セキュリティ ソリューションと標準を確認する
セキュリティに関心がおありですか? アトラシアンも関心があります。アトラシアンの取り組みと、お客様にもできることをご確認ください。
AD FS を使用して SAML シングル サインオンを設定する
現在、SAML シングル サインオンは ID プロバイダーを管理している場所と同じ場所にあります。これを見つけるには、[セキュリティ] > [ID プロバイダー] の順に移動します。ID プロバイダーの詳細についてご確認ください
セキュリティ アサーション マークアップ言語 (SAML) は、アイデンティティ プロバイダーとサービス プロバイダー (Confluence Cloud など) 間で認証データおよび認可データを交換するためのオープン標準です。
このページでは、Active Directory フェデレーション サービス (AD FS) を使用して SAML シングル サインオンを構成する手順について説明します。
はじめる前に
AD FS を使用して SAML シングル サインオンをセットアップする前に、次のことを実行する必要があります。
組織から Atlassian Access をサブスクライブします。詳細については、「Atlassian Access のセキュリティ ポリシーと機能」をご参照ください。
自身が Atlassian 組織の管理者であることを確認します。「組織の管理」の詳細についてご確認ください
組織内で 1 つ以上のドメインを検証します。「ドメイン検証」の詳細についてご確認ください
組織に ID プロバイダー ディレクトリを追加します。ID プロバイダーを追加する方法の詳細についてご確認ください
認証済みドメインを ID プロバイダー ディレクトリにリンクします。ドメインをリンクする方法の詳細についてご確認ください
セットアップ中はアトラシアン製品にログインできなくなることをユーザーに知らせる
SAML 設定をテストするための認証ポリシーを作成します。SAML をセットアップしたら、この認証ポリシーでシングル サインオンを有効にできます。
アトラシアン組織の準備
また、以下もおすすめします。
アトラシアン製品と AD FS が相互の通信に HTTPS プロトコルを使用していること、また、構成された製品のベース URL が HTTPS のものであることを確認します。
SAML 認証リクエストは限られた期間のみ有効であるため、アイデンティティ プロバイダー サーバーの時刻が NTP を使用して同期されていることを確認します。
SAML 設定に誤りがあった場合に組織にアクセスするために使用できる Atlassian アカウントを作成します。
ログインしたときにアカウントが SAML シングルサインオンにリダイレクトされないよう、未検証のドメインのメール アドレスを使用します。
ユーザーに組織管理者のアクセス権を付与します。SAML シングル サインオンがユーザーの期待どおりに動作していることを確認したら、管理アクセスを削除できます。
Microsoft Windows Server を準備する
Active Directory をインストールして実行します。
Microsoft Active Directory Federation Services をインストールします。
Microsoft Active Directory Federation Services を Active Directory に接続します。
SAML シングル サインオンのセットアップ
この設定には、AD FS 2.0 以上が必要です。
直近のテストは Windows Server 2016 Datacenter と AD FS 4.0 の組み合わせで行いました。
SAML 構成の追加
次の手順を完了して、Atlassian 組織から SAML 設定を追加します。
admin.atlassian.com で、ご利用の組織から[セキュリティ] > [ID プロバイダー] の順に選択します。
AD FS ディレクトリを選択します。
[SAML シングル サインオンをセットアップ] を選択します。
SAML の詳細を追加する
AD FS 管理ツールの左パネルで [AD FS] を右クリックして、[フェデレーション サービス プロパティを編集] をクリックします。
5. [フェデレーション サービス プロパティ] ダイアログで [フェデレーション サービス識別子] の値をコピーします。
a. admin.atlassian.com の [SAML 構成を追加] 画面に戻ります。
b. [アイデンティティ プロバイダー エンティティ ID] フィールドに値を貼り付けます。
6. AD FS 管理ツールに戻り、左側のパネルで [AD FS] > [Service] > [Endpoints] を選択します。
a. [トークン発行] で [タイプ] が SAML 2.0/WS-Federation の URL パスを検索してコピーします。
b. admin.atlassian.com の [SAML 構成を追加] 画面に戻ります。
c. ご利用のサーバー URL をプレフィックスとするパス (例: https://<myadfsserver.com>/adfs/ls/) を [アイデンティティ プロバイダー SSO URL] フィールドに貼り付けます。
7. 公開キーをエクスポートします。
a. AD FS 管理ツールの右パネルで [AD FS] > [サービス] > [証明書] の順に選択します。[トークン署名] セクションの下にある証明書を右クリックして [証明書を表示] をクリックします。
b. [証明書] ダイアログで [詳細] タブに切り替えて [ファイルにコピー] をクリックします。
c. [証明書エクスポート ウィザード] が開いたら [次へ] をクリックします。
d. フォーマットに [Base-64 encoded X.509 (.CER)] を選択して [次へ] をクリックします。
e. [ファイル名] で、エクスポートした証明書の保存先のパスとファイル名を指定して [次へ] をクリックします。
f. エクスポートした証明書の設定を確認して [完了] をクリックします。
