AD FS を使用して SAML シングル サインオンを設定する

セキュリティ アサーション マークアップ言語 (SAML) は、アイデンティティ プロバイダーとサービス プロバイダー (Confluence Cloud など) 間で認証データおよび認可データを交換するためのオープン標準です。

このページでは、Active Directory フェデレーション サービス (AD FS) を使用して SAML シングル サインオンを構成する手順について説明します。

はじめる前に

組織管理者は、AD FS で SAML シングル サインオンを構成する前に、いくつかの手順を完了しておく必要があります。

アトラシアン組織の準備

SAML シングル サインオンは、次の手順を完了してから構成できます。

  1. 1 つ以上のドメインを検証済みであること。確認方法については「組織のドメインを検証する」をご参照ください。ドメインを検証すると、検証済みドメインのメール アドレスを使用するすべての Atlassian アカウントが組織で管理されるようになります。

  2. Atlassian Access をサブスクライブする。

また、以下もおすすめします。

  1. アトラシアン製品と AD FS が相互の通信に HTTPS プロトコルを使用していること、また、構成された製品のベース URL が HTTPS のものであることを確認します。

  2. SAML 認証リクエストは限られた期間のみ有効であるため、アイデンティティ プロバイダー サーバーの時刻が NTP を使用して同期されていることを確認します。

  3. SAML 構成に誤りがあった場合に組織にアクセスするために使用できる Atlassian アカウントを作成します。

    • ログインしたときにアカウントが SAML シングルサインオンにリダイレクトされないよう、未検証のドメインのメール アドレスを使用します。

    • ユーザーに組織管理者のアクセス権を付与します。SAML シングル サインオンがユーザーの期待どおりに動作していることを確認したら、管理アクセスを削除できます。

  4. SAML シングル サインオンの構成中はユーザーはアトラシアン製品にログインできなくなるため、SAML への切り替え日時を事前に設定し、ユーザーに事前に通知します。

Microsoft Windows Server を準備する

  1. Active Directory をインストールして実行します。

  2. Microsoft Active Directory Federation Services をインストールします。

  3. Microsoft Active Directory Federation Services を Active Directory に接続します。

SAML シングル サインオンのセットアップ

この設定には、AD FS 2.0 以上が必要です。

直近のテストは Windows Server 2016 DatacenterAD FS 4.0 の組み合わせで行いました。

1. SAML 構成を追加する

次の手順を完了して、Atlassian 組織から SAML 設定を追加します。

  1. admin.atlassian.com に移動します。複数の組織がある場合は、組織を選択します。

  2. [セキュリティ] > [SAML シングル サインオン] の順に選択します。

  3. [SAML 設定を追加] を選択します。

[SAML 構成を追加] 画面。アイデンティティ プロバイダー エンティティ ID、アイデンティティ プロバイダー SSO URL、公開 x509 証明書を含む

4. AD FS 管理ツールの左パネルで [AD FS] を右クリックして、[フェデレーション サービス プロパティを編集] をクリックします。

AD FS の左パネルで右クリックした際のアクションのリスト。[フェデレーション サービス プロパティを編集] がハイライトされている

5. [フェデレーション サービス プロパティ] ダイアログで [フェデレーション サービス識別子] の値をコピーします。

a. admin.atlassian.com の [SAML 構成を追加] 画面に戻ります。

b. [アイデンティティ プロバイダー エンティティ ID] フィールドに値を貼り付けます。

[全般] タブの [フェデレーション サービス プロパティ] 画面。フェデレーション サービスの表示名、名前、識別子を含む

6. AD FS 管理ツールに戻り、左側のパネルで [AD FS] > [Service] > [Endpoints] を選択します。

a. [トークン発行] で [タイプ] が SAML 2.0/WS-Federation の URL パスを検索してコピーします。

SAML 2.0/WS-Federation type タイプを含む、AD FS サービス ディレクトリの下にあるすべてのエンドポイントの画面

b. admin.atlassian.com の [SAML 構成を追加] 画面に戻ります。

c. ご利用のサーバー URL をプレフィックスとするパス (例: https://<myadfsserver.com>/adfs/ls/) を [アイデンティティ プロバイダー SSO URL] フィールドに貼り付けます。

7. 公開キーをエクスポートします。

a. AD FS 管理ツールの右パネルで [AD FS] > [サービス] > [証明書] の順に選択します。[トークン署名] セクションの下にある証明書を右クリックして [証明書を表示] をクリックします。

AD FS サービス証明書。[トークン署名] セクションがハイライトされて、右クリック オプションから [証明書を表示] が選択されている

b. [証明書] ダイアログで [詳細] タブに切り替えて [ファイルにコピー] をクリックします。

[証明書] 画面の [詳細] タブにフィールドとその値の表が表示されている

c. [証明書エクスポート ウィザード] が開いたら [次へ] をクリックします。

証明書エクスポート ウィザードの [ようこそ] 画面。ウィザードに関する説明が表示されている

d. フォーマットに [Base-64 encoded X.509 (.CER)] を選択して [次へ] をクリックします。

証明書のエクスポートに利用できるファイル形式がリストされた [ファイル形式をエクスポート] 画面

e. [ファイル名] で、エクスポートした証明書の保存先のパスとファイル名を指定して [次へ] をクリックします。

[エクスポートするファイル] 画面。エクスポートするファイル名とパスが [参照] ボタンと併せて表示されている

f. エクスポートした証明書の設定を確認して [完了] をクリックします。

設定を指定して [完了] と [キャンセル] の各ボタンを使用して、証明書エクスポート ウィザード ページを完了している

g. エクスポートした証明書ファイルを開いて、証明書キーをコピーします。admin.atlassian.com の [SAML 構成を追加] 画面に戻って [公開 x509 証明書] フィールドに値を貼り付けます。

