Okta を使用してユーザー プロビジョニングを構成する
You can find user provisioning in the same place you manage your identity provider. To find it, go to Security > Identity providers. More about identity providers
Who can do this? |
ユーザー プロビジョニングでは、ご利用のアトラシアン組織に外部ユーザーのディレクトリを統合できます。このページでは、ID プロバイダーとして Okta を使用している際にユーザー プロビジョニングを構成する方法について説明します。ユーザー プロビジョニングで実現できる処理の詳細については、「ユーザー プロビジョニングの機能」をご参照ください。
ユーザー プロビジョニングの構成を完了したら、ユーザー属性やグループ メンバーシップの管理はアイデンティティ プロバイダーから行います。
Provisioning is available for all Atlassian accounts, which means that you can create, update, and deactivate accounts from your identity provider. Syncing groups is only currently available for Jira app instances and Confluence and are not yet available for Bitbucket and Trello.
はじめる前に
Here’s what you must do before you can provision external users to your sites andapps:
組織から Atlassian Guard Standard に登録します。Atlassian Guard について
Okta アカウントでユーザー プロビジョニング機能を有効化します。詳細については「Lifecycle Management」をご確認ください。
ご自身が Atlassian 組織の管理者であることを確認します。
組織内で 1 つ以上のドメインを検証します。ドメイン検証についてご確認ください。
組織に ID プロバイダー ディレクトリを追加します。ID プロバイダーを追加する方法をご確認ください。
認証済みドメインを ID プロバイダー ディレクトリにリンクします。ドメインをリンクする方法の詳細についてご確認ください
同期済みのユーザーのアクセスを許可する Jira または Confluence サイトのうちの 1 つ以上で管理者であることを確認します。
テスト アカウントを設定する
最初に、Okta で次のようなテスト アカウントとテスト グループを使用してセットアップ手順を試してみることをお勧めします。例: atlassian-test-jira-users、atlassian-test-confluence-users
Starting with test accounts can help to avoid disruption when someone unintentionally unassigns users from the Atlassian app. When you unassign users from the app, you disable their accounts, which also removes their access to Atlassian apps.
SCIM プロビジョニングによって Okta を接続する
ユーザー プロビジョニングをセットアップしたら、[SCIM ベース URL] と [API キー] の値を必ず保存してください。これらは今後表示されなくなります。
admin.atlassian.com に移動します。 複数の組織がある場合は、対象の組織を選択します。
[セキュリティ] > [ID プロバイダー] の順に選択します。
ID プロバイダー ディレクトリを選択します。
[ユーザー プロビジョニングをセットアップする] を選択します。
[SCIM ベース URL] と [API キー] の値をコピーします。 Okta を設定する際にこれらが必要になります。
SCIM 設定を保存します。
API キーの有効期限を表示します。
2025 年 1 月上旬に、SCIM API キーは次の場合に 1 年で有効期限が切れるように自動的に設定されるようになります。
これは既存の SCIM API キーには影響しません。
ユーザーとグループが組織の Jira サイトと Confluence サイトに自動でプロビジョニングされます。ユーザーとグループを組織と同期する方法の詳細については「ユーザー プロビジョニング」ページをご覧ください。
Okta で SCIM API 連携を有効化する
この手順の一部として、コピーした SCIM ベース URL と API キーが必要です。
Okta にログインして Atlassian Cloud アプリケーションを追加します。
アプリで [プロビジョニング] タブ > [Configure API integration (API 統合を設定)] の順にクリックします。
3. [Enable API integration (API 統合を有効化)] を選択します。
4. Atlassian 組織で作成した SCIM ベース URL と API キーを入力します。
5. [Test API Credentials (API 資格情報をテスト)] を選択します。テストに合格したら [保存] を選択します。
6. [設定] から [To App (アプリへ)] をクリックします。
7. [編集] を選択して、必要なオプションに対して [有効化] を選択します。
