ID プロバイダーからのユーザーのプロビジョニングと同期
ID プロバイダーでユーザーとグループに変更を加え、その情報を Atlassian 組織に同期させます。
現在、ユーザー プロビジョニングは、ID プロバイダーを管理している場所と同じ場所にあります。これを見つけるには、[セキュリティ] > [ID プロバイダー] の順に移動します。ID プロバイダーの詳細についてご確認ください
操作できるユーザー |
ユーザー プロビジョニングを構成することで、ご利用の Atlassian 組織に外部のユーザー ディレクトリを連携できます。このページでは、アイデンティティ プロバイダーとして Okta を使用しているときにユーザー プロビジョニングを構成する方法について紹介します。ユーザー プロビジョニングで実現できる処理の詳細については、「ユーザー プロビジョニングの機能」をご参照ください。
ユーザー プロビジョニングの構成を完了したら、ユーザー属性やグループ メンバーシップの管理はアイデンティティ プロバイダーから行います。
Provisioning is available for all Atlassian accounts, which means that you can create, update, and deactivate accounts from your identity provider. Syncing groups is only currently available for Jira product instances and Confluence and are not yet available for Bitbucket and Trello.
ご利用のサイトおよび製品に外部ユーザーをプロビジョニングする前に行う必要があることは次のとおりです。
組織から Atlassian Access のサブスクリプションに申し込みます。Atlassian Access の詳細はこちらをご確認ください。
Okta アカウントでユーザー プロビジョニング機能を有効化します。詳細については「Lifecycle Management」をご確認ください。
ご自身が Atlassian 組織の管理者であることを確認します。
組織内で 1 つ以上のドメインを検証します。「ドメイン検証」の詳細についてご確認ください
組織に ID プロバイダー ディレクトリを追加します。ID プロバイダーを追加する方法をご確認ください
認証済みドメインを ID プロバイダー ディレクトリにリンクします。ドメインをリンクする方法の詳細についてご確認ください
同期済みのユーザーのアクセスを許可する Jira または Confluence サイトのうちの 1 つ以上で管理者であることを確認します。
最初に、Okta で次のようなテスト アカウントとテスト グループを使用してセットアップ手順を試してみることをお勧めします。例: atlassian-test-jira-users、atlassian-test-confluence-users
テスト アカウントを使用して開始することで、Atlassian アプリからユーザーの割り当てが意図せず解除された場合に、利用の中断を回避することができます。アプリでユーザーの割り当てを解除し、アカウントを無効化すると、アトラシアン製品へのアクセス権も失われます。
admin.atlassian.com に移動します。複数の組織がある場合は、組織を選択します。
[セキュリティ] > [ID プロバイダー] の順に選択します。
ID プロバイダー ディレクトリを選択します。
[ユーザー プロビジョニングをセットアップする] を選択します。
[SCIM ベース URL] と [API キー] の値をコピーします。Okta を設定する際にこれらが必要になります。
SCIM 設定を保存します。
これらの値は再表示されないため、必ず安全な場所に保存してください。
ユーザーとグループが組織の Jira サイトと Confluence サイトに自動でプロビジョニングされます。ユーザーとグループを組織と同期する方法の詳細については「ユーザー プロビジョニング」ページをご覧ください。
この手順の一部として、コピーした SCIM ベース URL と API キーが必要です。
Okta にログインして Atlassian Cloud アプリケーションを追加します。
アプリで [プロビジョニング] タブ > [Configure API integration (API 統合を設定)] の順にクリックします。
3. [Enable API integration (API 統合を有効化)] を選択します。
4. Atlassian 組織で作成した SCIM ベース URL と API キーを入力します。
5. [Test API Credentials (API 資格情報をテスト)] を選択します。テストに合格したら [保存] を選択します。
6. [設定] から [To App (アプリへ)] をクリックします。
7. [編集] を選択して、必要なオプションに対して [有効化] を選択します。
