Atlassian Guard 概要
こちらのドキュメントでは、Atlassian Guard について概要をご説明します。
2024年11月時点での情報を基に作成しています。
目次
Atlassian Guard とは?
Atlassian Guard は、ユーザー管理やログイン認証を強化するためのサービスです。
企業内の Atlassian アカウントを一元管理し、認証ポリシーの設定や ID プロバイダーとの連携を行うことができます。
これにより、企業のコンプライアンス確保や、大規模なユーザー管理のタスクが容易になります。
Atlassian Guard を使用することで、以下に該当する企業は大きなメリットを得ることができます。
- セキュリティを強化したい
- 大規模なユーザー管理のサポートを必要としている
- Atlassian 組織での製品の使用に関する詳細なインサイトを求めている
- 医療や金融など規制のある業界に属している
Atlassian Guard でできること
ドメイン認証を行い、更に Atlassian Guard にサブスクライブすることで、ユーザー認証やセキュリティに関する以下の機能を利用できます。
ドメイン認証の概要と手順については ドメイン認証 (Atlassian Cloud) をご参照ください。
2段階認証の強制
認証ポリシーの2段階認証を必須に設定することで、そのポリシーに割り当てられたメンバーに2段階認証でのログインを強制することができます。
2段階認証には、スマートフォンの認証アプリを使用します。
複数の認証ポリシーの適用
認証方法の切り分け
複数の認証ポリシーを作成し、メンバーを割り当てることができます。
認証ポリシーには以下の項目が設定可能です。
- 2段階認証(任意/必須)
- パスワード要件
- アイドルセッション期間(アイドル状態のメンバーが自動的にログアウトされるまでの時間)
- APIトークンの作成許可
例えば、企業は正社員、パートナー、管理用アカウントなど様々なユーザーセットに対しそれぞれ「デフォルトポリシー」、「 SSO ポリシー」、「ボットアカウント用ポリシー」などを作成し設定することができます。
こちらの認証ポリシー機能を使用しない場合、すべての管理対象アカウントのログイン認証方式はデフォルトポリシーに固定されます。
このとき、SSO 連携を行っている場合、正社員、パートナー、管理用アカウントのすべてのアカウントは ID プロバイダー側で認証できなければ Atlassian Cloud にログインできません。
もしこの企業が「メーリングリスト利用の管理用アカウントなど、ユーザーが実在しないアカウントは ID プロバイダー登録を行わない」といったポリシーで運用している場合、この管理用アカウントは Atlassian Cloud 製品や My Atlassian にログインできず、ライセンス情報などを確認できません。
このような問題は、Atlassian Guard を利用し特定のユーザーセットごとに認証ポリシーを切り分けることで解消できます。
Atlassian Guard 料金請求対象の切り分け
Atlassian Guard では、認証ポリシーごとに Atlassian Guard 料金請求対象とするか否かを設定できます。
この請求対象外ポリシーにメンバーを割り当てることによって、特定のユーザーセットを請求対象から除外できます。
例えば、実在の人物に紐付かず、製品利用のないボットアカウントなどをこちらのポリシーに割り当てます。
作成した認証ポリシーは、請求対象とするか、除外するかをいつでも切り替えることが可能です。
請求対象外ポリシーの注意点
- 請求対象外ポリシーは1つの組織に1つのみ設定できます。
- 適用中の SAML シングル サインオンや強制2段階認証が OFF になり、パスワード認証に関する設定のみが変更可能となります。
- ID プロバイダーから同期したユーザーを請求対象外ポリシーのメンバーに追加することはできません。ID プロバイダーから同期したユーザーはデフォルトのポリシーに自動的に割り当てられます。
請求対象外ポリシーを作成するには、認証ポリシーを追加後に編集をクリック > 画面右上のその他(…)をクリック > ポリシーを請求対象外にする を選択してポリシーを更新します。既存の認証ポリシーを請求対象外ポリシーに変更するには、認証ポリシーの右上の編集を選択して、同様の作業を行います。
ID プロバイダーとの統合
現在ご使用中の IdP(Okta、OneLogin、PingFederate、Microsoft Azure AD など)と統合し、ユーザー管理やログイン認証に関する制御を ID プロバイダー側で行うことができます。ID プロバイダー連携の概要と手順については Atlassian Guard の ID プロバイダー連携によるユーザー管理 (Atlassian Cloud) をご参照ください。
