アプリ アクセスの仕組み

管理者は、次の 2 つの方法で組織内のユーザーに対して Atlassian アプリへのアクセス権を設定できます。

1. アプリ ロールを割り当てる

ユーザーにアプリ アクセス権を付与するには、アトラシアンの管理でロールを割り当てる必要があります。組織管理者はロールを割り当てることができます。ユーザー アクセス管理者もこれを行うことができますが、自身が管理するアプリに限られます。元のユーザー管理エクスペリエンスのサイト管理者は、対象のサイト内でロールを割り当てることができます。

2. アプリ内権限を適用する

これはアクセス権の追加レイヤーであり、特定の領域をよりきめ細かく制御するために使用します。たとえば、アプリ内権限によって、秘密の Jira プロジェクトや機密の Confluence スペースに対するユーザーのアクセスを制限できます。組織管理者とアプリ管理者の両方がこのレベルの権限を適用できます。

また、グループによってロールを割り当てたり、複数のユーザーにアプリ内権限を同時に適用したりできます。

アプリ ロールを割り当てる

組織管理者は、次の方法でユーザーにアプリ アクセス権を付与できます。

• 組織にユーザーを招待する際に、アプリ ロールを割り当てる

• 既存のユーザーにアクセス権を付与する

• グループに 1 人以上のユーザーを追加する

Azure AD、Okta などの ID プロバイダーでサポートされている SCIM プロビジョニングまたはユーザー アクセス権付与 API を使用して、このプロセスを自動化できます。ID プロバイダーでグループ レベルのアクセス権を設定すると、アトラシアンの管理に同期されていれば、ユーザーのグループ メンバーシップに対応するアプリ ロールが自動的に割り当てられます。

ユーザー アクセス管理者もこれらのタスクを実行できますが、自身が管理するアプリに限られます。つまり、アプリの既定のグループに自身が管理していないアプリも含まれている場合、ユーザー アクセス管理者はそのアプリへのアクセス権を付与できません。グループの管理に関連する問題のトラブルシューティングについては、こちらをご確認ください。

次の図は、Jira と Confluence のロールが割り当てられたユーザーの例です。このユーザーは、割り当てられたロールの既定のグループには自動的に追加されましたが、acme-support.atlassian.net の Confluence ではロールが割り当てられませんでした。

ユーザーが「招待」ステータスのままになっている場合、または ID プロバイダーから同期されたグループに属しているにもかかわらずアクセスに問題がある場合は、次の点を確認してください。

• アトラシアンの管理でのグループとアプリ ロールのマッピングが完了している。

• アトラシアンの管理をバイパスする可能性のあるアプリ (Bitbucket など) において直接的な権限が設定されている。

• 特定のプロジェクトやスペースに対するユーザーの権限 (例: Jira の企業管理対象プロジェクトに対する「プロジェクトの参照」権限) が正しく設定されている。

同期方法を確認し、特定のユーザーに対する手動招待や設定が失敗する場合はアトラシアン サポートにお問い合わせください。

アプリ内権限を適用する

組織で機密の Jira プロジェクトや Confluence スペースが必要な場合は、組織内のユーザーの役割や雇用状況に基づいてアクセスを許可または制限することをお勧めします。たとえば、請負業者やベンダーにはアクセスを制限して、法務や人事の各チームのみに特定のスペースへのアクセスを許可することをお勧めします。

アプリ内権限は、アプリ管理者がアプリ内から設定でき、アトラシアンの管理で作成されたグループに適用されます。グループによって、アクセス要件が似ている組織内の複数のユーザーに同じレベルのアクセス権を適用して管理できるようになります。

アプリ内権限は次の場所から管理できます。

アプリ	アプリ内権限を管理する場所	これを実行できるロール
Confluence	Confluence を開いて、ナビゲーション バーの [設定] (歯車アイコン) を選択します。 Confluence におけるサイトレベル権限の管理に関する詳細	confluenceadmin
Jira	Jira を開いて、ナビゲーション バーの [設定] (歯車アイコン) > [Jira 設定] > [システム] の順に選択します。 Jira のプロジェクト権限とロールに関する詳細	Jira 管理者

なぜグループが必要なのですか?

