AD FS を使用して SAML シングル サインオンを設定する

現在、SAML シングル サインオンは ID プロバイダーを管理している場所と同じ場所にあります。これを見つけるには、[セキュリティ] > [ID プロバイダー] の順に移動します。ID プロバイダーの詳細についてはこちらをご確認ください。

セキュリティ アサーション マークアップ言語 (SAML) は、アイデンティティ プロバイダーとサービス プロバイダー (Confluence Cloud など) 間で認証データおよび認可データを交換するためのオープン標準です。

このページでは、Active Directory フェデレーション サービス (AD FS) を使用して SAML シングル サインオンを構成する手順について説明します。

誰がこれを実行できますか?
ロール: 組織管理者
プラン: Atlassian Guard Standard

はじめる前に

AD FS を使用して SAML シングル サインオンをセットアップする前に、次のことを実行する必要があります。

組織から Atlassian Guard Standard に登録します。Atlassian Guard について

ご自身が Atlassian 組織の管理者であることを確認します。

組織内で 1 つ以上のドメインを検証します。「ドメイン検証」の詳細についてご確認ください

組織に ID プロバイダー ディレクトリを追加します。ID プロバイダーを追加する方法の詳細についてご確認ください

認証済みドメインを ID プロバイダー ディレクトリにリンクします。ドメインをリンクする方法の詳細についてご確認ください

セットアップ中はアトラシアン製品にログインできなくなることをユーザーに知らせる

SAML 設定をテストするための認証ポリシーを作成します。SAML をセットアップしたら、この認証ポリシーでシングル サインオンを有効にできます。

アトラシアン組織の準備

また、以下もおすすめします。

  1. アトラシアン製品と AD FS が相互の通信に HTTPS プロトコルを使用していること、また、構成された製品のベース URL が HTTPS のものであることを確認します。

  2. SAML 認証リクエストは限られた期間のみ有効であるため、アイデンティティ プロバイダー サーバーの時刻が NTP を使用して同期されていることを確認します。

  3. SAML 設定に誤りがあった場合に組織にアクセスするために使用できる Atlassian アカウントを作成します。

    • ログインしたときにアカウントが SAML シングルサインオンにリダイレクトされないよう、未検証のドメインのメール アドレスを使用します。

    • ユーザーに組織管理者のアクセス権を付与します。SAML シングル サインオンがユーザーの期待どおりに動作していることを確認したら、管理アクセスを削除できます。

Microsoft Windows Server を準備する

  1. Active Directory をインストールして実行します。

  2. Microsoft Active Directory Federation Services をインストールします。

  3. Microsoft Active Directory Federation Services を Active Directory に接続します。

SAML シングル サインオンのセットアップ

この設定には、AD FS 2.0 以上が必要です。

直近のテストは Windows Server 2016 DatacenterAD FS 4.0 の組み合わせで行いました。

SAML 構成の追加

次の手順を完了して、Atlassian 組織からユーザー向けの SAML 構成を追加します。

  1. admin.atlassian.com で、ご利用の組織から[セキュリティ] > [ID プロバイダー] の順に選択します。

  2. AD FS ディレクトリを選択します。

  3. [SAML シングル サインオンをセットアップ] を選択します。

Jira Service Management のカスタマー向けに SAML シングル サインオンを設定する機能は、アーリー アクセス プログラムに参加しているユーザーが利用できます。この機能はまもなく誰でも利用できるようになります。

