ユーザー プロビジョニングについて

現在、ユーザー プロビジョニングは、ID プロバイダーを管理している場所と同じ場所にあります。これを見つけるには、[セキュリティ] > [ID プロバイダー] の順に移動します。ID プロバイダーの詳細についてご確認ください

2020 年 11 月 15 日以前にドメイン外ユーザー (例: サードパーティ スタッフ) を手動でプロビジョニング設定いただいていた場合も、現在は自動的に同期できます。ドメイン外のユーザーの同期についてはこちらをご覧ください

ユーザー プロビジョニング機能は、Atlassian Access へのサブスクライブで利用できます。Atlassian Access を開始する方法については、こちらをお読みください。

アトラシアンでは、System for Cross-domain Identity Management (SCIM) を使用してユーザー プロビジョニングをサポートしています。この機能では、プロトコルの SCIM 2.0 バージョンが使用されます。

ユーザー プロビジョニングを構成することで、ご利用の Atlassian 組織に外部のユーザー ディレクトリを連携できます。この連携では、アイデンティティ プロバイダーで更新を行ったときに、Atlassian 組織のユーザーとグループを自動的に更新できます。たとえば、ユーザー プロビジョニングを使用することで、管理対象の Atlassian ユーザー アカウントをアイデンティティ プロバイダーから作成、リンク、非アクティブ化できます。

一部のアトラシアン製品にはサポート対象となる合計ユーザー数の上限が設定されているため、外部ディレクトリあたり最大 150,000 ユーザーのみを同期できます。外部ディレクトリのユーザー数が 150,000 人を超える場合も ID プロバイダーを統合できますが、150,000 人以降の新規ユーザーの同期は停止します。また、各グループで最大 35,000 人のユーザーのみを同期できます。

サポートされるアイデンティティ プロバイダー

利用するユーザー プロビジョニング セットアップは、使用するアイデンティティ プロバイダーによって異なります。サポートされるアイデンティティ プロバイダーには以下が含まれます。

お客様の要望に応じて、今後、他のアイデンティティ プロバイダーのサポートを提供することを検討しています。

他のアイデンティティ プロバイダーを使用している場合は、ユーザー プロビジョニング API を使用して、ユーザーやグループを管理できるようにする独自の連携を作成できます。

ユーザー プロビジョニングを構成する前に、ID プロバイダーを Atlassian 組織に追加する必要があります。ID プロバイダーを追加する方法の詳細についてご確認ください

サポート対象製品

プロビジョニングはすべての Atlassian アカウントで利用できます。つまり、アイデンティティ プロバイダからアカウントを作成、更新、および無効化できます。グループ同期は現在、Jira 製品と Confluence でのみ利用でき、Bitbucket と Trello では利用できません。

Trello Enterprise がアトラシアン組織にリンクされている場合、SCIM 経由で組織にプロビジョニング済みのユーザーや、今後プロビジョニングされるユーザーには、無料のTrello アカウントがプロビジョニングされます。アカウントは Trello Enterprise によって管理されますが、管理者によって付与されている場合を除き、Enterprise ライセンスは持ちません。

ユーザー プロビジョニングの仕組み

アイデンティティ プロバイダを組織に接続したら、ユーザーとグループが組織およびサイトと同期され、製品のアクセス権の付与に利用できるようになります。この図は、ユーザー プロビジョニングをセットアップした場合のユーザーとグループが同期される仕組みについて示しています。

図: 組織に接続している ID プロバイダー - ユーザーとグループが組織とサイトに同期している

同期の仕組みについて、次のセクションで詳細に説明します。

このビデオでユーザー プロビジョニングの詳細をご確認ください

1. ID プロバイダーから組織へのユーザーおよびグループの同期

ユーザー プロビジョニングをセットアップする際は、ユーザー用のディレクトリを作成します。図に示すように、認証済みドメインまたは認証済みドメイン外の ID プロバイダーのすべてのユーザーとグループは、組織のディレクトリに同期されます。

ID プロバイダー ディレクトリにプロビジョニングするグループを作成します。一部の組織では、ディレクトリ - <directory_id> のすべてのメンバーと呼ばれる作成されたグループが引き続き表示され、そのグループにすべてのユーザーが追加されます。

グループを作成して、ID プロバイダーから組織にユーザーをプロビジョニングできます。一部の組織では、ディレクトリ - <directory_id> のすべてのメンバーと呼ばれる作成されたグループが引き続き表示され、そのグループにすべてのユーザーが追加されます。

Google Workspace を使用している場合は、Google Workspace のすべてのユーザーと呼ばれる作成されたグループが表示されます。

図: 組織と同期しているさまざまなグループの ID プロバイダー

アイデンティティ プロバイダを Atlassian 組織に接続すると、同期されたディレクトリ グループが Atlassian 組織に表示され、組織からユーザーのアカウントを変更することはできません。

