アイデンティティプロバイダーを使用して SAML シングルサインオンを設定する

現在、SAML シングルサインオンは ID プロバイダーを管理している場所と同じ場所にあります。[セキュリティ] > [ ID プロバイダー] を選択します。ID プロバイダーについてはこちらをご確認ください。

操作できるユーザー
ロール: 組織管理者
プラン: Atlassian Access

SAML シングルサインオンについて

セキュリティアサーションマークアップ言語 (SAML) は、パーティ間、特にアイデンティティプロバイダーとサービスプロバイダー間で認証データと認可データを交換するためのオープン標準です。

ユーザーは SAML SSO (シングルサインオン) によって、Atlassian Cloud 製品にログインする際に自社の ID プロバイダーを介して認証できます。ユーザーは SSO によって一度認証したあとは、そのセッション中は複数の製品にアクセスする際に各製品の認証が不要になります。SSO は検証済みドメインのユーザーアカウントにのみ適用されます。ドメインの検証方法についてはこちらをご確認ください。

ユーザーが SAML シングルサインオンでログインできる場合でも、アトラシアンの製品とサイトへのアクセス権を付与する必要があります。「製品アクセス設定の更新方法」と「ユーザーがサイトへのアクセス権を取得する方法」をご確認ください。

サイトのユーザーを Google Workspace で管理する場合は、Google Workspace に用意されている SSO 機能を使用する必要があります。Google Workspace との連携方法についてはこちらをご確認ください。

認証ポリシーによる SAML シングルサインオン

SSO を SAML または Google Workspace で設定する場合は、認証ポリシーによってユーザーのサブセットに SSO を適用する必要があります。認証設定とメンバーの編集方法についてはこちらをご確認ください。

はじめる前に

SAML シングルサインオンを設定する前に、次を実行する必要があります。

組織から Atlassian Access のサブスクリプションに申し込みます。Atlassian Access の詳細はこちらをご確認ください。

ご自身が Atlassian 組織の管理者であることを確認します。

組織内で 1 つ以上のドメインを検証します。ドメインの検証方法についてはこちらをご確認ください。

組織に ID プロバイダーディレクトリを追加します。ID プロバイダーを追加する方法についてはこちらをご確認ください。

認証済みドメインを ID プロバイダーディレクトリにリンクします。ドメインをリンクする方法についてはこちらをご確認ください。

Atlassian 製品とご利用の ID プロバイダーが HTTPS プロトコルを使用して通信していて、設定された製品のベース URL が HTTPS の URL であることを確認します。

ID プロバイダーサーバーの時計が NTP と同期していることを確認します。SAML 認証リクエストは限られた回数のみ有効です。

SAML 構成をセットアップしてテストするためのダウンタイムを計画します。

SAML 構成をテストするための認証ポリシーを作成します。 ユーザーをテストポリシーに追加します。SAML をセットアップした後で、シングルサインオンをこのテストポリシーに対して有効にできます。

サポートされるアイデンティティプロバイダー

任意の ID プロバイダーを使用できますが、一部の機能は特定の ID プロバイダーでのみ使用できます。サポートされている ID プロバイダーについてはこちらをご確認ください。

シングルサインオンのセットアップに関連する手順は、使用する ID プロバイダーによって異なります。お使いの ID プロバイダーの設定手順をご参照ください。

アイデンティティプロバイダー	セットアップ手順
Active Directory フェデレーションサービス (AD FS)	AD FS を使用する SAML シングルサインオン (Atlassian)
Auth0	Auth0 による SAML シングルサインオン
CyberArk (Idaptive)	アトラシアン向けの CyberArk (Idaptive) での SAML シングルサインオン
Google Cloud	アトラシアン向けの Google Cloud での SAML シングルサインオン (Google Workspace セットアップとは異なります)
JumpCloud	アトラシアン向けの JumpCloud での SAML シングルサインオン JumpCloud で SAML SSO をセットアップする方法については、アトラシアンコミュニティでご確認ください
Microsoft Azure AD	Azure AD を使用する SAML シングルサインオン (Atlassian)
miniOrange	miniOrange を使用する SAML シングルサインオン (アトラシアン)
Okta	アトラシアン向けの Okta での SAML シングルサインオン
OneLogin	OneLogin を使用する SAML シングルサインオン (Atlassian) OneLogin アプリに関する情報をご確認ください。 OneLogin にログインして、これらのページを表示します。
PingFederate	Ping を使用する SAML シングルサインオン (アトラシアン)