グループによって、複数のユーザーに対してアクセス権を設定する時間を短縮できるようになります。また、グループを使用して既定のアプリ ロールを割り当てたり、アプリ内権限を管理したりすることもできます。

アプリ内権限を管理するグループを作成することで、複数のユーザーの機密情報に対するアクセスを厳密に制御できます。グループを作成および更新する方法については、こちらをご確認ください。

組織管理者と同様に、ユーザー アクセス管理者もグループを使用してアプリ アクセス権を設定できます。ただし、ユーザー アクセス管理者は自身が管理するアプリへのアクセス権のみを設定できます。つまり、アプリの既定のグループに自身が管理していないアプリも含まれている場合、ユーザー アクセス管理者はそのアプリへのアクセス権を設定できません。グループの管理に関連する問題のトラブルシューティングについては、こちらをご確認ください。

グループを使用してアクセス権を割り当てる

次の図は、1 つのグループ (全従業員) を作成して、複数のユーザーによる多くのアプリに対するアクセスを一度に管理する方法の例です。

カスタマー サポート チーム グループは既定のグループではありません。この例では、1 人のユーザーをこのグループに追加して、他の 3 人のユーザーがアクセスできない追加の Confluence アプリ (acme-support.atlassian.net) に対するアクセス権を付与しています。

グループを使用してアプリ内権限を適用する

次の図は、1 つのグループによって複数のユーザー (この場合はマーケティング グループ) にアプリ内権限を適用する方法の例です。アプリ内権限はアプリ内で管理されますが、グループの作成とそのメンバーシップの管理はアトラシアンの管理で行います。

グループの使用例

チームの新しいメンバーのオンボーディング

グループを活用して、人事チームの新しいメンバーをオンボーディングする方法を見てみましょう。このチームでは、次のアプリとプロジェクト スペースを使用しています。

• Confluence: 組織全体の全員が使用します。

• Jira Service Management: 一般的な HR チケットを保管します。

• 人事ポリシーと手続き: すべての一般的な人事情報のための Confluence スペースです。

• 人事個人情報: 機密情報を保管する Confluence スペースです。

1. admin.atlassian.com にある組織からグループを作成します。「人事チーム」という名前を付けます。このグループによって、組織の人事担当者全員の全アプリに対するアクセス権を管理します。

2. Confluence と Jira Service Management の各アプリを「人事チーム」グループに追加します。これによって、すべてのグループ メンバーに Confluence のスペース (人事ポリシーと手続きなど) と Jira Service Management のプロジェクトに対するアクセス権が付与されます。機密情報は除外されます。

3. 次に、別のグループを作成して「人事 - 部外秘」という名前を付けます。これは Confluence のアプリ内権限を適用するグループです。

4. Confluence の設定で、「人事 - 個人情報」スペースに対する既定のアクセス権を制限して、「人事 - 部外秘」グループのメンバーにのみアクセスを許可します。Confluence Cloud スペース権限の割り当て方法については、こちらをご確認ください。

新しい人事チーム メンバーが組織に加入したら人事チーム グループに追加して、Confluence と Jira Service Management へのアクセス権を付与します。

チームの異動があったとき

メンバーがチーム間で異動した際も、グループを使用できます。たとえば、Omar が法務チーム (法務チーム グループとします) から人事部に異動する場合は、Omar を法務チーム グループから削除して人事チーム グループに追加します。Omar の役割として、機密情報を含む Confluence スペースへのアクセスが必要な場合は、人事 - 機密情報グループにも追加します。

全員に新しいアプリへのアクセス権を付与する

グループは、新しいアプリを組織に追加する際にすばやくアクセス権を付与する場合にも役立ちます。人事チームに Jira (最近組織に追加したアプリ) へのアクセス権を付与するものとします。このアクセス権は、アプリの詳細ページまたはグループの詳細ページから、人事チーム グループのすべてのメンバーに付与できます。