Atlassian 組織にすでに既存のユーザーがいる場合は、次のようになります。

  • 組織のユーザーと同じメール アドレスを持つユーザーがアイデンティティ プロバイダにいる場合、両方のユーザー アカウント間にリンクが作成されます。以降は、アイデンティティ プロバイダからのみユーザーのアカウントに変更を加えることができます。

  • 組織のユーザーと同じメール アドレスを持つユーザーがアイデンティティ プロバイダーにいない場合、ユーザーのアクセス権は保持され、Atlassian 組織からそのユーザーを引き続き管理できます。

500 グループ以上の同期には、かなりの時間がかかります。同期が完了するまでしばらく待ってください。

2. 組織のディレクトリからすべての関連サイトへの同期

図に示すように、組織に追加したすべてのサイトはプロビジョニングしたユーザーとグループにアクセスできるようになります。同期されたディレクトリ グループは、既定グループやネイティブ グループと併せてサイトに表示されます。

図: 組織のディレクトリからすべての関連サイトに同期している

3. 製品へのグループの割り当て

グループをサイトの製品に割り当てることで、ユーザーへの製品アクセスの付与を開始できます。

図: クラウド サイトが Jira Software と Confluence に割り当てられている

ユーザーが製品アクセス権を持っている場合は、Jira と Confluence の各管理者は Jira と Confluence の各設定からそのユーザーの製品権限を更新できます。Jira 権限の管理については「グローバル権限の管理」を、Confluence 権限の管理については「グローバル権限を管理する」をご参照ください。

ユーザー プロビジョニング機能

自身のアイデンティティ プロバイダーを Atlassian 組織に接続すると、すべてのユーザー属性とグループ メンバーシップをアイデンティティ プロバイダーから管理できます。Atlassian 組織でユーザーを管理したい場合、アイデンティティ プロバイダーとの接続を無効化します。

グループ名の管理

  • Atlassian 組織と同期した後にグループ名を変更します。任意の名前で新しいグループを作成してメンバーシップを更新し、古いグループを削除する必要があります。

グループの競合を解決する

  • アトラシアン組織に同期する前にグループ名についてご確認ください。ID プロバイダーとアトラシアン組織でグループの名前が同じである場合は、名前を変更する必要があります。グループの競合の解決に関する詳細についてご確認ください。

サポートされるユーザー アカウント操作

これらのユーザー管理操作をアイデンティティ プロバイダーから実行すると、更新が Atlassian 組織に同期されます。

ID プロバイダーからアトラシアン組織へのユーザー アカウントの同期は、それらのアカウントが検証済みのドメインまたは検証済みドメイン外のメール アドレスを持っている場合に行われます。

運用

注意

新しいユーザー アカウントの作成

ユーザー アカウントは、そのアカウントが検証済みのドメインのまたは検証済みドメイン外のメール アドレスを持っている場合にのみ作成されます。

既存のユーザー アカウントのリンク

Atlassian アカウントが Atlassian プラットフォームにすでに存在する場合、アイデンティティ プロバイダのユーザーが Atlassian 組織のユーザーに自動的にリンクされます。

ユーザー アカウントの詳細の更新

ID プロバイダーから次のユーザー属性を更新できます。

  • 表示名: ユーザーの姓と名の組み合わせです。表示名を更新すると、姓と名の属性も上書きされます。

  • アドレス]