利用できる SAML 属性

ID プロバイダーをセットアップする際には、次の SAML 属性を使用します。

手順説明	SAML 属性	ID プロバイダーへのマッピング
任意	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname	ユーザーの名
	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname	ユーザーの姓
	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name、または http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn	変更されないユーザーの内部 ID。ユーザーのメールアドレスをこの ID に使用しないでください。
必須	NameID	ユーザーのメール

アイデンティティプロバイダーから Atlassian 組織への詳細のコピー

admin.atlassian.com に移動します。複数の組織がある場合は、組織を選択します。
[セキュリティ] > [ID プロバイダー] の順に選択します。
ID プロバイダー ディレクトリを選択します。
[SAML シングルサインオンをセットアップ] を選択します。
SAML の詳細を追加します。
SAML 設定を保存。

SAML の詳細	説明
アイデンティティプロバイダーエンティティ ID	この値は、製品が認証リクエストを許可するアイデンティティプロバイダーの URL です。
アイデンティティプロバイダー SSO URL	この値はユーザーがログイン時にリダイレクトされる URL を定義します。
公開 x509 証明書	この値は、「-----BEGIN CERTIFICATE-----」で始まります。この証明書には、受信したすべての SAML 認証リクエストがアイデンティティプロバイダーで発行されていることを検証するために使用する公開鍵が含まれています。

SAML の詳細

説明

アイデンティティプロバイダーエンティティ ID

この値は、製品が認証リクエストを許可するアイデンティティプロバイダーの URL です。

アイデンティティプロバイダー SSO URL

この値はユーザーがログイン時にリダイレクトされる URL を定義します。

公開 x509 証明書

この値は、「-----BEGIN CERTIFICATE-----」で始まります。

この証明書には、受信したすべての SAML 認証リクエストがアイデンティティプロバイダーで発行されていることを検証するために使用する公開鍵が含まれています。

次の URL を Atlassian 組織から ID プロバイダーにコピーする

サービスプロバイダーのエンティティ URL
サービスプロバイダーのアサーションコンシューマーサービス URL

URL をコピーする際に [保存] を ID プロバイダーで選択します。

他のアイデンティティプロバイダー向けの SAML シングルサインオンを設定する

オンプレミスのアイデンティティプロバイダーを使用する場合、ユーザーは内部ネットワークまたは VPN 接続からアイデンティティプロバイダーにアクセス可能な場合にのみ認証することができます。

認証ポリシー無しの SAML シングルサインオン構成をテストする

認証ポリシーを表示できない場合は、組織にアクセスするために使用できる一時的な Atlassian テストアカウントを作成します。この組織で検証されていないドメインの一時的なアカウントには、メールアドレスを使用します。これによって、ログイン時にアカウントが SAML シングルサインオンにリダイレクトされなくなります。

[設定を保存] を選択すると、SAML が Atlassian 組織に適用されます。ユーザーはログアウトされないため、次のステップに従って SAML 構成をテストできます。

ブラウザで新しいシークレットウィンドウを開きます。
検証済みドメインのいずれかのメールアドレスを使用してログインします。

サインインしていることを確認します。ログインエラーが発生した場合は「SAML シングルサインオンのトラブルシューティング」に移動して構成を調整し、シークレットウィンドウで再びテストします。

正常にログインできない場合は、構成を削除してユーザーが Atlassian 製品にアクセスできるようにします。

認証ポリシーで SAML シングルサインオンをテストする

認証ポリシーによって、組織内のユーザーセットごとに異なるセキュリティレベルを設定する柔軟性を得られます。また、認証ポリシーによって、会社全体にロールアウトする前にユーザーのサブセットでさまざまなシングルサインオン設定をテストできるため、リスクを軽減できます。

