• 製品
  • 関連ドキュメント
  • リソース
製品
関連ドキュメント
リソース
アトラシアン サポート
/
セキュリティ ポリシーとアクセス ポリシーのリソース
/
組織のユーザーのシングル サインオンを構成する
/
SAML シングル サインオンを設定する

AD FS を使用して SAML シングル サインオンを設定する

セキュリティ アサーション マークアップ言語 (SAML) は、アイデンティティ プロバイダーとサービス プロバイダー (Confluence Cloud など) 間で認証データおよび認可データを交換するためのオープン標準です。

このページでは、Active Directory フェデレーション サービス (AD FS) を使用して SAML シングル サインオンを構成する手順について説明します。

はじめる前に

組織管理者は、AD FS で SAML シングル サインオンを構成する前に、いくつかの手順を完了しておく必要があります。

アトラシアン組織の準備

SAML シングル サインオンは、次の手順を完了してから構成できます。

  1. 1 つ以上のドメインを検証済みであること。確認方法については「組織のドメインを検証する」をご参照ください。ドメインを検証すると、検証済みドメインのメール アドレスを使用するすべての Atlassian アカウントが組織で管理されるようになります。

  2. Atlassian Access をサブスクライブする。

また、以下もおすすめします。

  1. アトラシアン製品と AD FS が相互の通信に HTTPS プロトコルを使用していること、また、構成された製品のベース URL が HTTPS のものであることを確認します。

  2. SAML 認証リクエストは限られた期間のみ有効であるため、アイデンティティ プロバイダー サーバーの時刻が NTP を使用して同期されていることを確認します。

  3. SAML 構成に誤りがあった場合に組織にアクセスするために使用できる Atlassian アカウントを作成します。

    • ログインしたときにアカウントが SAML シングルサインオンにリダイレクトされないよう、未検証のドメインのメール アドレスを使用します。

    • ユーザーに組織管理者のアクセス権を付与します。SAML シングル サインオンがユーザーの期待どおりに動作していることを確認したら、管理アクセスを削除できます。

