AD FS を使用して SAML シングルサインオンを設定する

You can now find SAML single sign-on in the same place you manage your identity provider. To find it, go to Security > Identity providers. About identity providers

セキュリティアサーションマークアップ言語 (SAML) は、アイデンティティプロバイダーとサービスプロバイダー (Confluence Cloud など) 間で認証データおよび認可データを交換するためのオープン標準です。

このページでは、Active Directory フェデレーションサービス (AD FS) を使用して SAML シングルサインオンを構成する手順について説明します。

Who can do this?
Role: Organization admin
Plan: Atlassian Guard Standard

はじめる前に

AD FS を使用して SAML シングルサインオンをセットアップする前に、次のことを実行する必要があります。

組織から Atlassian Guard Standard に登録します。Atlassian Guard について

ご自身が Atlassian 組織の管理者であることを確認します。

Verify one or more of your domains in your organization. Learn about Domain verification

Add an identity provider directory to your organization. Learn how to Add an identity provider

認証済みドメインを ID プロバイダーディレクトリにリンクします。ドメインをリンクする方法の詳細についてご確認ください

セットアップ中はアトラシアン製品にログインできなくなることをユーザーに知らせる

SAML 設定をテストするための認証ポリシーを作成します。SAML をセットアップしたら、この認証ポリシーでシングルサインオンを有効にできます。

アトラシアン組織の準備

また、以下もおすすめします。

アトラシアン製品と AD FS が相互の通信に HTTPS プロトコルを使用していること、また、構成された製品のベース URL が HTTPS のものであることを確認します。
SAML 認証リクエストは限られた期間のみ有効であるため、アイデンティティプロバイダーサーバーの時刻が NTP を使用して同期されていることを確認します。
SAML 設定に誤りがあった場合に組織にアクセスするために使用できる Atlassian アカウントを作成します。
- ログインしたときにアカウントが SAML シングルサインオンにリダイレクトされないよう、未検証のドメインのメールアドレスを使用します。
- ユーザーに組織管理者のアクセス権を付与します。SAML シングルサインオンがユーザーの期待どおりに動作していることを確認したら、管理アクセスを削除できます。

Microsoft Windows Server を準備する

Active Directory をインストールして実行します。
Microsoft Active Directory Federation Services をインストールします。
Microsoft Active Directory Federation Services を Active Directory に接続します。

SAML シングルサインオンのセットアップ

この設定には、AD FS 2.0 以上が必要です。

直近のテストは Windows Server 2016 Datacenter と AD FS 4.0 の組み合わせで行いました。

SAML 構成の追加

次の手順を完了して、Atlassian 組織からユーザー向けの SAML 構成を追加します。

From your organization at admin.atlassian.com, select Security > Identity providers.
AD FS ディレクトリを選択します。
[SAML シングルサインオンをセットアップ] を選択します。

Jira Service Management のカスタマー向けに SAML シングルサインオンを設定する機能は、アーリーアクセスプログラムに参加しているユーザーが利用できます。この機能はまもなく誰でも利用できるようになります。

ポータル限定のカスタマー向けに、Jira Service Management サイトから SAML 構成を追加する場合は、次の手順に従ってください。

From your organization at admin.atlassian.com, select Products.
[サイトと製品] で、SAML SSO を設定するサイトを選択します。
[Jira Service Management] で [Portal-only customers (ポータル限定のカスタマー)] を選択します。
Select More > Identity providers.
AD FS ディレクトリを選択します。
[SAML シングルサインオンをセットアップ] を選択します。

SAML の詳細を追加する

AD FS 管理ツールの左パネルで [AD FS] を右クリックして、[フェデレーションサービスプロパティを編集] をクリックします。

AD FS の左パネルで右クリックした際のアクションのリスト。[フェデレーションサービスプロパティを編集] がハイライトされている

5. [フェデレーションサービスプロパティ] ダイアログで [フェデレーションサービス識別子] の値をコピーします。

a. admin.atlassian.com の [SAML 構成を追加] 画面に戻ります。

b. [アイデンティティプロバイダーエンティティ ID] フィールドに値を貼り付けます。

[全般] タブの [フェデレーションサービスプロパティ] 画面。フェデレーションサービスの表示名、名前、識別子を含む

6. AD FS 管理ツールに戻り、左側のパネルで [AD FS] > [Service] > [Endpoints] を選択します。

a. Under Token Issuance, search for and copy the URL path with a Type of SAML 2.0/WS-Federation.