以下を実行してください。

組織全体でロールアウトする前に、比較的小さいユーザーグループでシングルサインオン (SSO) または 2 段階認証をテストして、正しく設定されていることを確認します。
管理アカウントごとに異なるポリシーを設定することで、ログインして SSO ポリシーをトラブルシューティングするか、プロバイダー統合を特定できます。

認証の設定をテストするには、SAML シングルサインオンを設定して適用する必要があります。次のセクションではその手順について説明します。

認証ポリシーを使用する SAML シングルサインオンの設定と適用

SAML を設定して保存し、認証ポリシーで SAML シングルサインオンを適用する必要があります。

認証ポリシーからの SAML シングルサインオンの設定:

admin.atlassian.com に移動します。複数の組織がある場合は、組織を選択します。
[セキュリティ] > [認証ポリシー] の順に選択します。
設定するポリシーの [編集] を選択します。
[SAML シングルサインオンを使用] を選択すると、認証ポリシーから SAML SSO 構成ページにリダイレクトされます。
SAML SSO の設定を完了すると、ポリシーで SSO を適用する必要があります。

シングルサインオンを適用するには、次の手順に従います。

admin.atlassian.com に移動します。複数の組織がある場合は、組織を選択します。
[セキュリティ] > [認証ポリシー] の順に選択します。
強制するポリシーの [編集] を選択します。
[Enforce single sign-on (シングルサインオンの強制)] を選択します。

SAML でのジャストインタイムプロビジョニング

SAML ジャストインタイムによってユーザーをプロビジョニングする場合は、次の 2 ステップを完了する必要があります。

ドメインをアイデンティティプロバイダーディレクトリにリンクする
SAML シングルサインオンを既定の認証ポリシーで強制する

ステップを完了したあとにユーザーが SAML で初めてログインすると、そのユーザーの Atlassian アカウントが自動で作成されて ID プロバイダーディレクトリに SAML を介してプロビジョニングされます。ID プロバイダーディレクトリの詳細をご確認ください。

SAML によって、ジャストインタイムでプロビジョニングされたユーザーのドメインをリンクする

SAML ジャストインタイムによってユーザーをプロビジョニングする場合は、1 つ以上のドメインをご利用の ID プロバイダーディレクトリにリンクする必要があります。ドメインをリンクすると、ドメインのユーザーアカウントがこのディレクトリに自動で関連付けられます。

ドメインをディレクトリにリンクするには、次の手順に従います。

admin.atlassian.com に移動します。複数の組織がある場合は、組織を選択します。
[セキュリティ] > [ID プロバイダー] の順に選択します。
表示するディレクトリを選択します。
[ドメインを表示] を選択して、ドメインをディレクトリにリンクします。
[ドメインをリンク] を選択します。
このディレクトリにリンクする 1 つ以上のドメインを選択します。

リンクされたドメインの詳細についてご確認ください。

認証ポリシーを使用したジャストインタイムプロビジョニング

すべての組織には、そのユーザーに対するログイン設定を含む既定の認証ポリシーがあります。新しいアカウントをプロビジョニングすると、新しいユーザーが既定のポリシーに追加されます。

ジャストインタイムプロビジョニングで認証ポリシーを活用するには、デフォルトポリシーに SAML シングルサインオンを適用する必要があります。
SAML シングルサインオンを既定のポリシーに適用しない場合は、ユーザーを SCIM でプロビジョニングできます。ID プロバイダーのメールを変更すると、Atlassian アカウントが自動でアップデートされます。

認証ポリシーの詳細を確認

ジャストインタイムプロビジョニングなしでメールの更新をトラブルシューティングする

ID プロバイダーのメールを変更する場合は、Atlassian アカウントのメールを手動でアップデートする必要があります。
最初の Atlassian メールをアップデートしない場合は、2 つ目のメールアカウントがユーザーのログイン時に作成されます。このアカウントでは、サイトや製品にアクセスできません。これを修正するには、最初のメールアカウントをアップデートまたは削除します。アカウントのメールをアップデートする

自動ユーザープロビジョニングおよびプロビジョニング解除をセットアップする

自動ユーザープロビジョニングによって、アイデンティティプロバイダと Atlassian Cloud 製品間の直接同期を実現できます。つまり、社員の入社時や、新しい部門への異動時などに、手動でユーザーアカウントを作成する必要がなくなります。