  4. SAML シングル サインオンの構成中はユーザーはアトラシアン製品にログインできなくなるため、SAML への切り替え日時を事前に設定し、ユーザーに事前に通知します。

Microsoft Windows Server を準備する

  1. Active Directory をインストールして実行します。

  2. Microsoft Active Directory Federation Services をインストールします。

  3. Microsoft Active Directory Federation Services を Active Directory に接続します。

SAML シングル サインオンのセットアップ

この設定には、AD FS 2.0 以上が必要です。

直近のテストは Windows Server 2016 DatacenterAD FS 4.0 の組み合わせで行いました。

1. SAML 構成を追加する

次の手順を完了して、Atlassian 組織から SAML 設定を追加します。

  1. admin.atlassian.com に移動します。複数の組織がある場合は、組織を選択します。

  2. [セキュリティ] > [SAML シングル サインオン] の順に選択します。

  3. [SAML 設定を追加] を選択します。

[SAML 構成を追加] 画面。アイデンティティ プロバイダー エンティティ ID、アイデンティティ プロバイダー SSO URL、公開 x509 証明書を含む

4. AD FS 管理ツールの左パネルで [AD FS] を右クリックして、[フェデレーション サービス プロパティを編集] をクリックします。

AD FS の左パネルで右クリックした際のアクションのリスト。[フェデレーション サービス プロパティを編集] がハイライトされている

5. [フェデレーション サービス プロパティ] ダイアログで [フェデレーション サービス識別子] の値をコピーします。

a. admin.atlassian.com の [SAML 構成を追加] 画面に戻ります。

b. [アイデンティティ プロバイダー エンティティ ID] フィールドに値を貼り付けます。

[全般] タブの [フェデレーション サービス プロパティ] 画面。フェデレーション サービスの表示名、名前、識別子を含む

6. AD FS 管理ツールに戻り、左側のパネルで [AD FS] > [Service] > [Endpoints] を選択します。

a. [トークン発行] で [タイプ] が SAML 2.0/WS-Federation の URL パスを検索してコピーします。

SAML 2.0/WS-Federation type タイプを含む、AD FS サービス ディレクトリの下にあるすべてのエンドポイントの画面

b. admin.atlassian.com の [SAML 構成を追加] 画面に戻ります。

c. ご利用のサーバー URL をプレフィックスとするパス (例: https://<myadfsserver.com>/adfs/ls/) を [アイデンティティ プロバイダー SSO URL] フィールドに貼り付けます。

7. 公開キーをエクスポートします。

a. AD FS 管理ツールの右パネルで [AD FS] > [サービス] > [証明書] の順に選択します。[トークン署名] セクションの下にある証明書を右クリックして [証明書を表示] をクリックします。

AD FS サービス証明書。[トークン署名] セクションがハイライトされて、右クリック オプションから [証明書を表示] が選択されている

b. [証明書] ダイアログで [詳細] タブに切り替えて [ファイルにコピー] をクリックします。

[証明書] 画面の [詳細] タブにフィールドとその値の表が表示されている

c. [証明書エクスポート ウィザード] が開いたら [次へ] をクリックします。

証明書エクスポート ウィザードの [ようこそ] 画面。ウィザードに関する説明が表示されている

d. フォーマットに [Base-64 encoded X.509 (.CER)] を選択して [次へ] をクリックします。

証明書のエクスポートに利用できるファイル形式がリストされた [ファイル形式をエクスポート] 画面

e. [ファイル名] で、エクスポートした証明書の保存先のパスとファイル名を指定して [次へ] をクリックします。

[エクスポートするファイル] 画面。エクスポートするファイル名とパスが [参照] ボタンと併せて表示されている

f. エクスポートした証明書の設定を確認して [完了] をクリックします。

設定を指定して [完了] と [キャンセル] の各ボタンを使用して、証明書エクスポート ウィザード ページを完了している

g. エクスポートした証明書ファイルを開いて、証明書キーをコピーします。admin.atlassian.com の [SAML 構成を追加] 画面に戻って [公開 x509 証明書] フィールドに値を貼り付けます。

メモ帳の base64-cert のスクリーンショット

8. [設定を保存] をクリックします。

[SAML 構成を追加] 画面。プロバイダーの詳細と x509 証明書を含む

2. 新しい証明書利用者の信頼を作成する

このセクションの手順を AD FS 管理ツールで完了します。

  1. AD FS 管理ツールの左パネルで [AD FS] を展開して [証明書利用者信頼] を選択して、右パネルで [証明書利用者信頼を追加] をクリックします。

AD FS 管理ツールの [証明書利用者信頼] ウィンドウ。右パネルで [証明書利用者信頼を追加] がハイライトされている

2. [証明書利用者信頼を追加ウィザード] で [要求に対応する] を選択して [開始] をクリックします。

[証明書利用者信頼の追加ウィザード] の [ようこそ] 画面。[要求に対応する] または [要求に対応しない] を選択している

3. [証明書利用者についてのデータを手動で入力する] を選択して [次へ] をクリックします。

証明書利用者信頼を追加ウィザード。データ ソースを選択ステップ

4. 証明書利用者の [表示名] を入力して [次へ] をクリックします。この名前は AD FS 管理ツールの [証明書利用者信頼] リストの下に表示されます。

証明書利用者信頼を追加ウィザード。表示名を指定ステップ

5. [証明書を構成] ステップで [次へ] をクリックします。トークンはセットアップの一部として暗号化不要です。

証明書利用者信頼を追加ウィザード。証明書を構成ステップ

6. [SAML 2.0 WebSSO プロトコルのサポートを有効化] を選択します。

a. admin.atlassian.com の [SAML シングル サインオン] ページから [SP アサーション コンシューマー サービス URL] をコピーして、AD FS ウィザードの [証明書利用者 SAML 2.0 SSO サービスの URL] フィールドに値を貼り付けます。

