択します。

6. [設定] から [To App (アプリへ)] をクリックします。

7. [編集] を選択して、必要なオプションに対して [有効化] を選択します。

このステップは、ユーザー属性のマッピングを行う場合に使用します。それ以外の場合は既定設定のままにします。アトラシアンがサポートしている処理の詳細については「ユーザープロビジョニングの機能」をご参照ください。

Okta をアプリにプロビジョニングする画面で、キャンセルするオプションもあります。ユーザーの作成、ユーザー属性の更新、ユーザーの非アクティブ化を有効/無効にします。

8. [保存] を選択して統合設定を適用します。

Okta でメールアドレスを検証する

ユーザープロビジョニングではメールアドレスを使用してアトラシアンアプリのユーザーを特定し、新しい Atlassian アカウントを作成するか、既存の Atlassian アカウントにリンクします。したがって、ユーザーのメールアドレス属性が SAML SSO 設定と Okta アプリの SCIM のユーザープロビジョニング設定とで異なる場合、Atlassian アカウントが複製されてしまう可能性があります。

アカウントの複製を防ぐために、ユーザーアカウントのマッピングに使用するメールアドレス属性が、SAML SSO と SCIM ユーザープロビジョニングで同じであることを確認します。

From the User provisioning tab in Okta, note the field that maps to the Primary email attribute. The default is email, as shown in the screenshot.

属性のテーブルで、プライマリメールエントリである [email] を指す矢印が表示されています。

2. [サインオン] タブを選択します。[Credentials details (資格情報の詳細)] セクションで [アプリケーションユーザー名の形式] 設定を見つけます。Okta では、Atlassian アカウントを作成またはリンクする際に、ユーザーアカウントのこのフィールドが SSO メールアドレスとして渡されます。

If Application username format specifies to pass an old value (e.g. the email address of user1@example.com for the specified attribute is old and you have another attribute that stores the current user email address of user1+new@example.com), here's what you can do:

管理者がこのステップを完了する前に、ユーザーに Atlassian アカウントにログインするように依頼します。
引き続きアカウントが複製する場合、ユーザーのメールアドレスをアトラシアンサポートにお知らせください。

3. [アプリケーションユーザー名の形式] フォーマットが、前のステップで Primary email として指定した属性と同じであることを確認します。

4. [Update application username on (次のアプリのユーザー名を更新)] が [Create and update (作成して更新)] に設定されていることを確認します。[保存] を選択して変更を適用します。

5. [今すぐ更新] を選択して、Okta の自動更新を待たずに変更をプッシュします。

組織にグループをプッシュする

グループ同期機能を使い、ディレクトリを使用してユーザー権限やライセンスを自動的に管理することをおすすめします。これは、ユーザー権限およびライセンスの管理を組織から手動で行うことよりも推奨されます。このセクションでは、グループベースの管理を構成する方法について説明します。

グループをプッシュしてもユーザーは同期されません。グループが Atlassian 組織にプッシュされるだけです。

Okta で [Push Groups (グループをプッシュ)] タブ > [By Name (名前別)] の順にクリックします。グループ名を選択して (例: atlassian-test-jira-users または atlassian-test-confluence-users) [保存] をクリックします。

グループを Atlassian Cloud SCIM にプッシュする画面。トップメニューには [Push Groups (グループをプッシュ)]、サイドメニューには [By name (名前別)] が選択されています。選択するグループ名が表示されています。

上記のスクリーンショットでは、atlassian-confluence-users グループを使用して Confluence への製品アクセスを管理しています。

グループをプッシュしてもユーザーは同期されません。グループが Atlassian 組織にプッシュされるだけです。

2. 必要なグループがすべてプッシュされていることを確認します。

Okta に 2 つのグループと前回のプッシュ日時が表示されています。プッシュステータスは両方とも有効に設定されています。

Okta でユーザーを Atlassian アプリケーションに割り当てる

Okta で、Atlassian アプリケーションの [割り当て] タブをクリックします。

[割り当て] タブの [割り当て] が [グループ] に設定されています。グループのリストは空で、優先度と割り当ての列があります。

2. [割り当て] > [グループ] の順に選択します。割り当てるグループを選択します。この例では、グループは atlassian-confluence-users です。

[割り当て] タブの [Assign to Groups (グループに割り当て)] が選択されています。

Atlassian Cloud SCIM グループリストを割り当てます。すべてのグループに [割り当て] ボタンがあります。下部に [完了] ボタンがあります。

3. You'll see this dialog to set default values. These default values will be used only if the user profile does not have them set. All of these fields are optional and can be left blank. When you are done with this step, click Save and Go Back.

4. Atlassian 組織で、ユーザーが同期されていることを確認します。Okta のログまたは [ID プロバイダー] ページのいずれかで確認できます。

プロビジョニングされたグループおよびユーザーの製品アクセスを構成する

プロビジョニングされたユーザーに製品アクセスを付与するには、既存のグループの製品アクセスをセットアップする必要があります。

前のステップで追加したサイト (example.atlassian.net) で [製品アクセス] に移動して、グループを追加する製品を見つけます。
[グループを追加] を選択して、すべての SCIM 同期ユーザーを含む自動生成グループの名前を選択または入力します。

[グループを追加] を選択して、グループに製品アクセス権を付与します。
製品アクセスの更新に関する詳細についてご確認ください。

この内容はお役に立ちましたか?

正確ではなかった明確ではなかった関係なかった

さらにヘルプが必要ですか?

アトラシアンコミュニティをご利用ください。

コミュニティに質問

Okta を使用してユーザー プロビジョニングを構成する