プロビジョニング解除を自動化すると、退職した社員のアクセス権を削除して情報漏えいのリスクを軽減できます。社員が会社やグループを退職した際は、該当する社員を自動で削除します。これによって請求を管理できます。ユーザープロビジョニングのオプションを次に示します。

SCIM によるプロビジョニング - Atlassian Access のサブスクリプションを利用している場合は、Atlassian Cloud ツールを ID プロバイダーと直接同期することで、ユーザーやグループのプロビジョニングとプロビジョニング解除を自動化できます。ユーザープロビジョニングについてはこちらをご確認ください。
Google Workspace によるプロビジョニング - Atlassian Cloud ツールを Google Workspace と同期してプロビジョニングできます。ただし、グループの分類はサイトに反映されません。Google Workspace への接続についてはこちらをご確認ください。

SAML でのユーザーの無効化

ユーザーによる REST API 経由での組織データの取得を防止するには、組織とアイデンティティプロバイダーの両方でユーザーを無効化します。

組織でユーザープロビジョニングもセットアップ済みの場合、アイデンティティプロバイダー側でのユーザーの無効化のみが必要です。

2 段階認証およびパスワードポリシーを備えた SAML シングルサインオン

組織で Atlassian パスワードポリシーと 2 段階認証が設定されている場合に SAML シングルサインオンを設定すると、ユーザーはそれらの対象外になります。つまり、パスワード要件と 2 段階認証はログインプロセスで基本的に「スキップ」されます。

代わりにアイデンティティプロバイダーが提供する同等の仕組みを使用することをお勧めします。

SAML シングルサインオンを削除する

SAML シングルサインオン構成を削除する前に、ユーザーがログインするためのパスワードを持っていることをご確認ください。

SAML シングルサインオンを有効にする前は、ユーザーは自分の Atlassian アカウント用に保持しているパスワードを使用できます。
SAML シングルサインオンを有効にしたあとに参加したユーザーは、次回ログイン時に Atlassian アカウントのパスワードをリセットする必要があります。

SAML シングルサインオンを削除するには、次の手順に従います。

admin.atlassian.com に移動します。複数の組織がある場合は、組織を選択します。
[セキュリティ] > [ID プロバイダー] の順に選択します。
表示するディレクトリを選択します。
[SAML 構成を表示] を選択します。
[構成を削除] を選択します。

また、SAML 構成を ID プロバイダーから削除することをお勧めします。

SAML シングルサインオンを削除しても、Atlassian Access のサブスクリプションは引き続き残っています。Atlassian Access が不要になった場合は、サブスクリプションを解約する必要があります。解約方法についてはこちらをご確認ください。

SAML 設定のトラブルシューティング

エラーが ID プロバイダーで発生する場合は、アトラシアンサポートではなく ID プロバイダーが提供するサポートとツールをご利用ください。

SAML シングルサインオンのトラブルシューティング (認証ポリシー無し)

SAML を設定する前に、未検証のドメインからのメールで Atlassian ユーザーアカウントを作成します。
そのユーザーを組織管理者にします。
SAML で認証する必要がないため、このアカウントでログインしてトラブルシューティングを行います。
組織の SAML シングルサインオン ページに移動して、すべてのユーザーの SAML シングルサインオンを修正するか無効化します。

問題が解消されない場合は、SAML 設定を削除して Atlassian アカウントのパスワード認証に戻します。

SAML 設定を削除すると、パスワードポリシー画面ですべてのユーザーのパスワードを無効化することができます。これによって、Atlassian アカウントパスワードのパスワードリセットプロセスを利用するようにユーザーに要求できます。

SAML シングルサインオンのトラブルシューティング (認証ポリシー付き)

SAML を設定する前に、未検証のドメインからのメールで Atlassian ユーザーアカウントを作成します。
そのユーザーを組織管理者にします。
SAML シングルサインオンを適用せずに、認証ポリシーにユーザーを追加します。
SAML で認証する必要がないため、このアカウントでログインしてトラブルシューティングを行います。
ID プロバイダーディレクトリの SAML シングルサインオンに移動して、すべてのユーザーに対して無効にします。