b. [次へ] をクリックします。

証明書利用者信頼を追加ウィザード。URL を構成ステップ

7. admin.atlassian.com の [SAML シングル サインオン] ページから [SP エンティティ ID] の値をコピーします。

a. AD FS ウィザードの [証明書利用者信頼の識別子] フィールドに値を貼り付けて [追加] をクリックします。

b. [次へ] をクリックします。

証明書利用者信頼を追加ウィザード。識別子を構成ステップ

8. アクセス制御ポリシーのリストで [全員に許可] を選択して [次へ] をクリックします。

証明書利用者信頼を追加ウィザード。アクセス制御ポリシーを選択ステップ

9. [信頼の追加の準備完了] ステップで設定を確認して [次へ] をクリックします。

証明書利用者信頼を追加ウィザード。信頼の追加を準備完了ステップ

10. [閉じる] をクリックしてウィザードを完了します。

3. 証明書利用者の信頼のクレーム ルールを編集する

このセクションでは、AD FS がアトラシアン組織にクレームを送信する方法について説明します。このマッピングには、AD FS に追加する 2 つのルールが必要です。最初のルールでは、メール、名、姓などの AD フィールドを SAML フィールドにマッピングします。2 番目のルールは、Name Identifier をマップします。

Microsoft Azure を使用している場合は、このチュートリアルを参照し、Atlassian Cloud SSO で Azure AD を構成する」セクションのポイント 14 をお読みください。マッピングに記載されているメールアドレスを (AD からの) ログインに使用します。

  1. AD FS 管理ツールで先ほど追加した証明書利用者信頼を右クリックして [要求発行ポリシーを編集] をクリックします

AD FS 管理ツール。[証明書利用者信頼] を選択してから [要求発行ポリシーを編集] を選択している

2. [規則を追加] をクリックします。

Atlassian Cloud の [要求発行ポリシーを編集] 画面。[発行変換規則] タブ

3. [要求規則テンプレート] ドロップダウンから [カスタム規則を使用して要求を送信] を選択して [次へ] をクリックします。

変換要求規則を追加ウィザード。[規則テンプレートを選択] タブ

4. [要求規則名] に名前を入力します。

a. 次を [要求規則] フィールドにコピーします。

1 2 c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"), query = ";objectSID,mail,givenName,sn;{0}", param = c.Value);

b. [完了] をクリックします。

変換要求規則を追加ウィザード。[規則テンプレートを選択] タブ、要求規則を構成ステップ

5. [規則を追加] をもう一度クリックします。

6. [要求規則テンプレート] ドロップダウンから [カスタム規則を使用して要求を送信] を選択して [次へ] をクリックします。

7. [要求規則名] に名前を入力します。
a. 次を [要求規則] フィールドにコピーします。

1 2 c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");

b. [完了] をクリックします。

変換要求規則を追加ウィザード。[規則テンプレートを選択] タブ、規則タイプを選択ステップ

4. SAML シングル サインオン統合をテストする

  1. id.atlassian.com に移動して Active Directory でユーザーのメール アドレスを入力し [続行] をクリックします。

Atlassian ログイン画面

2. AD FS のログイン ページにリダイレクトされます。資格情報を入力して [サインイン] をクリックします。

AD FS ログイン ページ

構成が正常に行われていた場合、start.atlassian.com に移動します。

その他のヘルプ

このページの内容はじめる前にアトラシアン組織の準備Microsoft Windows Server を準備するSAML シングル サインオンのセットアップ1. SAML 構成を追加する2. 新しい証明書利用者の信頼を作成する3. 証明書利用者の信頼のクレーム ルールを編集する4. SAML シングル サインオン統合をテストする
コミュニティ質問、ディスカッション、記事