メモ帳の base64-cert のスクリーンショット

8. [設定を保存] をクリックします。

[SAML 構成を追加] 画面。プロバイダーの詳細と x509 証明書を含む

2. 新しい証明書利用者の信頼を作成する

このセクションの手順を AD FS 管理ツールで完了します。

  1. AD FS 管理ツールの左パネルで [AD FS] を展開して [証明書利用者信頼] を選択して、右パネルで [証明書利用者信頼を追加] をクリックします。

AD FS 管理ツールの [証明書利用者信頼] ウィンドウ。右パネルで [証明書利用者信頼を追加] がハイライトされている

2. [証明書利用者信頼を追加ウィザード] で [要求に対応する] を選択して [開始] をクリックします。

[証明書利用者信頼の追加ウィザード] の [ようこそ] 画面。[要求に対応する] または [要求に対応しない] を選択している

3. [証明書利用者についてのデータを手動で入力する] を選択して [次へ] をクリックします。

証明書利用者信頼を追加ウィザード。データ ソースを選択ステップ

4. 証明書利用者の [表示名] を入力して [次へ] をクリックします。この名前は AD FS 管理ツールの [証明書利用者信頼] リストの下に表示されます。

証明書利用者信頼を追加ウィザード。表示名を指定ステップ

5. [証明書を構成] ステップで [次へ] をクリックします。トークンはセットアップの一部として暗号化不要です。

証明書利用者信頼を追加ウィザード。証明書を構成ステップ

6. [SAML 2.0 WebSSO プロトコルのサポートを有効化] を選択します。

a. admin.atlassian.com の [SAML シングル サインオン] ページから [SP アサーション コンシューマー サービス URL] をコピーして、AD FS ウィザードの [証明書利用者 SAML 2.0 SSO サービスの URL] フィールドに値を貼り付けます。

b. [次へ] をクリックします。

証明書利用者信頼を追加ウィザード。URL を構成ステップ

7. admin.atlassian.com の [SAML シングル サインオン] ページから [SP エンティティ ID] の値をコピーします。

a. AD FS ウィザードの [証明書利用者信頼の識別子] フィールドに値を貼り付けて [追加] をクリックします。

b. [次へ] をクリックします。

証明書利用者信頼を追加ウィザード。識別子を構成ステップ

8. アクセス制御ポリシーのリストで [全員に許可] を選択して [次へ] をクリックします。

証明書利用者信頼を追加ウィザード。アクセス制御ポリシーを選択ステップ

9. [信頼の追加の準備完了] ステップで設定を確認して [次へ] をクリックします。

証明書利用者信頼を追加ウィザード。信頼の追加を準備完了ステップ

10. [閉じる] をクリックしてウィザードを完了します。

3. 証明書利用者の信頼のクレーム ルールを編集する

このセクションでは、AD FS がアトラシアン組織にクレームを送信する方法について説明します。このマッピングには、AD FS に追加する 2 つのルールが必要です。最初のルールでは、メール、名、姓などの AD フィールドを SAML フィールドにマッピングします。2 番目のルールは、Name Identifier をマップします。

Microsoft Azure を使用している場合は、このチュートリアルを参照し、Atlassian Cloud SSO で Azure AD を構成する」セクションのポイント 14 をお読みください。マッピングに記載されているメールアドレスを (AD からの) ログインに使用します。

  1. AD FS 管理ツールで先ほど追加した証明書利用者信頼を右クリックして [要求発行ポリシーを編集] をクリックします

AD FS 管理ツール。[証明書利用者信頼] を選択してから [要求発行ポリシーを編集] を選択している

2. [規則を追加] をクリックします。

Atlassian Cloud の [要求発行ポリシーを編集] 画面。[発行変換規則] タブ

3. [要求規則テンプレート] ドロップダウンから [カスタム規則を使用して要求を送信] を選択して [次へ] をクリックします。

変換要求規則を追加ウィザード。[規則テンプレートを選択] タブ

4. [要求規則名] に名前を入力します。

a. 次を [要求規則] フィールドにコピーします。

1 2 c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"), query = ";objectSID,mail,givenName,sn;{0}", param = c.Value);

b. [完了] をクリックします。

変換要求規則を追加ウィザード。[規則テンプレートを選択] タブ、要求規則を構成ステップ

5. [規則を追加] をもう一度クリックします。

6. [要求規則テンプレート] ドロップダウンから [カスタム規則を使用して要求を送信] を選択して [次へ] をクリックします。

7. [要求規則名] に名前を入力します。
a. 次を [要求規則] フィールドにコピーします。

1 2 c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");

b. [完了] をクリックします。

変換要求規則を追加ウィザード。[規則テンプレートを選択] タブ、規則タイプを選択ステップ

4. SAML シングル サインオン統合をテストする

  1. id.atlassian.com に移動して Active Directory でユーザーのメール アドレスを入力し [続行] をクリックします。

Atlassian ログイン画面

2. AD FS のログイン ページにリダイレクトされます。資格情報を入力して [サインイン] をクリックします。

AD FS ログイン ページ

構成が正常に行われていた場合、start.atlassian.com に移動します。

その他のヘルプ