セキュリティ ソリューションと標準を確認する
セキュリティに関心がおありですか? アトラシアンも関心があります。アトラシアンの取り組みと、お客様にもできることをご確認ください。
セキュリティ アサーション マークアップ言語 (SAML) は、アイデンティティ プロバイダーとサービス プロバイダー (Confluence Cloud など) 間で認証データおよび認可データを交換するためのオープン標準です。
このページでは、Active Directory フェデレーション サービス (AD FS) を使用して SAML シングル サインオンを構成する手順について説明します。
組織管理者は、AD FS で SAML シングル サインオンを構成する前に、いくつかの手順を完了しておく必要があります。
SAML シングル サインオンは、次の手順を完了してから構成できます。
1 つ以上のドメインを検証済みであること。確認方法については「組織のドメインを検証する」をご参照ください。ドメインを検証すると、検証済みドメインのメール アドレスを使用するすべての Atlassian アカウントが組織で管理されるようになります。
Atlassian Access をサブスクライブする。
また、以下もおすすめします。
アトラシアン製品と AD FS が相互の通信に HTTPS プロトコルを使用していること、また、構成された製品のベース URL が HTTPS のものであることを確認します。
SAML 認証リクエストは限られた期間のみ有効であるため、アイデンティティ プロバイダー サーバーの時刻が NTP を使用して同期されていることを確認します。
SAML 構成に誤りがあった場合に組織にアクセスするために使用できる Atlassian アカウントを作成します。
ログインしたときにアカウントが SAML シングルサインオンにリダイレクトされないよう、未検証のドメインのメール アドレスを使用します。
ユーザーに組織管理者のアクセス権を付与します。SAML シングル サインオンがユーザーの期待どおりに動作していることを確認したら、管理アクセスを削除できます。
SAML シングル サインオンの構成中はユーザーはアトラシアン製品にログインできなくなるため、SAML への切り替え日時を事前に設定し、ユーザーに事前に通知します。
Active Directory をインストールして実行します。
Microsoft Active Directory Federation Services をインストールします。
Microsoft Active Directory Federation Services を Active Directory に接続します。
この設定には、AD FS 2.0 以上が必要です。
直近のテストは Windows Server 2016 Datacenter と AD FS 4.0 の組み合わせで行いました。
次の手順を完了して、Atlassian 組織から SAML 設定を追加します。
admin.atlassian.com に移動します。複数の組織がある場合は、組織を選択します。
[セキュリティ] > [SAML シングル サインオン] の順に選択します。
[SAML 設定を追加] を選択します。
4. AD FS 管理ツールの左パネルで [AD FS] を右クリックして、[フェデレーション サービス プロパティを編集] をクリックします。
5. [フェデレーション サービス プロパティ] ダイアログで [フェデレーション サービス識別子] の値をコピーします。
a. admin.atlassian.com の [SAML 構成を追加] 画面に戻ります。
b. [アイデンティティ プロバイダー エンティティ ID] フィールドに値を貼り付けます。
6. AD FS 管理ツールに戻り、左側のパネルで [AD FS] > [Service] > [Endpoints] を選択します。
a. [トークン発行] で [タイプ] が SAML 2.0/WS-Federation の URL パスを検索してコピーします。
b. admin.atlassian.com の [SAML 構成を追加] 画面に戻ります。
c. ご利用のサーバー URL をプレフィックスとするパス (例: https://<myadfsserver.com>/adfs/ls/) を [アイデンティティ プロバイダー SSO URL] フィールドに貼り付けます。
7. 公開キーをエクスポートします。
a. AD FS 管理ツールの右パネルで [AD FS] > [サービス] > [証明書] の順に選択します。[トークン署名] セクションの下にある証明書を右クリックして [証明書を表示] をクリックします。
b. [証明書] ダイアログで [詳細] タブに切り替えて [ファイルにコピー] をクリックします。
c. [証明書エクスポート ウィザード] が開いたら [次へ] をクリックします。
