Okta を使用してユーザー プロビジョニングを構成する

現在、ユーザー プロビジョニングは、ID プロバイダーを管理している場所と同じ場所にあります。これを見つけるには、[セキュリティ] > [ID プロバイダー] の順に移動します。ID プロバイダーの詳細についてご確認ください

誰がこれを実行できますか?
ロール: 組織管理者
プラン: Atlassian Guard Standard

ユーザー プロビジョニングを構成することで、ご利用の Atlassian 組織に外部のユーザー ディレクトリを連携できます。このページでは、アイデンティティ プロバイダーとして Okta を使用しているときにユーザー プロビジョニングを構成する方法について紹介します。ユーザー プロビジョニングで実現できる処理の詳細については、「ユーザー プロビジョニングの機能」をご参照ください。

ユーザー プロビジョニングの構成を完了したら、ユーザー属性やグループ メンバーシップの管理はアイデンティティ プロバイダーから行います。

プロビジョニングはすべての Atlassian アカウントでご利用になれます。つまり、ID プロバイダーからアカウントを作成、更新、無効化できます。現在、グループ同期は Jira 製品インスタンスと Confluence でのみ利用でき、Bitbucket と Trello では利用できません。

はじめる前に

ご利用のサイトおよび製品に外部ユーザーをプロビジョニングする前に行う必要があることは次のとおりです。

組織から Atlassian Guard Standard に登録します。Atlassian Guard について

Okta アカウントでユーザー プロビジョニング機能を有効化します。詳細については「Lifecycle Management」をご確認ください。

ご自身が Atlassian 組織の管理者であることを確認します。

組織内で 1 つ以上のドメインを検証します。「ドメイン検証」の詳細についてご確認ください

組織に ID プロバイダー ディレクトリを追加します。ID プロバイダーを追加する方法をご確認ください

認証済みドメインを ID プロバイダー ディレクトリにリンクします。ドメインをリンクする方法の詳細についてご確認ください

同期済みのユーザーのアクセスを許可する Jira または Confluence サイトのうちの 1 つ以上で管理者であることを確認します。

テスト アカウントを設定する

最初に、Okta で次のようなテスト アカウントとテスト グループを使用してセットアップ手順を試してみることをお勧めします。例: atlassian-test-jira-users、atlassian-test-confluence-users

テスト アカウントを使用して開始することで、Atlassian アプリからユーザーの割り当てが意図せず解除された場合に、利用の中断を回避することができます。アプリでユーザーの割り当てを解除し、アカウントを無効化すると、アトラシアン製品へのアクセス権も失われます。

SCIM プロビジョニングによって Okta を接続する

  1. admin.atlassian.com に移動します。複数の組織がある場合は、組織を選択します。

  2. [セキュリティ] > [ID プロバイダー] の順に選択します。

  3. ID プロバイダー ディレクトリを選択します。

  4. [ユーザー プロビジョニングをセットアップする] を選択します。

  5. [SCIM ベース URL] と [API キー] の値をコピーします。Okta を設定する際にこれらが必要になります。 

  6. SCIM 設定を保存します。

これらの値は再表示されないため、必ず安全な場所に保存してください。

ユーザーとグループが組織の Jira サイトと Confluence サイトに自動でプロビジョニングされます。ユーザーとグループを組織と同期する方法の詳細については「ユーザー プロビジョニング」ページをご覧ください。

Okta で SCIM API 連携を有効化する

この手順の一部として、コピーした SCIM ベース URL と API キーが必要です。

  1. Okta にログインして Atlassian Cloud アプリケーションを追加します。

  2. アプリで [プロビジョニング] タブ > [Configure API integration (API 統合を設定)] の順にクリックします。

Okta UI に、[Atlassian: 設定ガイド] という情報ボックスと [Configure API Integration (API 統合を設定)] ボタンが表示されています。

3. [Enable API integration (API 統合を有効化)] を選択します。

Okta UI。未選択の [API 統合を有効化] チェックボックスと [保存] ボタンが表示されています。

4. Atlassian 組織で作成した SCIM ベース URLAPI キーを入力します。

[API 統合を有効化] チェックボックスがオンになっています。ディレクトリ ベース URL と API キーを入力するボックスがあります。

5. [Test API Credentials (API 資格情報をテスト)] を選択します。テストに合格したら [保存] を選択します。

6. [設定] から [To App (アプリへ)] をクリックします。

7. [編集] を選択して、必要なオプションに対して [有効化] を選択します。

このステップは、ユーザー属性のマッピングを行う場合に使用します。それ以外の場合は既定設定のままにします。アトラシアンがサポートしている処理の詳細については「ユーザー プロビジョニングの機能」をご参照ください。

Okta をアプリにプロビジョニングする画面で、キャンセルするオプションもあります。ユーザーの作成、ユーザー属性の更新、ユーザーの非アクティブ化を有効/無効にします。