  • 組織

  • 職位

  • タイム ゾーン

  • 部署

  • 利用言語

認証済みドメインまたは認証されていないドメインから、認証されていないドメインにメール アドレスを更新すると、次の処理が行われます。

  • SCIM によってプロビジョニングされたグループからユーザーを削除します

  • SCIM グループでユーザーに付与された製品アクセス権が失われる場合があります

製品アクセス グループからユーザーが削除されないようにするには、まずアトラシアン組織で認証されていないドメインを申請します。

検証済みドメイン外のユーザーの属性について

認証済みドメイン外のユーザーは管理対象アカウントではありません。これらのユーザーの ID プロバイダーで属性を更新しても、更新は同期されません。

ユーザー アカウントのアクティブ化

ID プロバイダーからユーザーの Atlassian アカウントを有効化できます。

ユーザー アカウントの非アクティブ化

アイデンティティ プロバイダーの検証済みドメインからユーザーの Atlassian アカウントを非アクティブ化できます。

認証済みドメインのユーザーを非有効化すると、次のようになります。

  • SCIM によってプロビジョニングされたグループからユーザーが削除されます

  • ユーザーが SCIM グループで付与された製品アクセス権を失う可能性があります

  • ユーザーが Atlassian サイトにアクセスできるようになります

非アクティブ化した後にサイト アクセスを削除するには、サイトからユーザーを削除します。

ユーザー アカウントの削除

ユーザー アカウントを削除する前に、ID プロバイダーのユーザー アカウントを無効化することをお勧めします。

ユーザーの Atlassian アカウントを検証済みドメインから削除するには、ユーザーを組織内の Atlassian ディレクトリから削除します。

検証済みドメイン外のユーザーのユーザー アカウントを削除できない

ID プロバイダーからユーザーを削除する際は、ユーザー アカウントが無効化されます。無効化された際の動作については、セクション「ユーザー アカウントを無効化する」をご参照ください。

サポートされるグループ操作

グループを使用してアイデンティティ プロバイダーから管理権限や製品アクセス権 (新しいライセンス) を管理し、更新を Atlassian 組織と同期できます。

Atlassian 組織で手動で作成されたグループおよび既定グループ (confluence-users、site-admins など) を SCIM 連携で管理することはできません。SCIM を介して管理できるのは、アイデンティティ プロバイダーのディレクトリから同期されたグループのみです。

運用

注意

グループの作成

グループは組織のディレクトリでは読み取り専用グループとして作成されます。グループはアイデンティティ プロバイダからのみ編集できます。新しいグループには、組織に存在しない名前を指定します。

グループの削除

組織のディレクトリからグループを削除するには、アイデンティティ プロバイダからグループを削除します。

既存のグループのプッシュ

組織のグループと同じ名前のグループをアイデンティティ プロバイダからプッシュしようとすると、エラーが発生します。

グループ メンバーシップの更新

アイデンティティ プロバイダからグループを更新することで、製品アクセス、管理権限、および、Confluence スペース権限などのアプリケーション固有の設定を構成できます。

トラブルシューティング

ユーザーやグループの同期に関する問題をトラブルシューティングする場合、Atlassian 組織の [ユーザー プロビジョニング] ページの [トラブルシューティング ログ] を確認してください。

問題

回避策 / トラブルシューティングのヒント

ログへの記録

グループを正常に同期できたが、グループが空で、同期されたユーザーが含まれない。

グループをプッシュする際、同期するグループが既定グループ (site-admins など) や手動で作成したグループと同じ名前を持っていないことを確認します。

はい

グループを正常に同期できたが、サイト管理領域に表示されず、[製品アクセス] ページにも表示されない。

組織にサイトを追加していることを確認します。サイトを追加するには、Atlassian 組織から [サイトの追加] オプションを使用します。

いいえ

ユーザーの同期は完了しているようだが、ユーザー アカウントが [管理対象アカウント] ページに表示されない。

ユーザーのメール アドレスが検証済みドメインに所属していることを確認します。

ユーザー アカウントが検証済みドメインのメール アドレスではない場合は [製品] > [ユーザー] ページの順に移動してユーザー アカウントを見つけます。

はい

(Okta がアイデンティティ プロバイダーの場合) ユーザー プロビジョニング連携が完了する前にユーザーが Atlassian アプリに割り当てられていた場合、ユーザーは組織のディレクトリに同期されません。

ユーザーを適切に同期するには、[割り当て] タブから再度割り当てます。影響を受ける複数のユーザーがグループに含まれている場合、グループを再割り当てできます。

いいえ

(Azure がアイデンティティ プロバイダーの場合) ユーザーが組織ディレクトリに同期されず、Azure ログのエラーの説明でトラブルシューティングできない。

Azure 内で 2 つ目の Atlassian アプリを設定して、1 つを SAML シングル サインオンの設定用、もう 1 つをユーザー プロビジョニング用にします。

いいえ

アイデンティティ プロバイダからのユーザーかどうかにかかわらず、別のユーザーがすでにメール アドレスを使用しているため、ユーザーの更新されたメール アドレスを同期できません。

次のいずれかの対応が可能です。

  • もう片方のユーザーを削除する

  • もう片方のユーザーのメール アドレスを別のメール アドレスに変更する

はい

アトラシアンの組み込みグループと同じ名前のグループ名がある場合、そのグループは ID プロバイダーから組織に同期できません。

組み込みグループ

  1. atlassian-addons

  2. atlassian-addons-admin

  3. site-admins

  4. org-admins

  5. administrators

  6. system-administrators

ID プロバイダーに移動し、重複するグループ名をアトラシアンに組み込まれたグループ名とは異なる名前に変更して、同期を再度試みます。

 

いいえ

ドメイン外のユーザーについては、Atlassian 製品に記載されているユーザー属性は更新されません。Atlassian 製品のそのような属性は手動で更新する必要があります。

その他のヘルプ