g. エクスポートした証明書ファイルを開いて、証明書キーをコピーします。admin.atlassian.com の [SAML 構成を追加] 画面に戻って [公開 x509 証明書] フィールドに値を貼り付けます。
8. [設定を保存] を選択します。
新しい証明書利用者の信頼を作成する
このセクションの手順を AD FS 管理ツールで完了します。
AD FS 管理ツールの左パネルで [AD FS] を展開して [証明書利用者信頼] を選択して、右パネルで [証明書利用者信頼を追加] をクリックします。
2. [証明書利用者信頼を追加ウィザード] で [要求に対応する] を選択して [開始] をクリックします。
3. [証明書利用者についてのデータを手動で入力する] を選択して [次へ] をクリックします。
4. 証明書利用者の [表示名] を入力して [次へ] をクリックします。この名前は AD FS 管理ツールの [証明書利用者信頼] リストの下に表示されます。
5. [証明書を構成] ステップで [次へ] をクリックします。トークンはセットアップの一部として暗号化不要です。
6. [SAML 2.0 WebSSO プロトコルのサポートを有効化] を選択します。
a. admin.atlassian.com の [SAML シングル サインオン] ページから [SP アサーション コンシューマー サービス URL] をコピーして、AD FS ウィザードの [証明書利用者 SAML 2.0 SSO サービスの URL] フィールドに値を貼り付けます。
b. [次へ] をクリックします。
7. admin.atlassian.com の [SAML シングル サインオン] ページから [SP エンティティ ID] の値をコピーします。
a. AD FS ウィザードの [証明書利用者信頼の識別子] フィールドに値を貼り付けて [追加] をクリックします。
b. [次へ] をクリックします。
8. アクセス制御ポリシーのリストで [全員に許可] を選択して [次へ] をクリックします。
9. [信頼の追加の準備完了] ステップで設定を確認して [次へ] をクリックします。
10. [閉じる] をクリックしてウィザードを完了します。
このセクションでは、AD FS がアトラシアン組織にクレームを送信する方法について説明します。このマッピングには、AD FS に追加する 2 つのルールが必要です。最初のルールでは、メール、名、姓などの AD フィールドを SAML フィールドにマッピングします。2 番目のルールは、Name Identifier をマップします。
Microsoft Azure を使用している場合は、このチュートリアルを参照し、「Atlassian Cloud SSO で Azure AD を構成する」セクションのポイント 14 をお読みください。マッピングに記載されているメールアドレスを (AD からの) ログインに使用します。
AD FS 管理ツールで先ほど追加した証明書利用者信頼を右クリックして [要求発行ポリシーを編集] をクリックします。
2. [規則を追加] をクリックします。
3. [要求規則テンプレート] ドロップダウンから [カスタム規則を使用して要求を送信] を選択して [次へ] をクリックします。
4. [要求規則名] に名前を入力します。
a. 次を [要求規則] フィールドにコピーします。
1
2
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"), query = ";objectSID,mail,givenName,sn;{0}", param = c.Value);b. [完了] をクリックします。
5. [規則を追加] をもう一度クリックします。
6. [要求規則テンプレート] ドロップダウンから [カスタム規則を使用して要求を送信] を選択して [次へ] をクリックします。
7. [要求規則名] に名前を入力します。
a. 次を [要求規則] フィールドにコピーします。
1
2
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");b. [完了] をクリックします。
SAML シングル サインオン統合をテストする
認証ポリシーがあるかどうかによって、2 つのテスト方法があります。
認証ポリシーで SAML シングル サインオンをテストする
認証ポリシーによって、組織内のユーザー セットごとに異なるセキュリティ レベルを設定する柔軟性を得られます。また、認証ポリシーによって、会社全体にロールアウトする前にユーザーのサブセットでさまざまなシングル サインオン設定をテストできるため、リスクを軽減できます。
以下を実行してください。
組織全体でロールアウトする前に、比較的小さいユーザー グループでシングル サインオン (SSO) または 2 段階認証をテストして、正しく設定されていることを確認します。
管理アカウントごとに異なるポリシーを設定することで、ログインして SSO ポリシーをトラブルシューティングするか、プロバイダー統合を特定できます。
認証の設定をテストするには、SAML シングル サインオンを設定して適用する必要があります。次のセクションではその手順について説明します。
認証ポリシー無しの SAML シングル サインオン構成をテストする
Atlassian 組織で [保存] をクリックすると、すぐに SAML 設定が適用されます。ユーザーはログアウトされないため、以下の手順を使用して SAML 設定を調整しながらテストします。
ブラウザで新しいシークレット ウィンドウを開きます。
検証済みドメインのいずれかのメール アドレスを使用してログインします。
サインインしていることを確認します。ログイン エラーが発生した場合は「SAML シングル サインオンのトラブルシューティング」に移動して構成を調整し、シークレット ウィンドウで再びテストします。
正常にログインできない場合は、構成を削除してユーザーが Atlassian 製品にアクセスできるようにします。
この内容はお役に立ちましたか?