SAML 2.0/WS-Federation type タイプを含む、AD FS サービスディレクトリの下にあるすべてのエンドポイントの画面

b. admin.atlassian.com の [SAML 構成を追加] 画面に戻ります。

c. ご利用のサーバー URL をプレフィックスとするパス (例: https://<myadfsserver.com>/adfs/ls/) を [アイデンティティプロバイダー SSO URL] フィールドに貼り付けます。

7. 公開キーをエクスポートします。

a. AD FS 管理ツールの右パネルで [AD FS] > [サービス] > [証明書] の順に選択します。[トークン署名] セクションの下にある証明書を右クリックして [証明書を表示] をクリックします。

AD FS サービス証明書。[トークン署名] セクションがハイライトされて、右クリックオプションから [証明書を表示] が選択されている

b. [証明書] ダイアログで [詳細] タブに切り替えて [ファイルにコピー] をクリックします。

c. [証明書エクスポートウィザード] が開いたら [次へ] をクリックします。

証明書エクスポートウィザードの [ようこそ] 画面。ウィザードに関する説明が表示されている

d. フォーマットに [Base-64 encoded X.509 (.CER)] を選択して [次へ] をクリックします。

証明書のエクスポートに利用できるファイル形式がリストされた [ファイル形式をエクスポート] 画面

e. [ファイル名] で、エクスポートした証明書の保存先のパスとファイル名を指定して [次へ] をクリックします。

[エクスポートするファイル] 画面。エクスポートするファイル名とパスが [参照] ボタンと併せて表示されている

f. エクスポートした証明書の設定を確認して [完了] をクリックします。

設定を指定して [完了] と [キャンセル] の各ボタンを使用して、証明書エクスポートウィザードページを完了している

g. エクスポートした証明書ファイルを開いて、証明書キーをコピーします。admin.atlassian.com の [SAML 構成を追加] 画面に戻って [公開 x509 証明書] フィールドに値を貼り付けます。

8. [設定を保存] を選択します。

新しい証明書利用者の信頼を作成する

このセクションの手順を AD FS 管理ツールで完了します。

AD FS 管理ツールの左パネルで [AD FS] を展開して [証明書利用者信頼] を選択して、右パネルで [証明書利用者信頼を追加] をクリックします。

AD FS 管理ツールの [証明書利用者信頼] ウィンドウ。右パネルで [証明書利用者信頼を追加] がハイライトされている

2. [証明書利用者信頼を追加ウィザード] で [要求に対応する] を選択して [開始] をクリックします。

[証明書利用者信頼の追加ウィザード] の [ようこそ] 画面。[要求に対応する] または [要求に対応しない] を選択している

3. [証明書利用者についてのデータを手動で入力する] を選択して [次へ] をクリックします。

4. 証明書利用者の [表示名] を入力して [次へ] をクリックします。この名前は AD FS 管理ツールの [証明書利用者信頼] リストの下に表示されます。

5. [証明書を構成] ステップで [次へ] をクリックします。トークンはセットアップの一部として暗号化不要です。

6. [SAML 2.0 WebSSO プロトコルのサポートを有効化] を選択します。

a. admin.atlassian.com の [SAML シングルサインオン] ページから [SP アサーションコンシューマーサービス URL] をコピーして、AD FS ウィザードの [証明書利用者 SAML 2.0 SSO サービスの URL] フィールドに値を貼り付けます。

