• 関連ドキュメント

We’re renaming ‘products’ to ‘apps’

Atlassian 'products’ are now ‘apps’. You may see both terms used across our documentation as we roll out this terminology change. Here’s why we’re making this change

Okta を使用してユーザー プロビジョニングを構成する

You can find user provisioning in the same place you manage your identity provider. To find it, go to Security > Identity providers. More about identity providers

Who can do this?
Role: Organization admin
Atlassian Cloud: Atlassian Guard Standard
Atlassian Government Cloud: Available

ユーザー プロビジョニングでは、ご利用のアトラシアン組織に外部ユーザーのディレクトリを統合できます。このページでは、ID プロバイダーとして Okta を使用している際にユーザー プロビジョニングを構成する方法について説明します。ユーザー プロビジョニングで実現できる処理の詳細については、「ユーザー プロビジョニングの機能」をご参照ください。

ユーザー プロビジョニングの構成を完了したら、ユーザー属性やグループ メンバーシップの管理はアイデンティティ プロバイダーから行います。

Provisioning is available for all Atlassian accounts, which means that you can create, update, and deactivate accounts from your identity provider. Syncing groups is only currently available for Jira app instances and Confluence and are not yet available for Bitbucket and Trello.

はじめる前に

Here’s what you must do before you can provision external users to your sites andapps:

組織から Atlassian Guard Standard に登録します。Atlassian Guard について

Okta アカウントでユーザー プロビジョニング機能を有効化します。詳細については「Lifecycle Management」をご確認ください。

ご自身が Atlassian 組織の管理者であることを確認します。

組織内で 1 つ以上のドメインを検証します。ドメイン検証についてご確認ください。

組織に ID プロバイダー ディレクトリを追加します。ID プロバイダーを追加する方法をご確認ください。

認証済みドメインを ID プロバイダー ディレクトリにリンクします。ドメインをリンクする方法の詳細についてご確認ください

同期済みのユーザーのアクセスを許可する Jira または Confluence サイトのうちの 1 つ以上で管理者であることを確認します。

テスト アカウントを設定する

最初に、Okta で次のようなテスト アカウントとテスト グループを使用してセットアップ手順を試してみることをお勧めします。例: atlassian-test-jira-users、atlassian-test-confluence-users

Starting with test accounts can help to avoid disruption when someone unintentionally unassigns users from the Atlassian app. When you unassign users from the app, you disable their accounts, which also removes their access to Atlassian apps.

SCIM プロビジョニングによって Okta を接続する

ユーザー プロビジョニングをセットアップしたら、[SCIM ベース URL] と [API キー] の値を必ず保存してください。これらは今後表示されなくなります。

  1. admin.atlassian.com に移動します。 複数の組織がある場合は、対象の組織を選択します。

  2. [セキュリティ] > [ID プロバイダー] の順に選択します。

  3. ID プロバイダー ディレクトリを選択します。

  4. [ユーザー プロビジョニングをセットアップする] を選択します。

  5. [SCIM ベース URL] と [API キー] の値をコピーします。 Okta を設定する際にこれらが必要になります。 

  6. SCIM 設定を保存します。

  7. API キーの有効期限を表示します。

2025 年 1 月上旬に、SCIM API キーは次の場合に 1 年で有効期限が切れるように自動的に設定されるようになります。

これは既存の SCIM API キーには影響しません。

ユーザーとグループが組織の Jira サイトと Confluence サイトに自動でプロビジョニングされます。ユーザーとグループを組織と同期する方法の詳細については「ユーザー プロビジョニング」ページをご覧ください。

Okta で SCIM API 連携を有効化する

この手順の一部として、コピーした SCIM ベース URL と API キーが必要です。

  1. Okta にログインして Atlassian Cloud アプリケーションを追加します。

  2. アプリで [プロビジョニング] タブ > [Configure API integration (API 統合を設定)] の順にクリックします。

Okta UI に、[Atlassian: 設定ガイド] という情報ボックスと [Configure API Integration (API 統合を設定)] ボタンが表示されています。

3. [Enable API integration (API 統合を有効化)] を選択します。

Okta UI。未選択の [API 統合を有効化] チェックボックスと [保存] ボタンが表示されています。

4. Atlassian 組織で作成した SCIM ベース URLAPI キーを入力します。

[API 統合を有効化] チェックボックスがオンになっています。ディレクトリ ベース URL と API キーを入力するボックスがあります。

5. [Test API Credentials (API 資格情報をテスト)] を選択します。テストに合格したら [保存] を選択します。

6. [設定] から [To App (アプリへ)] をクリックします。

7. [編集] を選択して、必要なオプションに対して [有効化] を選択します。

このステップは、ユーザー属性のマッピングを行う場合に使用します。それ以外の場合は既定設定のままにします。アトラシアンがサポートしている処理の詳細については「ユーザー プロビジョニングの機能」をご参照ください。

Okta をアプリにプロビジョニングする画面で、キャンセルするオプションもあります。ユーザーの作成、ユーザー属性の更新、ユーザーの非アクティブ化を有効/無効にします。