d. フォーマットに [Base-64 encoded X.509 (.CER)] を選択して [次へ] をクリックします。
e. [ファイル名] で、エクスポートした証明書の保存先のパスとファイル名を指定して [次へ] をクリックします。
f. エクスポートした証明書の設定を確認して [完了] をクリックします。
g. エクスポートした証明書ファイルを開いて、証明書キーをコピーします。admin.atlassian.com の [SAML 構成を追加] 画面に戻って [公開 x509 証明書] フィールドに値を貼り付けます。
8. [設定を保存] をクリックします。
このセクションの手順を AD FS 管理ツールで完了します。
AD FS 管理ツールの左パネルで [AD FS] を展開して [証明書利用者信頼] を選択して、右パネルで [証明書利用者信頼を追加] をクリックします。
2. [証明書利用者信頼を追加ウィザード] で [要求に対応する] を選択して [開始] をクリックします。
3. [証明書利用者についてのデータを手動で入力する] を選択して [次へ] をクリックします。
4. 証明書利用者の [表示名] を入力して [次へ] をクリックします。この名前は AD FS 管理ツールの [証明書利用者信頼] リストの下に表示されます。
5. [証明書を構成] ステップで [次へ] をクリックします。トークンはセットアップの一部として暗号化不要です。
6. [SAML 2.0 WebSSO プロトコルのサポートを有効化] を選択します。
a. admin.atlassian.com の [SAML シングル サインオン] ページから [SP アサーション コンシューマー サービス URL] をコピーして、AD FS ウィザードの [証明書利用者 SAML 2.0 SSO サービスの URL] フィールドに値を貼り付けます。
b. [次へ] をクリックします。
7. admin.atlassian.com の [SAML シングル サインオン] ページから [SP エンティティ ID] の値をコピーします。
a. AD FS ウィザードの [証明書利用者信頼の識別子] フィールドに値を貼り付けて [追加] をクリックします。
b. [次へ] をクリックします。
8. アクセス制御ポリシーのリストで [全員に許可] を選択して [次へ] をクリックします。
9. [信頼の追加の準備完了] ステップで設定を確認して [次へ] をクリックします。
10. [閉じる] をクリックしてウィザードを完了します。
このセクションでは、AD FS がアトラシアン組織にクレームを送信する方法について説明します。このマッピングには、AD FS に追加する 2 つのルールが必要です。最初のルールでは、メール、名、姓などの AD フィールドを SAML フィールドにマッピングします。2 番目のルールは、Name Identifier をマップします。
Microsoft Azure を使用している場合は、このチュートリアルを参照し、「Atlassian Cloud SSO で Azure AD を構成する」セクションのポイント 14 をお読みください。マッピングに記載されているメールアドレスを (AD からの) ログインに使用します。
AD FS 管理ツールで先ほど追加した証明書利用者信頼を右クリックして [要求発行ポリシーを編集] をクリックします。
2. [規則を追加] をクリックします。
3. [要求規則テンプレート] ドロップダウンから [カスタム規則を使用して要求を送信] を選択して [次へ] をクリックします。
4. [要求規則名] に名前を入力します。
a. 次を [要求規則] フィールドにコピーします。
1
2
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"), query = ";objectSID,mail,givenName,sn;{0}", param = c.Value);
b. [完了] をクリックします。
5. [規則を追加] をもう一度クリックします。
6. [要求規則テンプレート] ドロップダウンから [カスタム規則を使用して要求を送信] を選択して [次へ] をクリックします。
7. [要求規則名] に名前を入力します。
a. 次を [要求規則] フィールドにコピーします。
1
2
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");
b. [完了] をクリックします。
id.atlassian.com に移動して Active Directory でユーザーのメール アドレスを入力し [続行] をクリックします。
2. AD FS のログイン ページにリダイレクトされます。資格情報を入力して [サインイン] をクリックします。
構成が正常に行われていた場合、start.atlassian.com に移動します。
この内容はお役に立ちましたか?