セキュリティ ソリューションと標準を確認する
セキュリティに関心がおありですか? アトラシアンも関心があります。アトラシアンの取り組みと、お客様にもできることをご確認ください。
現在、SAML シングル サインオンは ID プロバイダーを管理している場所と同じ場所にあります。[セキュリティ] > [ ID プロバイダー] を選択します。ID プロバイダーについてはこちらをご確認ください。
誰がこれを実行できますか? |
セキュリティ アサーション マークアップ言語 (SAML) は、パーティ間、特にアイデンティティ プロバイダーとサービス プロバイダー間で認証データと認可データを交換するためのオープン標準です。
ユーザーは SAML SSO (シングル サインオン) によって、Atlassian Cloud 製品にログインする際に自社の ID プロバイダーを介して認証できます。ユーザーは SSO によって一度認証したあとは、そのセッション中は複数の製品にアクセスする際に各製品の認証が不要になります。SSO は検証済みドメインのユーザー アカウントにのみ適用されます。ドメインの検証方法についてはこちらをご確認ください。
ユーザーが SAML シングル サインオンでログインできる場合でも、アトラシアンの製品とサイトへのアクセス権を付与する必要があります。「製品アクセス設定の更新方法」と「ユーザーがサイトへのアクセス権を取得する方法」をご確認ください。
サイトのユーザーを Google Workspace で管理する場合は、Google Workspace に用意されている SSO 機能を使用する必要があります。Google Workspace との連携方法についてはこちらをご確認ください。
SSO を SAML または Google Workspace で設定する場合は、認証ポリシーによってユーザーのサブセットに SSO を適用する必要があります。認証設定とメンバーの編集方法についてはこちらをご確認ください。
組織から Atlassian Guard Standard に登録します。Atlassian Guard について
ご自身が Atlassian 組織の管理者であることを確認します。
組織内で 1 つ以上のドメインを検証します。ドメインの検証方法についてはこちらをご確認ください。
組織に ID プロバイダー ディレクトリを追加します。ID プロバイダーを追加する方法についてはこちらをご確認ください。
認証済みドメインを ID プロバイダー ディレクトリにリンクします。ドメインをリンクする方法についてはこちらをご確認ください。
Atlassian 製品とご利用の ID プロバイダーが HTTPS プロトコルを使用して通信していて、設定された製品のベース URL が HTTPS の URL であることを確認します。
ID プロバイダー サーバーの時計が NTP と同期していることを確認します。SAML 認証リクエストは限られた回数のみ有効です。
SAML 構成をセットアップしてテストするためのダウンタイムを計画します。
SAML 構成をテストするための認証ポリシーを作成します。 ユーザーをテスト ポリシーに追加します。SAML をセットアップした後で、シングル サインオンをこのテスト ポリシーに対して有効にできます。
任意の ID プロバイダーを使用できますが、一部の機能は特定の ID プロバイダーでのみ使用できます。サポートされている ID プロバイダーについてはこちらをご確認ください。
シングル サインオンのセットアップに関連する手順は、使用する ID プロバイダーによって異なります。お使いの ID プロバイダーの設定手順をご参照ください。
アイデンティティ プロバイダー | セットアップ手順 |
---|---|
Active Directory フェデレーション サービス (AD FS) | |
Auth0 | |
CyberArk (Idaptive) | |
Google Cloud | アトラシアン向けの Google Cloud での SAML シングル サインオン (Google Workspace セットアップとは異なります) |
JumpCloud | |
Microsoft Azure AD | |
miniOrange | |
Okta | |
OneLogin | OneLogin にログインして、これらのページを表示します。 |
PingFederate |
ID プロバイダーをセットアップする際には、次の SAML 属性を使用します。
手順説明 | SAML 属性 | ID プロバイダーへのマッピング |
---|---|---|
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname | ユーザーの名 |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname | ユーザーの姓 | |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name、または http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn | 変更されないユーザーの内部 ID。 ユーザーのメール アドレスをこの ID に使用しないでください。 | |
必須 | NameID |
|
*Apply user principal name only for Microsoft Azure AD for nested groups
admin.atlassian.com に移動します。複数の組織がある場合は、組織を選択します。
[セキュリティ] > [ID プロバイダー] の順に選択します。
ID プロバイダー ディレクトリを選択します。