8. [保存] を選択して統合設定を適用します。

Okta でメール アドレスを検証する

ユーザー プロビジョニングではメール アドレスを使用してアトラシアン アプリのユーザーを特定し、新しい Atlassian アカウントを作成するか、既存の Atlassian アカウントにリンクします。したがって、ユーザーのメール アドレス属性が SAML SSO 設定と Okta アプリの SCIM のユーザー プロビジョニング設定とで異なる場合、Atlassian アカウントが複製されてしまう可能性があります。

アカウントの複製を防ぐために、ユーザー アカウントのマッピングに使用するメール アドレス属性が、SAML SSO と SCIM ユーザー プロビジョニングで同じであることを確認します。

  1. Okta の [ユーザー プロビジョニング] タブで [Primary email] 属性にマッピングされているフィールドを記録します。初期設定は、スクリーンショットのように email です

属性のテーブルで、プライマリ メール エントリである [email] を指す矢印が表示されています。

2. [サインオン] タブを選択します。[Credentials details (資格情報の詳細)] セクションで [アプリケーション ユーザー名の形式] 設定を見つけます。Okta では、Atlassian アカウントを作成またはリンクする際に、ユーザー アカウントのこのフィールドが SSO メール アドレスとして渡されます。

[アプリのユーザー名] が渡すデータが古い値である場合は (例: user1@example.com の対象属性のメール アドレスが古く、最新のメール アドレスである user1+new@example.com を格納する別の属性がある)、次の操作を行えます。

  • 管理者がこのステップを完了する前に、ユーザーに Atlassian アカウントにログインするように依頼します。

  • 引き続きアカウントが複製する場合、ユーザーのメール アドレスをアトラシアン サポートにお知らせください。

3. [アプリケーション ユーザー名の形式] フォーマットが、前のステップで Primary email として指定した属性と同じであることを確認します。

メインのメールを選択

4. [Update application username on (次のアプリのユーザー名を更新)] が [Create and update (作成して更新)] に設定されていることを確認します。[保存] を選択して変更を適用します。

5. [今すぐ更新] を選択して、Okta の自動更新を待たずに変更をプッシュします。

組織にグループをプッシュする

グループ同期機能を使い、ディレクトリを使用してユーザー権限やライセンスを自動的に管理することをおすすめします。これは、ユーザー権限およびライセンスの管理を組織から手動で行うことよりも推奨されます。このセクションでは、グループベースの管理を構成する方法について説明します。

グループをプッシュしてもユーザーは同期されません。グループが Atlassian 組織にプッシュされるだけです。

  1. Okta で [Push Groups (グループをプッシュ)] タブ > [By Name (名前別)] の順にクリックします。グループ名を選択して (例: atlassian-test-jira-users または atlassian-test-confluence-users) [保存] をクリックします。

グループを Atlassian Cloud SCIM にプッシュする画面。トップ メニューには [Push Groups (グループをプッシュ)]、サイド メニューには [By name (名前別)] が選択されています。選択するグループ名が表示されています。

In the screenshot above, we use the atlassian-confluence-users group to manage app access to Confluence.

グループをプッシュしてもユーザーは同期されません。グループが Atlassian 組織にプッシュされるだけです。

2. 必要なグループがすべてプッシュされていることを確認します。

Okta に 2 つのグループと前回のプッシュ日時が表示されています。プッシュ ステータスは両方とも有効に設定されています。

Okta でユーザーを Atlassian アプリケーションに割り当てる

  1. Okta で、Atlassian アプリケーションの [割り当て] タブをクリックします。

[割り当て] タブの [割り当て] が [グループ] に設定されています。グループのリストは空で、優先度と割り当ての列があります。

2. [割り当て] > [グループ] の順に選択します。割り当てるグループを選択します。この例では、グループは atlassian-confluence-users です。

[割り当て] タブの [Assign to Groups (グループに割り当て)] が選択されています。
Atlassian Cloud SCIM グループリストを割り当てます。すべてのグループに [割り当て] ボタンがあります。下部に [完了] ボタンがあります。

3. このダイアログで既定値を設定します。これらの既定値は、ユーザー プロファイルに既定値が設定されていない場合にのみ使用されます。これらのフィールドの入力はすべて任意であり、空欄のままにしておけます。このステップが完了したら [保存して戻る] をクリックします。

グループ属性は空で、優先言語、タイム ゾーン、組織、部門の値を割り当てられます。

4. Atlassian 組織で、ユーザーが同期されていることを確認します。Okta のログまたは [ID プロバイダー] ページのいずれかで確認できます。

Configure app access for the provisioned groups and users

To grant app access to provisioned users, you need to set up app access for existing groups.

  1. From the site (example.atlassian.net) you added, go to App access and find the app you’d like to add the group to.apps

  2. [グループを追加] を選択して、すべての SCIM 同期ユーザーを含む自動生成グループの名前を選択または入力します。

  1. Select Add groups to give the group app access.
     Learn more about updating app access.

 

さらにヘルプが必要ですか?

アトラシアン コミュニティをご利用ください。
コミュニティに質問
このページの内容はじめる前にテスト アカウントを設定するSCIM プロビジョニングによって Okta を接続するOkta で SCIM API 連携を有効化するOkta でメール アドレスを検証する組織にグループをプッシュするOkta でユーザーを Atlassian アプリケーションに割り当てるConfigure app access for the provisioned groups and users
コミュニティ質問、ディスカッション、記事