Atlassian Guard で Trello の SSO を設定する

Trello の SSO は、Atlassian 組織を通じて Atlassian Guard Standard (旧称 Atlassian Access) によって設定されます。これにより、社内のすべての Atlassian アカウントと製品を横断する可視性とセキュリティが実現されます。これによって、管理者はユーザーを管理して、シングル サインオン (SSO) や多要素認証などのセキュリティ ポリシーを適用できます。このガイドでは、Atlassian Guard Standard によって Trello に SSO を適用するために必要な各ステップを説明します。

このガイドにあるすべてのステップを完了するには、Atlassian 組織の管理者である必要があります。SSO を設定して適用する際に Trello Enterprise は不要です。ただし、Trello Enterprise に登録している場合にこのガイドを完了するには、管理者である必要があります。

Atlassian 組織の管理者が誰なのかわからない場合は、IT チームに確認するか Trello サポートにお問い合わせください。

ステップ 1: Atlassian 組織を作成する

• すでにアトラシアンの組織がある場合は、このステップをスキップして「ステップ 2: ドメインを検証する」に進んでください。

Atlassian Guard Standard に登録するには、まず Atlassian 組織が必要です。https://admin.atlassian.com/o/create から無料で作成できます。ドメインは単一の Atlassian 組織によってのみ検証できるため、貴社にすでに Atlassian 組織がある場合は同じ組織を使用するのが最善の方法です。

ステップ 2: ドメインを検証する

• Atlassian 組織で必要なすべてのドメインを検証済みの場合は、このステップをスキップして「ステップ 3: アカウントを申請する」に進んでください。

TXT レコードを DNS 設定に追加または HTML ファイルをドメインの Web サイトのルート フォルダーにアップロードして、ドメインの所有権を検証します。所有権が実証されると、そのドメインのすべてのユーザー アカウントを管理できます。ドメインの所有権を検証する方法について詳しくは、こちらをご覧ください

ステップ 3: アカウントを申請する

ドメインの所有権を検証すると、そのドメインからのメールで登録されたすべての Atlassian アカウントを申請できます。

すでに Access のサブスクリプションをお持ちの場合は、ユーザーのアカウントを申請するとそのアカウントが既定の認証ポリシーに自動で追加されます。そのポリシーのログイン要件は、次回ログイン時に適用されます。ユーザーは申請された時点ではログアウトされません。

ステップ 4: トライアルを開始する

• すでに Atlassian Guard Standard サブスクリプションをお持ちの場合は、このステップをスキップして「ステップ 5: SSO をセットアップする」に進んでください。

https://www.atlassian.com/ja/software/access に移動し、[無料トライアルを開始] ボタンをクリックして、Atlassian Guard Standard の 30 日間無料トライアルを開始します。トライアルを開始するのにクレジット カード情報は入力不要ですが、30 日間の試用期間後も継続するにはクレジット カードが必要です。

ステップ 5: SSO をセットアップする

Trello Enterprise の SSO は、Atlassian Guard Standard を使用して Atlassian 組織を通じて設定されます。SAML シングル サインオンの設定方法

Trello プロファイルの自動的なプロビジョニング

Trello の SCIM API は廃止予定です。Trello へのアクセスをプロビジョニングする最適な方法は、アトラシアン SCIM API または ID プロバイダーとの統合を使用してユーザーの Atlassian アカウントをプロビジョニングし、その後、ワークスペースの [メンバー] タブから、または Trello REST API を介して、ユーザーを適切な Trello ワークスペースに招待することです。 

Atlassian 組織にプロビジョニングされたユーザーには、Trello Enterprise ライセンスは自動的に付与されません。ライセンスは、そのユーザーを Trello 内の Enterprise ワークスペースに招待することで付与できます。

Atlassian Guard Standard による IDP-initiated ログイン

レガシーの Trello SSO アプリは Atlassian Guard Standard では動作しません。代わりに、Atlassian Cloud アプリが Atlassian Guard Standard のすべての SAML SSO に使用されます。 

IdP (ID プロバイダー) 用の Atlassian Cloud アプリが IdP-initiated ログインのオプションを提供していない場合は、Atlassian Cloud アプリに加えてブックマーク アプリを割り当てると、ユーザーが IdP ダッシュボードから Trello に直接移動できるようになります。ブックマークする URL は https://trello.com/ensureSession です。これによって、ユーザーは Atlassian アカウントにリンクされている Trello プロファイルに自動でログインします。

Okta では https://trello.com/ensureSession です。URL は Trello のベース URL として Atlassian Cloud アプリ構成で使用されていますが、この URL は SAML を直接受け付けないことにご注意ください。

ステップ 6: Enterprise を組織にリンクする 

Trello Enterprise サブスクリプションをお持ちの場合は、Trello Enterprise をアトラシアン組織にリンクできます。リンクすることで、Trello Enterprise がアトラシアン組織の管理対象ユーザーのリストを共有できます。これによって、次の機能が利用できるようになります。

1. 管理されるユーザーを必要とする Enterprise セキュリティ機能。

2. Trello のエンタープライズ管理者向けダッシュボードで [無料の管理対象アカウント] を表示する機能。

3. 非 Enterprise ワークスペースを申請 する機能。

4. 組織に公開されたボードの使用。

5. 最も安全な Enterprise データ制限。

FAQ

シングル サインオンが機能していることを確認するにはどうすればよいですか?

SAML 設定は、そのドメインからユーザーを証明するとすぐにユーザーに適用されます。

最初に Atlassian Guard Standard で SAML SSO をテストする場合は、SSO を強制しない既定の認証ポリシーを作成してユーザーを証明し、次に単一のテスト ユーザーを 2 番目の認証ポリシーに入れて、そのポリシーで SSO を有効にするのが最善の方法です。

Access SAML ログインのトラブルシューティングに関する詳細は「ID プロバイダーによって SAML シングル サインオンを設定する」をご参照ください。

Enterprise 管理者向けダッシュボードに SSO セットアップが見つからないのはなぜですか?

Enterprise ライセンスが新しいバージョンの Enterprise に変更されると、Enterprise 管理コンソールにある元の [SSO セットアップ] タブは削除されます。 上記の 30 日間の猶予期間が経過するまで、Trello 内にある実際の SSO 設定は削除されませんが、Atlassian Guard の Standard SSO とのリンク プロセス中に置き換えられます。Atlassian 組織の SSO 設定は admin.atlassian.com で確認できます。

Enterprise をアトラシアンの組織にリンクすると、エンド ユーザー側で何が起こりますか?

Enterprise とアトラシアン組織がリンクされている際は、組織が要求しているドメインに基づいて、一連の同じ管理対象メンバーが共有されます。要求されたドメインのメール アドレスを持つ Trello ユーザーは、Enterprise と組織の両方の管理対象メンバーになります。管理対象メンバーは、Enterprise ライセンスが付与されるか Enterprise ワークスペースに追加された場合を除いて、Enterprise のライセンス数に計上されません。

ユーザーはログアウトされませんが、次回ログイン時に認証ポリシーの認証要件に従う必要があります。