ポータル限定のカスタマー向けに、Jira Service Management サイトから SAML 構成を追加する場合は、次の手順に従ってください。

  1. admin.atlassian.com で、ご利用の組織から [製品] を選択します。

  2. [サイトと製品] で、SAML SSO を設定するサイトを選択します。

  3. [Jira Service Management] で [Portal-only customers (ポータル限定のカスタマー)] を選択します。

  4. [More (その他)] > [ID プロバイダー] の順に選択します。

  5. AD FS ディレクトリを選択します。

  6. [SAML シングル サインオンをセットアップ] を選択します。

SAML の詳細を追加する

  1. AD FS 管理ツールの左パネルで [AD FS] を右クリックして、[フェデレーション サービス プロパティを編集] をクリックします。

AD FS の左パネルで右クリックした際のアクションのリスト。[フェデレーション サービス プロパティを編集] がハイライトされている

5. [フェデレーション サービス プロパティ] ダイアログで [フェデレーション サービス識別子] の値をコピーします。

a. admin.atlassian.com の [SAML 構成を追加] 画面に戻ります。

b. [アイデンティティ プロバイダー エンティティ ID] フィールドに値を貼り付けます。

[全般] タブの [フェデレーション サービス プロパティ] 画面。フェデレーション サービスの表示名、名前、識別子を含む

6. AD FS 管理ツールに戻り、左側のパネルで [AD FS] > [Service] > [Endpoints] を選択します。

a. [トークン発行] で [タイプ] が SAML 2.0/WS-Federation の URL パスを検索してコピーします。

SAML 2.0/WS-Federation type タイプを含む、AD FS サービス ディレクトリの下にあるすべてのエンドポイントの画面

b. admin.atlassian.com の [SAML 構成を追加] 画面に戻ります。

c. ご利用のサーバー URL をプレフィックスとするパス (例: https://<myadfsserver.com>/adfs/ls/) を [アイデンティティ プロバイダー SSO URL] フィールドに貼り付けます。

7. 公開キーをエクスポートします。

a. AD FS 管理ツールの右パネルで [AD FS] > [サービス] > [証明書] の順に選択します。[トークン署名] セクションの下にある証明書を右クリックして [証明書を表示] をクリックします。

AD FS サービス証明書。[トークン署名] セクションがハイライトされて、右クリック オプションから [証明書を表示] が選択されている

b. [証明書] ダイアログで [詳細] タブに切り替えて [ファイルにコピー] をクリックします。

[証明書] 画面の [詳細] タブにフィールドとその値の表が表示されている

c. [証明書エクスポート ウィザード] が開いたら [次へ] をクリックします。

証明書エクスポート ウィザードの [ようこそ] 画面。ウィザードに関する説明が表示されている

d. フォーマットに [Base-64 encoded X.509 (.CER)] を選択して [次へ] をクリックします。

証明書のエクスポートに利用できるファイル形式がリストされた [ファイル形式をエクスポート] 画面

e. [ファイル名] で、エクスポートした証明書の保存先のパスとファイル名を指定して [次へ] をクリックします。

[エクスポートするファイル] 画面。エクスポートするファイル名とパスが [参照] ボタンと併せて表示されている

f. エクスポートした証明書の設定を確認して [完了] をクリックします。

設定を指定して [完了] と [キャンセル] の各ボタンを使用して、証明書エクスポート ウィザード ページを完了している

g. エクスポートした証明書ファイルを開いて、証明書キーをコピーします。admin.atlassian.com の [SAML 構成を追加] 画面に戻って [公開 x509 証明書] フィールドに値を貼り付けます。

メモ帳の base64-cert のスクリーンショット

8. [設定を保存] を選択します。

新しい証明書利用者の信頼を作成する

このセクションの手順を AD FS 管理ツールで完了します。

  1. AD FS 管理ツールの左パネルで [AD FS] を展開して [証明書利用者信頼] を選択して、右パネルで [証明書利用者信頼を追加] をクリックします。

AD FS 管理ツールの [証明書利用者信頼] ウィンドウ。右パネルで [証明書利用者信頼を追加] がハイライトされている

2. [証明書利用者信頼を追加ウィザード] で [要求に対応する] を選択して [開始] をクリックします。

[証明書利用者信頼の追加ウィザード] の [ようこそ] 画面。[要求に対応する] または [要求に対応しない] を選択している

3. [証明書利用者についてのデータを手動で入力する] を選択して [次へ] をクリックします。

証明書利用者信頼を追加ウィザード。データ ソースを選択ステップ

4. 証明書利用者の [表示名] を入力して [次へ] をクリックします。この名前は AD FS 管理ツールの [証明書利用者信頼] リストの下に表示されます。

証明書利用者信頼を追加ウィザード。表示名を指定ステップ

5. [証明書を構成] ステップで [次へ] をクリックします。トークンはセットアップの一部として暗号化不要です。

証明書利用者信頼を追加ウィザード。証明書を構成ステップ

6. [SAML 2.0 WebSSO プロトコルのサポートを有効化] を選択します。

a. admin.atlassian.com の [SAML シングル サインオン] ページから [SP アサーション コンシューマー サービス URL] をコピーして、AD FS ウィザードの [証明書利用者 SAML 2.0 SSO サービスの URL] フィールドに値を貼り付けます。

