比較バージョン

古いバージョン 1

changes.mady.by.user Hanayo Minamisawa [Ricksoft]

保存しました

次と比較

新しいバージョン 現在

changes.mady.by.user Hanayo Minamisawa [Ricksoft]

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

...

...

...


情報

こちらのドキュメントでは、Atlassian Access こちらのドキュメントでは、Atlassian Guard について概要をご説明します。

2021年3月31日時点での情報を基に作成しています。2024年11月時点での情報を基に作成しています。

目次

目次
maxLevel3

...

Atlassian

...

Guard とは?

Atlassian Access は、ユーザー管理やログイン認証を強化するためのサービスです。Guard は、ユーザー管理やログイン認証を強化するためのサービスです。
企業内の Atlassian アカウントを一元管理し、認証ポリシーの設定や ID プロバイダーとの連携を行うことができます。
これにより、企業のコンプライアンス確保や、大規模なユーザー管理のタスクが容易になります。

Atlassian Access を使用することで、以下に該当する企業は大きなメリットを得ることができます。Guard を使用することで、以下に該当する企業は大きなメリットを得ることができます。

  • セキュリティを強化したい
  • 大規模なユーザー管理のサポートを必要としている
  • Atlassian 組織での製品の使用に関する詳細なインサイトを求めている
  • 医療や金融など規制のある業界に属している

Atlassian

...

Guard でできること

ドメイン認証を行い、更に Atlassian Access Guard にサブスクライブすることで、ユーザー認証やセキュリティに関する以下の機能を利用できます。
ドメイン認証の概要と手順については ドメイン認証 (Atlassian Cloud) をご参照ください。

2段階認証の強制

認証ポリシーの2段階認証を必須に設定することで、そのポリシーに割り当てられたメンバーに2段階認証でのログインを強制することができます。
2段階認証には、スマートフォンの認証アプリを使用します。

複数の認証ポリシーの適用

認証方法の切り分け

複数の認証ポリシーを作成し、メンバーを割り当てることができます。
認証ポリシーには以下の項目が設定可能です。

  • 2段階認証(任意/必須)
  • パスワード要件
  • アイドルセッション期間(アイドル状態のメンバーが自動的にログアウトされるまでの時間)
  • APIトークンの作成許可

例えば、企業は正社員、パートナー、管理用アカウントなど様々なユーザーセットに対しそれぞれ「デフォルトポリシー」、「 SSO ポリシー」、「ボットアカウント用ポリシー」などを作成し設定することができます。

...

こちらの認証ポリシー機能を使用しない場合、すべての管理対象アカウントのログイン認証方式はデフォルトポリシーに固定されます。
このとき、SSO 連携を行っている場合、正社員、パートナー、管理用アカウントのすべてのアカウントは ID プロバイダー側で認証できなければ Atlassian Cloud にログインできません。
もしこの企業が「メーリングリスト利用の管理用アカウントなど、ユーザーが実在しないアカウントは ID プロバイダー登録を行わない」といったポリシーで運用している場合、この管理用アカウントは Atlassian Cloud 製品や My Atlassian にログインできず、ライセンス情報などを確認できません。

このような問題は、Atlassian Access を利用し特定のユーザーセットごとに認証ポリシーを切り分けることで解消できます。このような問題は、Atlassian Guard を利用し特定のユーザーセットごとに認証ポリシーを切り分けることで解消できます。

Atlassian

...

Guard 料金請求対象の切り分け

Atlassian Access では、認証ポリシーごとに Atlassian Access 料金請求対象とするか否かを設定できます。Guard では、認証ポリシーごとに Atlassian Guard 料金請求対象とするか否かを設定できます。
この請求対象外ポリシーにメンバーを割り当てることによって、特定のユーザーセットを請求対象から除外できます。
例えば、実在の人物に紐付かず、製品利用のないボットアカウントなどをこちらのポリシーに割り当てます。
作成した認証ポリシーは、請求対象とするか、除外するかをいつでも切り替えることが可能です。

請求対象外ポリシーの注意点

  • 請求対象外ポリシーは1つの組織に1つのみ設定できます。
  • 適用中の SAML シングル サインオンや強制2段階認証が OFF になり、パスワード認証に関する設定のみが変更可能となります。
  • デフォルトのポリシーを請求対象外ポリシーにはできません。
  • ID プロバイダーから同期したユーザーを請求対象外ポリシーのメンバーに追加することはできません。ID プロバイダーから同期したユーザーはデフォルトのポリシーに自動的に割り当てられます。

請求対象外ポリシーを作成するには、認証ポリシーを追加後に右上のImage Removed > ポリシーを請求対象外にする を選択してポリシーを更新します。既存の認証ポリシーを請求対象外ポリシーに変更するには、認証ポリシーの右上の編集を選択して、同様の作業を行います。

Image Removed

注意

2021年3月31日現在では、認証ポリシー機能は2020年10月以降に作成された組織でのみご利用いただけます。
それ以前に作成された環境につきましては、段階的にサービスの提供が行われる予定となっており、今後すべての環境でご利用可能となる見込みです。