このステップは、ユーザー属性のマッピングを行う場合に使用します。それ以外の場合は既定設定のままにします。アトラシアンがサポートしている処理の詳細については「ユーザー プロビジョニングの機能」をご参照ください。
8. [保存] を選択して統合設定を適用します。
ユーザー プロビジョニングではメール アドレスを使用してアトラシアン アプリのユーザーを特定し、新しい Atlassian アカウントを作成するか、既存の Atlassian アカウントにリンクします。したがって、ユーザーのメール アドレス属性が SAML SSO 設定と Okta アプリの SCIM のユーザー プロビジョニング設定とで異なる場合、Atlassian アカウントが複製されてしまう可能性があります。
アカウントの複製を防ぐために、ユーザー アカウントのマッピングに使用するメール アドレス属性が、SAML SSO と SCIM ユーザー プロビジョニングで同じであることを確認します。
Okta の [ユーザー プロビジョニング] タブで [Primary email] 属性にマッピングされているフィールドを記録します。初期設定は、スクリーンショットのように email です。
2. [サインオン] タブを選択します。[Credentials details (資格情報の詳細)] セクションで [アプリケーション ユーザー名の形式] 設定を見つけます。Okta では、Atlassian アカウントを作成またはリンクする際に、ユーザー アカウントのこのフィールドが SSO メール アドレスとして渡されます。
[アプリのユーザー名] が渡すデータが古い値である場合は (例: user1@example.com の対象属性のメール アドレスが古く、最新のメール アドレスである user1+new@example.com を格納する別の属性がある)、次の操作を行えます。
管理者がこのステップを完了する前に、ユーザーに Atlassian アカウントにログインするように依頼します。
引き続きアカウントが複製する場合、ユーザーのメール アドレスをアトラシアン サポートにお知らせください。
3. [アプリケーション ユーザー名の形式] フォーマットが、前のステップで Primary email として指定した属性と同じであることを確認します。
4. [Update application username on (次のアプリのユーザー名を更新)] が [Create and update (作成して更新)] に設定されていることを確認します。[保存] を選択して変更を適用します。
5. [今すぐ更新] を選択して、Okta の自動更新を待たずに変更をプッシュします。
グループ同期機能を使い、ディレクトリを使用してユーザー権限やライセンスを自動的に管理することをおすすめします。これは、ユーザー権限およびライセンスの管理を組織から手動で行うことよりも推奨されます。このセクションでは、グループベースの管理を構成する方法について説明します。
グループをプッシュしてもユーザーは同期されません。グループが Atlassian 組織にプッシュされるだけです。
Okta で [Push Groups (グループをプッシュ)] タブ > [By Name (名前別)] の順にクリックします。グループ名を選択して (例: atlassian-test-jira-users または atlassian-test-confluence-users) [保存] をクリックします。
上記のスクリーンショットでは、atlassian-confluence-users グループを使用して Confluence への製品アクセスを管理しています。
グループをプッシュしてもユーザーは同期されません。グループが Atlassian 組織にプッシュされるだけです。
2. 必要なグループがすべてプッシュされていることを確認します。
Okta で、Atlassian アプリケーションの [割り当て] タブをクリックします。
2. [割り当て] > [グループ] の順に選択します。割り当てるグループを選択します。この例では、グループは atlassian-confluence-users です。
3. このダイアログで既定値を設定します。これらの既定値は、ユーザー プロファイルに既定値が設定されていない場合にのみ使用されます。これらのフィールドの入力はすべて任意であり、空欄のままにしておけます。このステップが完了したら [保存して戻る] をクリックします。
4. Atlassian 組織で、ユーザーが同期されていることを確認します。Okta のログまたは [ID プロバイダー] ページのいずれかで確認できます。
プロビジョニングされたユーザーに製品アクセスを付与するには、既存のグループの製品アクセスをセットアップする必要があります。
前のステップで追加したサイト (example.atlassian.net) で [製品アクセス] に移動して、グループを追加する製品を見つけます。
[グループを追加] を選択して、すべての SCIM 同期ユーザーを含む自動生成グループの名前を選択または入力します。
[グループを追加] を選択して、グループに製品アクセス権を付与します。
製品アクセスの更新に関する詳細についてご確認ください。
この内容はお役に立ちましたか?