b. [次へ] をクリックします。

7. admin.atlassian.com の [SAML シングルサインオン] ページから [SP エンティティ ID] の値をコピーします。

a. AD FS ウィザードの [証明書利用者信頼の識別子] フィールドに値を貼り付けて [追加] をクリックします。

b. [次へ] をクリックします。

8. アクセス制御ポリシーのリストで [全員に許可] を選択して [次へ] をクリックします。

9. [信頼の追加の準備完了] ステップで設定を確認して [次へ] をクリックします。

10. [閉じる] をクリックしてウィザードを完了します。

このセクションでは、AD FS がアトラシアン組織にクレームを送信する方法について説明します。このマッピングには、AD FS に追加する 2 つのルールが必要です。最初のルールでは、メール、名、姓などの AD フィールドを SAML フィールドにマッピングします。2 番目のルールは、Name Identifier をマップします。

If you’re using Microsoft Azure, refer to this tutorial, and read point 14 within the ‘Configure Azure AD with Atlassian Cloud SSO’ section. Use the same email address to log in (from the AD) as mentioned in the mapping.

AD FS 管理ツールで先ほど追加した証明書利用者信頼を右クリックして [要求発行ポリシーを編集] をクリックします。

AD FS 管理ツール。[証明書利用者信頼] を選択してから [要求発行ポリシーを編集] を選択している

2. [規則を追加] をクリックします。

Atlassian Cloud の [要求発行ポリシーを編集] 画面。[発行変換規則] タブ

3. [要求規則テンプレート] ドロップダウンから [カスタム規則を使用して要求を送信] を選択して [次へ] をクリックします。

4. [要求規則名] に名前を入力します。

a. 次を [要求規則] フィールドにコピーします。

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"), query = ";objectSID,mail,givenName,sn;{0}", param = c.Value);

b. [完了] をクリックします。

変換要求規則を追加ウィザード。[規則テンプレートを選択] タブ、要求規則を構成ステップ

5. [規則を追加] をもう一度クリックします。

6. [要求規則テンプレート] ドロップダウンから [カスタム規則を使用して要求を送信] を選択して [次へ] をクリックします。

7. [要求規則名] に名前を入力します。
a. 次を [要求規則] フィールドにコピーします。

 c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");

b. [完了] をクリックします。

変換要求規則を追加ウィザード。[規則テンプレートを選択] タブ、規則タイプを選択ステップ

SAML シングルサインオン統合をテストする

認証ポリシーがあるかどうかによって、2 つのテスト方法があります。

認証ポリシーで SAML シングルサインオンをテストする

Authentication policies give you the flexibility to configure multiple security levels for different user sets within your organization. Authentication policies also reduce risk by allowing you to test different single sign-on configurations on subsets of users before rolling them out to your whole company.

以下を実行してください。

組織全体でロールアウトする前に、比較的小さいユーザーグループでシングルサインオン (SSO) または 2 段階認証をテストして、正しく設定されていることを確認します。
管理アカウントごとに異なるポリシーを設定することで、ログインして SSO ポリシーをトラブルシューティングするか、プロバイダー統合を特定できます。

認証の設定をテストするには、SAML シングルサインオンを設定して適用する必要があります。次のセクションではその手順について説明します。

認証ポリシー無しの SAML シングルサインオン構成をテストする

Atlassian 組織で [保存] をクリックすると、すぐに SAML 設定が適用されます。ユーザーはログアウトされないため、以下の手順を使用して SAML 設定を調整しながらテストします。

ブラウザで新しいシークレットウィンドウを開きます。
検証済みドメインのいずれかのメールアドレスを使用してログインします。

サインインしていることを確認します。ログインエラーが発生した場合は「SAML シングルサインオンのトラブルシューティング」に移動して構成を調整し、シークレットウィンドウで再びテストします。

正常にログインできない場合は、構成を削除してユーザーが Atlassian 製品にアクセスできるようにします。

この内容はお役に立ちましたか?

正確ではなかった明確ではなかった関係なかった

さらにヘルプが必要ですか?

アトラシアンコミュニティをご利用ください。

コミュニティに質問

AD FS を使用して SAML シングル サインオンを設定する