ID プロバイダーと統合すると、以下の2つの機能が利用できます。
SAML シングル サインオン
ID プロバイダーで一度ログイン認証済である場合、ID プロバイダーと連携している Atlassian Cloud サービスを追加の認証なしで利用できる機能です。 ユーザーはパスワードを別々に覚えたり、何度もログイン認証を行ったりする必要がなくなります。
ID プロバイダー側でもアカウントの管理ができ、ID プロバイダー側のアカウントを無効化(または削除)することで、統合済みの Atlassian アカウントへのログインを禁止できます。
SAML シングル サインオンを強制する場合、Atlassian Guard による2段階認証や認証ポリシーは使用できません。
ID プロバイダー側の同等の機能をご使用ください。
Atlassian は、ID プロバイダーによるシングル サインオンと Atlassian Guard による認証の併用せず、1つの ID プロバイダーで認証を完了することを推奨しています。
ユーザー プロビジョニング
ID プロバイダーに登録されているユーザー情報を元に、Atlassian アカウントの作成・更新・削除を自動化できる機能です。
Jira、Confluence はグループ情報を含めプロビジョニング可能なため、ID プロバイダーへのユーザー新規追加、無効化(または削除)を Atlassian Cloud 側に自動で反映できます。
企業は新入社員のアカウントを ID プロバイダー側で新規追加すれば Atlassian Cloud 側にも自動で追加されるため、別途ユーザー追加作業を行う必要がなくなります。
※プロビジョニングはすべての Atlassian アカウントでご利用になれます。現在、グループ同期は Jira 製品インスタンス、Confluence、Trello でのみ利用可能です。Bitbucket ではご利用になれません。
その他のオプション
組織に関するインサイト
製品の利用状況をグラフ表示します。
各製品またはすべての製品の期間ごとの利用状況を追跡することができます。
アクティブ ユーザー
- 製品ごとのアクティブ ユーザー
監査ログ
過去180日間に組織およびサイトで発生したアクティビティを追跡することができます。
ログは CSV ファイルでダウンロードが可能です。
管理対象のユーザーが管理する組織外の製品の検出
組織の管理対象アカウントが 組織外で作成、管理している製品を確認することができます。
CASB との統合
Cloud Access Security Broker (CASB) ソフトウェアの McAfeeMVISIONCloud と統合することができます。
CASB は、企業で使用されているクラウド製品と統合することで、高度なクラウドセキュリティ機能を提供するサードパーティソフトウェアです。各クラウド製品が送受信するすべての情報を追跡および分析することができます。
CASB と Atlassian Guard の統合により、分析データを使用して企業は以下のメリットが得られます。
- Atlassian Cloud 製品を含むクラウドサービス全体のコンテンツとユーザーアクションを可視化する
- 重要な Atlassian Cloud のデータの保護を強化する
- 疑わしいアクティビティの監視
API トークン制御
ユーザーは REST API を通して Atlassian Cloud 製品のインスタンスからデータ取得が可能です。
REST API の認証に使用するAPI トークンはユーザー個人が自由に作成できます。
ドメイン認証を行っただけでは、管理対象アカウントにより作成されたこれらの API トークンを取り消すことはできません。
Atlassian Guard を使用することで、組織管理者は管理対象アカウントの API トークンの使用を確認し、いつでも取り消すことができます。
管理対象アカウント詳細画面の API トークン
外部ユーザー
外部ユーザーとは、社内チームと連携しているもののアトラシアン組織での管理対象外となっているユーザーを指します。
外部ユーザーが組織のデータにアクセスしようとしたときに、外部ユーザーセキュリティポリシーとしてシングルサインオンやワンタイムパスワードを適用することができます。
また、組織内の製品に対するユーザー API トークンアクセスを制御することが可能です。
リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。
Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