[SAML シングル サインオンをセットアップ] を選択します。
SAML の詳細を追加します。
SAML 設定を保存。
SAML の詳細 | 説明 |
---|---|
アイデンティティ プロバイダー エンティティ ID | この値は、製品が認証リクエストを許可するアイデンティティ プロバイダーの URL です。 |
アイデンティティ プロバイダー SSO URL | この値はユーザーがログイン時にリダイレクトされる URL を定義します。 |
公開 x509 証明書 | この値は、「-----BEGIN CERTIFICATE-----」で始まります。 この証明書には、受信したすべての SAML 認証リクエストがアイデンティティ プロバイダーで発行されていることを検証するために使用する公開鍵が含まれています。 |
サービス プロバイダーのエンティティ URL
サービス プロバイダーのアサーション コンシューマー サービス URL
URL をコピーする際に [保存] を ID プロバイダーで選択します。
オンプレミスのアイデンティティ プロバイダーを使用する場合、ユーザーは内部ネットワークまたは VPN 接続からアイデンティティ プロバイダーにアクセス可能な場合にのみ認証することができます。
認証ポリシーを表示できない場合は、組織にアクセスするために使用できる一時的な Atlassian テスト アカウントを作成します。この組織で検証されていないドメインの一時的なアカウントには、メール アドレスを使用します。これによって、ログイン時にアカウントが SAML シングル サインオンにリダイレクトされなくなります。
[設定を保存] を選択すると、SAML が Atlassian 組織に適用されます。ユーザーはログアウトされないため、次のステップに従って SAML 構成をテストできます。
ブラウザで新しいシークレット ウィンドウを開きます。
検証済みドメインのいずれかのメール アドレスを使用してログインします。
サインインしていることを確認します。ログイン エラーが発生した場合は「SAML シングル サインオンのトラブルシューティング」に移動して構成を調整し、シークレット ウィンドウで再びテストします。
正常にログインできない場合は、構成を削除してユーザーが Atlassian 製品にアクセスできるようにします。
認証ポリシーによって、組織内のユーザー セットごとに異なるセキュリティ レベルを設定する柔軟性を得られます。また、認証ポリシーによって、会社全体にロールアウトする前にユーザーのサブセットでさまざまなシングル サインオン設定をテストできるため、リスクを軽減できます。
以下を実行してください。
組織全体でロールアウトする前に、比較的小さいユーザー グループでシングル サインオン (SSO) または 2 段階認証をテストして、正しく設定されていることを確認します。
管理アカウントごとに異なるポリシーを設定することで、ログインして SSO ポリシーをトラブルシューティングするか、プロバイダー統合を特定できます。
認証の設定をテストするには、SAML シングル サインオンを設定して適用する必要があります。次のセクションではその手順について説明します。
SAML を設定して保存し、認証ポリシーで SAML シングル サインオンを適用する必要があります。
認証ポリシーからの SAML シングル サインオンの設定:
admin.atlassian.com に移動します。複数の組織がある場合は、組織を選択します。
[セキュリティ] > [認証ポリシー] の順に選択します。
設定するポリシーの [編集] を選択します。
[SAML シングル サインオンを使用] を選択すると、認証ポリシーから SAML SSO 構成ページにリダイレクトされます。
SAML SSO の設定を完了すると、ポリシーで SSO を適用する必要があります。
シングル サインオンを適用するには、次の手順に従います。
admin.atlassian.com に移動します。複数の組織がある場合は、組織を選択します。
[セキュリティ] > [認証ポリシー] の順に選択します。
強制するポリシーの [編集] を選択します。
[Enforce single sign-on (シングル サインオンの強制)] を選択します。
SAML ジャスト イン タイムによってユーザーをプロビジョニングする場合は、次の 2 ステップを完了する必要があります。
ドメインをアイデンティティ プロバイダー ディレクトリにリンクする
SAML シングル サインオンを既定の認証ポリシーで強制する
ステップを完了したあとにユーザーが SAML で初めてログインすると、そのユーザーの Atlassian アカウントが自動で作成されて ID プロバイダー ディレクトリに SAML を介してプロビジョニングされます。ID プロバイダー ディレクトリの詳細をご確認ください。
SAML ジャスト イン タイムによってユーザーをプロビジョニングする場合は、1 つ以上のドメインをご利用の ID プロバイダー ディレクトリにリンクする必要があります。ドメインをリンクすると、ドメインのユーザー アカウントがこのディレクトリに自動で関連付けられます。
ドメインをディレクトリにリンクするには、次の手順に従います。
admin.atlassian.com に移動します。複数の組織がある場合は、組織を選択します。
[セキュリティ] > [ID プロバイダー] の順に選択します。
表示するディレクトリを選択します。
[ドメインを表示] を選択して、ドメインをディレクトリにリンクします。
[ドメインをリンク] を選択します。
このディレクトリにリンクする 1 つ以上のドメインを選択します。