8. [保存] を選択して統合設定を適用します。

Okta でメール アドレスを検証する

ユーザー プロビジョニングではメール アドレスを使用してアトラシアン アプリのユーザーを特定し、新しい Atlassian アカウントを作成するか、既存の Atlassian アカウントにリンクします。したがって、ユーザーのメール アドレス属性が SAML SSO 設定と Okta アプリの SCIM のユーザー プロビジョニング設定とで異なる場合、Atlassian アカウントが複製されてしまう可能性があります。

アカウントの複製を防ぐために、ユーザー アカウントのマッピングに使用するメール アドレス属性が、SAML SSO と SCIM ユーザー プロビジョニングで同じであることを確認します。

  1. Okta の [ユーザー プロビジョニング] タブで [Primary email] 属性にマッピングされているフィールドを記録します。初期設定は、スクリーンショットのように email です。

属性のテーブルで、プライマリ メール エントリである [email] を指す矢印が表示されています。

2. [サインオン] タブを選択します。[Credentials details (資格情報の詳細)] セクションで [アプリケーション ユーザー名の形式] 設定を見つけます。Okta では、Atlassian アカウントを作成またはリンクする際に、ユーザー アカウントのこのフィールドが SSO メール アドレスとして渡されます。

[アプリのユーザー名] が渡すデータが古い値である場合は (例: user1@example.com の対象属性のメール アドレスが古く、最新のメール アドレスである user1+new@example.com を格納する別の属性がある)、次の操作を行えます。

  • 管理者がこのステップを完了する前に、ユーザーに Atlassian アカウントにログインするように依頼します。

  • 引き続きアカウントが複製する場合、ユーザーのメール アドレスをアトラシアン サポートにお知らせください。

3. [アプリケーション ユーザー名の形式] フォーマットが、前のステップで Primary email として指定した属性と同じであることを確認します。

メインのメールを選択

4. [Update application username on (次のアプリのユーザー名を更新)] が [Create and update (作成して更新)] に設定されていることを確認します。[保存] を選択して変更を適用します。

5. [今すぐ更新] を選択して、Okta の自動更新を待たずに変更をプッシュします。

組織にグループをプッシュする

グループ同期機能を使い、ディレクトリを使用してユーザー権限やライセンスを自動的に管理することをおすすめします。これは、ユーザー権限およびライセンスの管理を組織から手動で行うことよりも推奨されます。このセクションでは、グループベースの管理を構成する方法について説明します。

グループをプッシュしてもユーザーは同期されません。グループが Atlassian 組織にプッシュされるだけです。

  1. Okta で [Push Groups (グループをプッシュ)] タブ > [By Name (名前別)] の順にクリックします。グループ名を選択して (例: atlassian-test-jira-users または atlassian-test-confluence-users) [保存] をクリックします。

グループを Atlassian Cloud SCIM にプッシュする画面。トップ メニューには [Push Groups (グループをプッシュ)]、サイド メニューには [By name (名前別)] が選択されています。選択するグループ名が表示されています。

上記のスクリーンショットでは、atlassian-confluence-users グループを使用して Confluence への製品アクセスを管理しています。

グループをプッシュしてもユーザーは同期されません。グループが Atlassian 組織にプッシュされるだけです。

2. 必要なグループがすべてプッシュされていることを確認します。

Okta に 2 つのグループと前回のプッシュ日時が表示されています。プッシュ ステータスは両方とも有効に設定されています。

Okta でユーザーを Atlassian アプリケーションに割り当てる

  1. Okta で、Atlassian アプリケーションの [割り当て] タブをクリックします。

[割り当て] タブの [割り当て] が [グループ] に設定されています。グループのリストは空で、優先度と割り当ての列があります。

2. [割り当て] > [グループ] の順に選択します。割り当てるグループを選択します。この例では、グループは atlassian-confluence-users です。

[割り当て] タブの [Assign to Groups (グループに割り当て)] が選択されています。
Atlassian Cloud SCIM グループリストを割り当てます。すべてのグループに [割り当て] ボタンがあります。下部に [完了] ボタンがあります。

3. このダイアログで既定値を設定します。これらの既定値は、ユーザー プロファイルに既定値が設定されていない場合にのみ使用されます。これらのフィールドの入力はすべて任意であり、空欄のままにしておけます。このステップが完了したら [保存して戻る] をクリックします。

 グループ属性は空で、優先言語、タイム ゾーン、組織、部門の値を割り当てられます。

4. Atlassian 組織で、ユーザーが同期されていることを確認します。Okta のログまたは [ID プロバイダー] ページのいずれかで確認できます。

プロビジョニングされたグループおよびユーザーの製品アクセスを構成する

プロビジョニングされたユーザーに製品アクセスを付与するには、既存のグループの製品アクセスをセットアップする必要があります。

  1. 前のステップで追加したサイト (example.atlassian.net) で [製品アクセス] に移動して、グループを追加する製品を見つけます。

  2. [グループを追加] を選択して、すべての SCIM 同期ユーザーを含む自動生成グループの名前を選択または入力します。

  1. [グループを追加] を選択して、グループに製品アクセス権を付与します。
    製品アクセスの更新に関する詳細についてご確認ください

さらにヘルプが必要ですか?

アトラシアン コミュニティをご利用ください。