このステップは、ユーザー属性のマッピングを行う場合に使用します。それ以外の場合は既定設定のままにします。アトラシアンがサポートしている処理の詳細については「ユーザー プロビジョニングの機能」をご参照ください。
8. [保存] を選択して統合設定を適用します。
Okta でメール アドレスを検証する
ユーザー プロビジョニングではメール アドレスを使用してアトラシアン アプリのユーザーを特定し、新しい Atlassian アカウントを作成するか、既存の Atlassian アカウントにリンクします。したがって、ユーザーのメール アドレス属性が SAML SSO 設定と Okta アプリの SCIM のユーザー プロビジョニング設定とで異なる場合、Atlassian アカウントが複製されてしまう可能性があります。
アカウントの複製を防ぐために、ユーザー アカウントのマッピングに使用するメール アドレス属性が、SAML SSO と SCIM ユーザー プロビジョニングで同じであることを確認します。
Okta の [ユーザー プロビジョニング] タブで [Primary email] 属性にマッピングされているフィールドを記録します。初期設定は、スクリーンショットのように
email
です。
2. [サインオン] タブを選択します。[Credentials details (資格情報の詳細)] セクションで [アプリケーション ユーザー名の形式] 設定を見つけます。Okta では、Atlassian アカウントを作成またはリンクする際に、ユーザー アカウントのこのフィールドが SSO メール アドレスとして渡されます。
[アプリのユーザー名] が渡すデータが古い値である場合は (例: user1@example.com
の対象属性のメール アドレスが古く、最新のメール アドレスである user1+new@example.com
を格納する別の属性がある)、次の操作を行えます。
管理者がこのステップを完了する前に、ユーザーに Atlassian アカウントにログインするように依頼します。
引き続きアカウントが複製する場合、ユーザーのメール アドレスをアトラシアン サポートにお知らせください。
3. [アプリケーション ユーザー名の形式] フォーマットが、前のステップで Primary email として指定した属性と同じであることを確認します。
4. [Update application username on (次のアプリのユーザー名を更新)] が [Create and update (作成して更新)] に設定されていることを確認します。[保存] を選択して変更を適用します。
5. [今すぐ更新] を選択して、Okta の自動更新を待たずに変更をプッシュします。
組織にグループをプッシュする
グループ同期機能を使い、ディレクトリを使用してユーザー権限やライセンスを自動的に管理することをおすすめします。これは、ユーザー権限およびライセンスの管理を組織から手動で行うことよりも推奨されます。このセクションでは、グループベースの管理を構成する方法について説明します。
グループをプッシュしてもユーザーは同期されません。グループが Atlassian 組織にプッシュされるだけです。
Okta で [Push Groups (グループをプッシュ)] タブ > [By Name (名前別)] の順にクリックします。グループ名を選択して (例: atlassian-test-jira-users または atlassian-test-confluence-users) [保存] をクリックします。
In the screenshot above, we use the atlassian-confluence-users group to manage app access to Confluence.
グループをプッシュしてもユーザーは同期されません。グループが Atlassian 組織にプッシュされるだけです。
2. 必要なグループがすべてプッシュされていることを確認します。
Okta でユーザーを Atlassian アプリケーションに割り当てる
Okta で、Atlassian アプリケーションの [割り当て] タブをクリックします。
2. [割り当て] > [グループ] の順に選択します。割り当てるグループを選択します。この例では、グループは atlassian-confluence-users です。
3. このダイアログで既定値を設定します。これらの既定値は、ユーザー プロファイルに既定値が設定されていない場合にのみ使用されます。これらのフィールドの入力はすべて任意であり、空欄のままにしておけます。このステップが完了したら [保存して戻る] をクリックします。
4. Atlassian 組織で、ユーザーが同期されていることを確認します。Okta のログまたは [ID プロバイダー] ページのいずれかで確認できます。
Configure app access for the provisioned groups and users
To grant app access to provisioned users, you need to set up app access for existing groups.
From the site (example.atlassian.net) you added, go to App access and find the app you’d like to add the group to.apps
[グループを追加] を選択して、すべての SCIM 同期ユーザーを含む自動生成グループの名前を選択または入力します。
Select Add groups to give the group app access.
Learn more about updating app access.
この内容はお役に立ちましたか?