すべての組織には、そのユーザーに対するログイン設定を含む既定の認証ポリシーがあります。新しいアカウントをプロビジョニングすると、新しいユーザーが既定のポリシーに追加されます。
ジャストインタイム プロビジョニングで認証ポリシーを活用するには、デフォルト ポリシーに SAML シングル サインオンを適用する必要があります。
SAML シングル サインオンを既定のポリシーに適用しない場合は、ユーザーを SCIM でプロビジョニングできます。ID プロバイダーのメールを変更すると、Atlassian アカウントが自動でアップデートされます。
ID プロバイダーのメールを変更する場合は、Atlassian アカウントのメールを手動でアップデートする必要があります。
最初の Atlassian メールをアップデートしない場合は、2 つ目のメール アカウントがユーザーのログイン時に作成されます。このアカウントでは、サイトや製品にアクセスできません。これを修正するには、最初のメール アカウントをアップデートまたは削除します。アカウントのメールをアップデートする
自動ユーザー プロビジョニングによって、アイデンティティ プロバイダと Atlassian Cloud 製品間の直接同期を実現できます。つまり、社員の入社時や、新しい部門への異動時などに、手動でユーザー アカウントを作成する必要がなくなります。
プロビジョニング解除を自動化すると、退職した社員のアクセス権を削除して情報漏えいのリスクを軽減できます。社員が会社やグループを退職した際は、該当する社員を自動で削除します。これによって請求を管理できます。ユーザー プロビジョニングのオプションを次に示します。
SCIM によるプロビジョニング - Atlassian Guard Standard をサブスクライブすると、アトラシアン クラウド ツールを ID プロバイダーと直接同期し、ユーザーやグループのプロビジョニングとプロビジョニング解除を自動化できます。ユーザー プロビジョニングについて
Google Workspace によるプロビジョニング - Atlassian Cloud ツールを Google Workspace と同期してプロビジョニングできます。ただし、グループの分類はサイトに反映されません。Google Workspace への接続についてはこちらをご確認ください。
ユーザーによる REST API 経由での組織データの取得を防止するには、組織とアイデンティティ プロバイダーの両方でユーザーを無効化します。
組織でユーザー プロビジョニングもセットアップ済みの場合、アイデンティティ プロバイダー側でのユーザーの無効化のみが必要です。
組織で Atlassian パスワード ポリシーと 2 段階認証が設定されている場合に SAML シングル サインオンを設定すると、ユーザーはそれらの対象外になります。つまり、パスワード要件と 2 段階認証はログイン プロセスで基本的に「スキップ」されます。
代わりにアイデンティティ プロバイダーが提供する同等の仕組みを使用することをお勧めします。
SAML シングル サインオン構成を削除する前に、ユーザーがログインするためのパスワードを持っていることをご確認ください。
SAML シングル サインオンを有効にする前は、ユーザーは自分の Atlassian アカウント用に保持しているパスワードを使用できます。
SAML シングル サインオンを有効にしたあとに参加したユーザーは、次回ログイン時に Atlassian アカウントのパスワードをリセットする必要があります。
SAML シングル サインオンを削除するには、次の手順に従います。
admin.atlassian.com に移動します。複数の組織がある場合は、組織を選択します。
[セキュリティ] > [ID プロバイダー] の順に選択します。
表示するディレクトリを選択します。
[SAML 構成を表示] を選択します。
[構成を削除] を選択します。
また、SAML 構成を ID プロバイダーから削除することをお勧めします。
SAML シングル サインオンを削除しても、Atlassian Guard Standard のサブスクリプションは引き続き残っています。 Atlassian Guard Standard が不要になった場合は、サブスクリプションを解約する必要があります。解約方法
エラーが ID プロバイダーで発生する場合は、アトラシアン サポートではなく ID プロバイダーが提供するサポートとツールをご利用ください。
SAML を設定する前に、未検証のドメインからのメールで Atlassian ユーザー アカウントを作成します。
そのユーザーを組織管理者にします。
SAML で認証する必要がないため、このアカウントでログインしてトラブルシューティングを行います。
組織の SAML シングル サインオン ページに移動して、すべてのユーザーの SAML シングル サインオンを修正するか無効化します。
問題が解消されない場合は、SAML 設定を削除して Atlassian アカウントのパスワード認証に戻します。
SAML 設定を削除すると、パスワード ポリシー画面ですべてのユーザーのパスワードを無効化することができます。これによって、Atlassian アカウント パスワードのパスワード リセット プロセスを利用するようにユーザーに要求できます。
SAML を設定する前に、未検証のドメインからのメールで Atlassian ユーザー アカウントを作成します。
そのユーザーを組織管理者にします。
SAML シングル サインオンを適用せずに、認証ポリシーにユーザーを追加します。
SAML で認証する必要がないため、このアカウントでログインしてトラブルシューティングを行います。
ID プロバイダー ディレクトリの SAML シングル サインオンに移動して、すべてのユーザーに対して無効にします。