SAML 設定を削除する場合は、認証ポリシーで SAML シングルサインオンが使用されていないことを確認します。

ユーザーのロックアウトを防ぐには、SAML シングルサインオンを適用しないポリシーにユーザーを移動する必要があります。

公開 x509 証明書エラーをトラブルシューティングする

証明書エラーが発生した場合は、次のいずれかの手順を試してエラーを解決してください。

証明書をもう一度コピーして貼り付けます。その際に次を含めてください。
1. 証明書のすべての行。
2. “-----BEGIN CERTIFICATE-----” and end with “-----END CERTIFICATE-----' から始めます。
ID プロバイダーから提供された証明書が不完全である可能性があります。証明書をダウンロードして [公開 x509 証明書] フィールドにコピー & ペーストします。

その他のエラーをトラブルシューティングする

サポートチケットを送信する際に、SAML Tracer Firefox アアプリドオンから検索できる SAMLRequest と SAMLResponsアプリアプリe の各ペイロードを添付してください。課題の潜在的な原因をより迅速に特定できるようになります。

エラー	発生する可能性がある問題
"The authenticated email address we expected was 'xxx,' but we received 'xxx.’ (必要な認証済みメールアドレスは 'xxx,' でしたが 'xxx.’ を受信しました)Please ensure they match exactly, including case sensitivity (大小文字を含めて正確に一致するようにご確認ください).Contact your admin to change your email to match (メールアドレスが一致するように、管理者にお問い合わせください)."	ユーザーが Atlassian アカウントとは異なるメールアドレスで IdP にログインしようとしました。ユーザーが正しいメールアドレスでログインしていることをご確認ください。メールアドレスも大小文字が区別されます。
"The response was received at xxx instead of xxx"	IdP SAML 設定のアサーションコンシューマーサービス URL が正しくない可能性があります。正しい URL を使用していることを確認し、再度実行してください。
"We were expecting an email address as the Name Id, but we got xxx (Name Id のメールアドレスが必要でしたが xxx でした).Please ask your administrator to check that Name Id is mapped to email address (Name Id がメールアドレスにマッピングされるように、管理者にお問い合わせください)." "We were expecting an email address as the Name Id, but didn't get one (Name Id のメールアドレスが必要でしたが取得できませんでした).Please ask your administrator to check that Name Id is mapped to email address (Name Id がメールアドレスにマッピングされるように、管理者にお問い合わせください)." "We were expecting a user ID, but didn't get one (ユーザー ID が見つかりませんでした).Please ask your admin to check that user ID is populated in the response (管理者に、ユーザー ID がレスポンスで生成されているかどうかをお問い合わせください).See the configuration and troubleshooting guide (構成およびトラブルシューティングガイドをご参照ください)." "Unsupported SAML Version." "Missing ID attribute on SAML Response." "SAML Response must contain 1 Assertion." "Invalid SAML Response. Not match the saml-schema-protocol-2.0.XSD" "Invalid decrypted SAML Response. Not match the saml-schema-protocol-2.0.XSD" "Signature validation failed. SAML Response rejected" "No Signature found. SAML Response rejected" "The Assertion of the Response is not signed, and the SP requires it (レスポンスのアサーションが登録されていないため、SP が必要です)." "The attributes have expired, based on the SessionNotOnOrAfter of the AttributeStatement of this Response (このレスポンスの AttributeStatement の SessionNotOnOrAfter に基づいて、属性の期限が切れています)." "There is an EncryptedAttribute in the Response, and this SP does not support them (EncryptedAttribute がレスポンスにあります、この SP ではサポート対象外です)." "Timing issues (please check your clock settings)" "The Response has an InResponseTo attribute: xxx while no InResponseTo was expected" "The InResponseTo of the Response: xxx does not match the ID of the AuthNRequest sent by the SP: xxx. (レスポンスの InResponseTo: xxx は、SP: xxx. によって送信された AuthNRequest の ID と一致しません)"	サポートされていない IdP を使用している可能性があります。以下の点を確認して IdP 設定を確認してください。 ID プロバイダーはメールを NameId として返せます。ユーザー Id は一意かつ不変であり、upn または name SAML 属性にマッピングされます。 SAML レスポンスは署名されており、暗号化されていません。アイデンティティプロバイダーの時間は NTP と同期されています。内部のユーザー ID は不変でなければならないことにご注意ください。この ID をユーザーのメールアドレスにしないでください。必要に応じて、upn または name 属性を一意で不変の値に変更できます。その Atlassian アカウント用の SAML ID は、ユーザーの次回ログイン時に新しい値にアップデートされます。
"We couldn't log you in, but trying again will probably work (ログインできませんでしたが、再試行するとできる可能性があります)."	ログインプロセス中にそのユーザーの SAML 設定が無効化されました。SAML 設定を確認して再度実行してください。
"xxx is not a valid audience for this Response (xxx はこのレスポンスの有効な対象ではありません)."	アイデンティティプロバイダーの SAML 設定にあるサービスプロバイダーエンティティ ID が正しくない可能性があります。正しいエンティティ ID を使用していることを確認し、再度実行してください。
"Your email address has changed at your Identity Provider (ご利用のメールアドレスは ID プロバイダーで変更されています).Ask your admin to make a corresponding change on your Atlassian products (管理者にお問い合わせのうえ、対応する変更を Atlassian 製品に加えてください)."	SAML ベータによる既知の問題：ユーザー管理から管理アカウントのメールアドレスを変更できる機能を今後提供予定です。
Atlassian ブランドのない通常のエラー画面	IdP とのネットワーク接続に問題がある可能性があります。ページを更新して問題が解決されるか確認します。
IdP のエラー画面	ID プロバイダー構成に課題がある可能性があります。たとえば、ユーザーが IdP から Atlassian 製品にアクセスできない場合などがあります。チケットを IdP で登録して、問題を修正してください。
予期しないアイデンティティプロバイダーエンティティ ID が到達しました。管理者に連絡し、Atlassian の SAML の設定を確認してください。xxx ですが xxx を予期していました。 "Invalid issuer in the Assertion/Response"	SAML 設定の ID プロバイダーエンティティ ID が正しくない可能性があります。正しいエンティティ ID を使用していることを確認し、再度実行してください。

