目次

Atlassian Access とは？

Atlassian Access は、ユーザー管理やログイン認証を強化するためのサービスです。
企業内の Atlassian アカウントを一元管理し、認証ポリシーの設定や ID プロバイダーとの連携を行うことができます。
これにより、企業のコンプライアンス確保や、大規模なユーザー管理のタスクが容易になります。

Atlassian Access を使用することで、以下に該当する企業は大きなメリットを得ることができます。

• セキュリティを強化したい
• 大規模なユーザー管理のサポートを必要としている
• Atlassian 組織での製品の使用に関する詳細なインサイトを求めている
• 医療や金融など規制のある業界に属している

Atlassian Access でできること

ドメイン認証を行い、更に Atlassian Access にサブスクライブすることで、ユーザー認証やセキュリティに関する以下の機能を利用できます。
ドメイン認証の概要と手順については ドメイン認証 (Atlassian Cloud) をご参照ください。

2段階認証の強制

認証ポリシーの2段階認証を必須に設定することで、そのポリシーに割り当てられたメンバーに2段階認証でのログインを強制することができます。
2段階認証には、スマートフォンの認証アプリを使用します。

複数の認証ポリシーの適用

認証方法の切り分け

複数の認証ポリシーを作成し、メンバーを割り当てることができます。
認証ポリシーには以下の項目が設定可能です。

• 2段階認証（任意/必須）
• パスワード要件
• アイドルセッション期間（アイドル状態のメンバーが自動的にログアウトされるまでの時間）

例えば、企業は正社員、パートナー、管理用アカウントなど様々なユーザーセットに対しそれぞれ「デフォルトポリシー」、「 SSO ポリシー」、「ボットアカウント用ポリシー」などを作成し設定することができます。

こちらの認証ポリシー機能を使用しない場合、すべての管理対象アカウントのログイン認証方式はデフォルトポリシーに固定されます。
このとき、SSO 連携を行っている場合、正社員、パートナー、管理用アカウントのすべてのアカウントは ID プロバイダー側で認証できなければ Atlassian Cloud にログインできません。
もしこの企業が「メーリングリスト利用の管理用アカウントなど、ユーザーが実在しないアカウントは ID プロバイダー登録を行わない」といったポリシーで運用している場合、この管理用アカウントは Atlassian Cloud 製品や My Atlassian にログインできず、ライセンス情報などを確認できません。

このような問題は、Atlassian Access を利用し特定のユーザーセットごとに認証ポリシーを切り分けることで解消できます。

Atlassian Access 料金請求対象の切り分け

Atlassian Access では、認証ポリシーごとに Atlassian Access 料金請求対象とするか否かを設定できます。
この請求対象外ポリシーにメンバーを割り当てることによって、特定のユーザーセットを請求対象から除外できます。
例えば、実在の人物に紐付かず、製品利用のないボットアカウントなどをこちらのポリシーに割り当てます。
作成した認証ポリシーは、請求対象とするか、除外するかをいつでも切り替えることが可能です。

請求対象外ポリシーの注意点

• 請求対象外ポリシーは1つの組織に1つのみ設定できます。
• 適用中の SAML シングル サインオンや強制2段階認証が OFF になり、パスワード認証に関する設定のみが変更可能となります。
• デフォルトのポリシーを請求対象外ポリシーにはできません。
• ID プロバイダーから同期したユーザーを請求対象外ポリシーのメンバーに追加することはできません。ID プロバイダーから同期したユーザーはデフォルトのポリシーに自動的に割り当てられます。

請求対象外ポリシーを作成するには、認証ポリシーを追加後に右上の > ポリシーを請求対象外にする を選択してポリシーを更新します。既存の認証ポリシーを請求対象外ポリシーに変更するには、認証ポリシーの右上の編集を選択して、同様の作業を行います。

ID プロバイダーとの統合

現在ご使用中の IdP（Okta、OneLogin、PingFederate、Microsoft Azure AD など）と統合し、ユーザー管理やログイン認証に関する制御を ID プロバイダー側で行うことができます。ID プロバイダー連携の概要と手順については Atlassian Access の ID プロバイダー連携によるユーザー管理 (Atlassian Cloud) をご参照ください。
ID プロバイダーと統合するには、以下の2つの機能が利用できます。

SAML シングル サインオン

ID プロバイダーで一度ログイン認証済である場合、ID プロバイダーと連携している Atlassian Cloud サービスを追加の認証なしで利用できる機能です。 ユーザーはパスワードを別々に覚えたり、何度もログイン認証を行ったりする必要がなくなります。
ID プロバイダー側でもアカウントの管理ができ、ID プロバイダー側のアカウントを無効化（または削除）することで、統合済みの Atlassian アカウントへのログインを禁止できます。

ユーザー プロビジョニング

ID プロバイダーに登録されているユーザー情報を元に、Atlassian アカウントの作成・更新・削除を自動化できる機能です。
Jira、Confluence はグループ情報を含めプロビジョニング可能なため、ID プロバイダーへのユーザー新規追加、無効化（または削除）を Atlassian Cloud 側に自動で反映できます。
企業は新入社員のアカウントを ID プロバイダー側で新規追加すれば Atlassian Cloud 側にも自動で追加されるため、別途ユーザー追加作業を行う必要がなくなります。

※Jira、Confluence 以外の製品はグループを含めたプロビジョニングが現状できません。プロビジョニングで作成されたアカウントを利用する製品毎に招待する必要があります。

その他のオプション

組織に関するインサイト

製品の利用状況をグラフ表示します。
各製品またはすべての製品の期間ごとの利用状況を追跡することができます。

• アクティブ ユーザー
  
  
  

• 製品ごとのアクティブ ユーザー
  
  
  
• 組織が管理しているアカウント
  
  
  
• 2 段階認証の対象範囲
  

監査ログ

過去180日間に組織およびサイトで発生したアクティビティを追跡することができます。
ログは CSV ファイルでダウンロードが可能です。

管理対象のユーザーが管理する組織外の製品の検出

組織の管理対象アカウントが 組織外で作成、管理している製品を確認することができます。

CASB との統合

Cloud Access Security Broker (CASB) ソフトウェアの McAfeeMVISIONCloud と統合することができます。
CASB は、企業で使用されているクラウド製品と統合することで、高度なクラウドセキュリティ機能を提供するサードパーティソフトウェアです。各クラウド製品が送受信するすべての情報を追跡および分析することができます。

CASB と Atlassian Access の統合により、分析データを使用して企業は以下のメリットが得られます。

• Atlassian Cloud 製品を含むクラウドサービス全体のコンテンツとユーザーアクションを可視化する
• 重要な Atlassian Cloud のデータの保護を強化する
• 疑わしいアクティビティの監視

API トークン制御

ユーザーは REST API を通して Atlassian Cloud 製品のインスタンスからデータ取得が可能です。
REST API の認証に使用するAPI トークンはユーザー個人が自由に作成できます。
ドメイン認証を行っただけでは、管理対象アカウントにより作成されたこれらの API トークンを取り消すことはできません。
Atlassian Access を使用することで、組織管理者は管理対象アカウントの API トークンの使用を確認し、いつでも取り消すことができます。

管理対象アカウント詳細画面の API トークン