SAML 設定を削除する場合は、認証ポリシーで SAML シングル サインオンが使用されていないことを確認します。
ユーザーのロックアウトを防ぐには、SAML シングル サインオンを適用しないポリシーにユーザーを移動する必要があります。
証明書エラーが発生した場合は、次のいずれかの手順を試してエラーを解決してください。
証明書をもう一度コピーして貼り付けます。その際に次を含めてください。
証明書のすべての行。
“-----BEGIN CERTIFICATE-----” and end with “-----END CERTIFICATE-----' から始めます。
ID プロバイダーから提供された証明書が不完全である可能性があります。証明書をダウンロードして [公開 x509 証明書] フィールドにコピー & ペーストします。
サポート チケットを送信する際に、SAML Tracer Firefox アアプリドオンから検索できる SAMLRequest と SAMLResponsアプリアプリe の各ペイロードを添付してください。課題の潜在的な原因をより迅速に特定できるようになります。
エラー | 発生する可能性がある問題 |
"The authenticated email address we expected was 'xxx,' but we received 'xxx.’ (必要な認証済みメール アドレスは 'xxx,' でしたが 'xxx.’ を受信しました)Please ensure they match exactly, including case sensitivity (大小文字を含めて正確に一致するようにご確認ください).Contact your admin to change your email to match (メール アドレスが一致するように、管理者にお問い合わせください)." | ユーザーが Atlassian アカウントとは異なるメール アドレスで IdP にログインしようとしました。ユーザーが正しいメール アドレスでログインしていることをご確認ください。メール アドレスも大小文字が区別されます。 |
"The response was received at xxx instead of xxx" | IdP SAML 設定のアサーション コンシューマー サービス URL が正しくない可能性があります。正しい URL を使用していることを確認し、再度実行してください。 |
| サポートされていない IdP を使用している可能性があります。以下の点を確認して IdP 設定を確認してください。
内部のユーザー ID は不変でなければならないことにご注意ください。この ID をユーザーのメール アドレスにしないでください。 必要に応じて、upn または name 属性を一意で不変の値に変更できます。その Atlassian アカウント用の SAML ID は、ユーザーの次回ログイン時に新しい値にアップデートされます。 |
"We couldn't log you in, but trying again will probably work (ログインできませんでしたが、再試行するとできる可能性があります)." | ログインプロセス中にそのユーザーの SAML 設定が無効化されました。SAML 設定を確認して再度実行してください。 |
"xxx is not a valid audience for this Response (xxx はこのレスポンスの有効な対象ではありません)." | アイデンティティ プロバイダーの SAML 設定にあるサービス プロバイダー エンティティ ID が正しくない可能性があります。正しいエンティティ ID を使用していることを確認し、再度実行してください。 |
"Your email address has changed at your Identity Provider (ご利用のメール アドレスは ID プロバイダーで変更されています).Ask your admin to make a corresponding change on your Atlassian products (管理者にお問い合わせのうえ、対応する変更を Atlassian 製品に加えてください)." | SAML ベータによる既知の問題:ユーザー管理から管理アカウントのメール アドレスを変更できる機能を今後提供予定です。 |
Atlassian ブランドのない通常のエラー画面 | IdP とのネットワーク接続に問題がある可能性があります。ページを更新して問題が解決されるか確認します。 |
IdP のエラー画面 | ID プロバイダー構成に課題がある可能性があります。たとえば、ユーザーが IdP から Atlassian 製品にアクセスできない場合などがあります。チケットを IdP で登録して、問題を修正してください。 |
| SAML 設定の ID プロバイダー エンティティ ID が正しくない可能性があります。正しいエンティティ ID を使用していることを確認し、再度実行してください。 |
いいえ。製品とリソースの安全性を維持するため、所有している検証可能なドメインでのみ SAML シングル サインオンを使用できます。
ユーザーの氏名は、姓と名を ID プロバイダーのシステムで更新することで更新できます。更新された名前は、ユーザーの次回ログイン時に組織に同期されます。
Atlassian Cloud 製品のスクリプトとサービスによる基本認証では、パスワードではなく API トークンを代用することをお勧めします。SAML を適用しても、API トークンとスクリプトは引き続き機能します。API トークンについてはこちらをご確認ください。
この内容はお役に立ちましたか?