b. [次へ] をクリックします。

証明書利用者信頼を追加ウィザード。URL を構成ステップ

7. admin.atlassian.com の [SAML シングル サインオン] ページから [SP エンティティ ID] の値をコピーします。

a. AD FS ウィザードの [証明書利用者信頼の識別子] フィールドに値を貼り付けて [追加] をクリックします。

b. [次へ] をクリックします。

証明書利用者信頼を追加ウィザード。識別子を構成ステップ

8. アクセス制御ポリシーのリストで [全員に許可] を選択して [次へ] をクリックします。

証明書利用者信頼を追加ウィザード。アクセス制御ポリシーを選択ステップ

9. [信頼の追加の準備完了] ステップで設定を確認して [次へ] をクリックします。

証明書利用者信頼を追加ウィザード。信頼の追加を準備完了ステップ

10. [閉じる] をクリックしてウィザードを完了します。

このセクションでは、AD FS がアトラシアン組織にクレームを送信する方法について説明します。このマッピングには、AD FS に追加する 2 つのルールが必要です。最初のルールでは、メール、名、姓などの AD フィールドを SAML フィールドにマッピングします。2 番目のルールは、Name Identifier をマップします。

Microsoft Azure を使用している場合は、このチュートリアルを参照し、Atlassian Cloud SSO で Azure AD を構成する」セクションのポイント 14 をお読みください。マッピングに記載されているメールアドレスを (AD からの) ログインに使用します。

  1. AD FS 管理ツールで先ほど追加した証明書利用者信頼を右クリックして [要求発行ポリシーを編集] をクリックします

AD FS 管理ツール。[証明書利用者信頼] を選択してから [要求発行ポリシーを編集] を選択している

2. [規則を追加] をクリックします。

Atlassian Cloud の [要求発行ポリシーを編集] 画面。[発行変換規則] タブ

3. [要求規則テンプレート] ドロップダウンから [カスタム規則を使用して要求を送信] を選択して [次へ] をクリックします。

変換要求規則を追加ウィザード。[規則テンプレートを選択] タブ

4. [要求規則名] に名前を入力します。

a. 次を [要求規則] フィールドにコピーします。

1 2 c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"), query = ";objectSID,mail,givenName,sn;{0}", param = c.Value);

b. [完了] をクリックします。

変換要求規則を追加ウィザード。[規則テンプレートを選択] タブ、要求規則を構成ステップ

5. [規則を追加] をもう一度クリックします。

6. [要求規則テンプレート] ドロップダウンから [カスタム規則を使用して要求を送信] を選択して [次へ] をクリックします。

7. [要求規則名] に名前を入力します。
a. 次を [要求規則] フィールドにコピーします。

1 2 c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");

b. [完了] をクリックします。

変換要求規則を追加ウィザード。[規則テンプレートを選択] タブ、規則タイプを選択ステップ

SAML シングル サインオン統合をテストする

認証ポリシーがあるかどうかによって、2 つのテスト方法があります。

認証ポリシーで SAML シングル サインオンをテストする

認証ポリシーによって、組織内のユーザー セットごとに異なるセキュリティ レベルを設定する柔軟性を得られます。また、認証ポリシーによって、会社全体にロールアウトする前にユーザーのサブセットでさまざまなシングル サインオン設定をテストできるため、リスクを軽減できます。

以下を実行してください。

  • 組織全体でロールアウトする前に、比較的小さいユーザー グループでシングル サインオン (SSO) または 2 段階認証をテストして、正しく設定されていることを確認します。

  • 管理アカウントごとに異なるポリシーを設定することで、ログインして SSO ポリシーをトラブルシューティングするか、プロバイダー統合を特定できます。

認証の設定をテストするには、SAML シングル サインオンを設定して適用する必要があります。次のセクションではその手順について説明します。

認証ポリシー無しの SAML シングル サインオン構成をテストする

Atlassian 組織で [保存] をクリックすると、すぐに SAML 設定が適用されます。ユーザーはログアウトされないため、以下の手順を使用して SAML 設定を調整しながらテストします。

  1. ブラウザで新しいシークレット ウィンドウを開きます。

  2. 検証済みドメインのいずれかのメール アドレスを使用してログインします。

サインインしていることを確認します。ログイン エラーが発生した場合は「SAML シングル サインオンのトラブルシューティング」に移動して構成を調整し、シークレット ウィンドウで再びテストします。

正常にログインできない場合は、構成を削除してユーザーが Atlassian 製品にアクセスできるようにします。

 

さらにヘルプが必要ですか?

アトラシアン コミュニティをご利用ください。