よくあるご質問

検証できないドメインに SAML シングルサインオンを適用することはできますか？

いいえ。製品とリソースの安全性を維持するため、所有している検証可能なドメインでのみ SAML シングルサインオンを使用できます。

ユーザーのフルネームを変更する方法

ユーザーの氏名は、姓と名を ID プロバイダーのシステムで更新することで更新できます。更新された名前は、ユーザーの次回ログイン時に組織に同期されます。

REST API による認証の仕組みを教えてください。

Atlassian Cloud 製品のスクリプトとサービスによる基本認証では、パスワードではなく API トークンを代用することをお勧めします。SAML を適用しても、API トークンとスクリプトは引き続き機能します。API トークンについてはこちらをご確認ください。

この内容はお役に立ちましたか?

正確ではなかった

明確ではなかった

関係なかった

アイデンティティ プロバイダーを使用して SAML シングル サインオンを設定する

SAML シングル サインオンについて

認証ポリシーによる SAML シングル サインオン

はじめる前に

SAML シングル サインオンを設定する前に、次を実行する必要があります。

SAML シングル サインオンを設定する前に、次を実行することをおすすめします。

サポートされるアイデンティティ プロバイダー

利用できる SAML 属性

アイデンティティ プロバイダーから Atlassian 組織への詳細のコピー

次の URL を Atlassian 組織から ID プロバイダーにコピーする

他のアイデンティティ プロバイダー向けの SAML シングル サインオンを設定する

認証ポリシー無しの SAML シングル サインオン構成をテストする

認証ポリシーで SAML シングル サインオンをテストする

認証ポリシーを使用する SAML シングル サインオンの設定と適用

SAML でのジャストインタイム プロビジョニング

SAML によって、ジャスト イン タイムでプロビジョニングされたユーザーのドメインをリンクする

認証ポリシーを使用したジャストインタイム プロビジョニング

ジャストインタイム プロビジョニングなしでメールの更新をトラブルシューティングする

自動ユーザー プロビジョニングおよびプロビジョニング解除をセットアップする