請求対象外ポリシーを作成するには、認証ポリシーを追加後に編集をクリック > 画面右上のその他(…)をクリック > ポリシーを請求対象外にする を選択してポリシーを更新します。既存の認証ポリシーを請求対象外ポリシーに変更するには、認証ポリシーの右上の編集を選択して、同様の作業を行います。

Image Added

Image Added


ID プロバイダーとの統合

現在ご使用中の IdP(Okta、OneLogin、PingFederate、Microsoft Azure AD など)と統合し、ユーザー管理やログイン認証に関する制御を ID プロバイダー側で行うことができます。ID プロバイダー連携の概要と手順については Atlassian Access Guard の ID プロバイダー連携によるユーザー管理 (Atlassian Cloud) をご参照ください。 をご参照ください。
ID プロバイダーと統合するには、以下の2つの機能が利用できます。プロバイダーと統合すると、以下の2つの機能が利用できます。

SAML シングル サインオン

ID プロバイダーで一度ログイン認証済である場合、ID プロバイダーと連携している Atlassian Cloud サービスを追加の認証なしで利用できる機能です。 ユーザーはパスワードを別々に覚えたり、何度もログイン認証を行ったりする必要がなくなります。
ID プロバイダー側でもアカウントの管理ができ、ID プロバイダー側のアカウントを無効化(または削除)することで、統合済みの Atlassian アカウントへのログインを禁止できます。

情報

SAML シングル サインオンを強制する場合、Atlassian Access による2段階認証や認証ポリシーは使用できません。サインオンを強制する場合、Atlassian Guard による2段階認証や認証ポリシーは使用できません。
ID プロバイダー側の同等の機能をご使用ください。

Atlassian は、ID プロバイダーによるシングル サインオンと Atlassian Access による認証の併用せず、1つの Guard による認証の併用せず、1つの ID プロバイダーで認証を完了することを推奨しています。

参考:https://support.atlassian.com/security-and-access-policies/docs/enforce-two-step-verification/#Enforcedtwo-stepverification-no_saml_gsuite

ユーザー プロビジョニング

ID プロバイダーに登録されているユーザー情報を元に、Atlassian アカウントの作成・更新・削除を自動化できる機能です。
Jira、Confluence はグループ情報を含めプロビジョニング可能なため、ID プロバイダーへのユーザー新規追加、無効化(または削除)を Atlassian Cloud 側に自動で反映できます。
企業は新入社員のアカウントを ID プロバイダー側で新規追加すれば Atlassian Cloud 側にも自動で追加されるため、別途ユーザー追加作業を行う必要がなくなります。

※Jira、Confluence 以外の製品はグループを含めたプロビジョニングが現状できません。プロビジョニングで作成されたアカウントを利用する製品毎に招待する必要があります。※プロビジョニングはすべての Atlassian アカウントでご利用になれます。現在、グループ同期は Jira 製品インスタンス、Confluence、Trello でのみ利用可能です。Bitbucket ではご利用になれません。

その他のオプション

組織に関するインサイト

製品の利用状況をグラフ表示します。
各製品またはすべての製品の期間ごとの利用状況を追跡することができます。

  • アクティブ ユーザー


  • 製品ごとのアクティブ ユーザー
    組織が管理しているアカウント
    Image Removed
  • 2 段階認証の対象範囲
    Image Removed


監査ログ

過去180日間に組織およびサイトで発生したアクティビティを追跡することができます。
ログは CSV ファイルでダウンロードが可能です。

管理対象のユーザーが管理する組織外の製品の検出

組織の管理対象アカウントが 組織外で作成、管理している製品を確認することができます。


CASB との統合

Cloud Access Security Broker (CASB) ソフトウェアの McAfeeMVISIONCloud と統合することができます。
CASB は、企業で使用されているクラウド製品と統合することで、高度なクラウドセキュリティ機能を提供するサードパーティソフトウェアです。各クラウド製品が送受信するすべての情報を追跡および分析することができます。

CASB と Atlassian Access の統合により、分析データを使用して企業は以下のメリットが得られます。Guard の統合により、分析データを使用して企業は以下のメリットが得られます。

  • Atlassian Cloud 製品を含むクラウドサービス全体のコンテンツとユーザーアクションを可視化する
  • 重要な Atlassian Cloud のデータの保護を強化する
  • 疑わしいアクティビティの監視

API トークン制御

ユーザーは REST API を通して Atlassian Cloud 製品のインスタンスからデータ取得が可能です。
REST API の認証に使用するAPI トークンはユーザー個人が自由に作成できます。
ドメイン認証を行っただけでは、管理対象アカウントにより作成されたこれらの API トークンを取り消すことはできません。
Atlassian Access を使用することで、組織管理者は管理対象アカウントの Guard を使用することで、組織管理者は管理対象アカウントの API トークンの使用を確認し、いつでも取り消すことができます。

管理対象アカウント詳細画面の API トークン

外部ユーザー

外部ユーザーとは、社内チームと連携しているもののアトラシアン組織での管理対象外となっているユーザーを指します。
外部ユーザーが組織のデータにアクセスしようとしたときに、外部ユーザーセキュリティポリシーとしてシングルサインオンやワンタイムパスワードを適用することができます。
また、組織内の製品に対するユーザー API トークンアクセスを制御することが可能です。

Image Added