Okta を利用した ID プロバイダー連携 (Atlassian Cloud)

Owned by Hanayo Minamisawa [Ricksoft]
2022/04/09
4 min read

こちらのドキュメントでは、Atlassian Access での Okta を利用した ID プロバイダー連携の手順について解説します。

現在ご利用中の ID プロバイダーサービスがない場合でも、Atlassian Access では ID プロバイダーサービス Okta を無料でご利用いただくことができます。

こちらの手順を実施するには、組織管理者の権限が必要です。

また、以下の手順はドメイン認証と Atlassian Access へのサブスクリプション開始が完了されていることを前提としています。

2021年3月25日時点での情報を基に作成しています。

参考:

目次



事前準備

Okta アカウントを作成する

Atlassian Accessから Okta アカウントを作成することによって、Atlassian Access との連携に必要なアプリケーションがインストール済みの状態で Okta を利用開始できます。

  1. https://admin.atlassian.com/  にアクセスし、今回 ID プロバイダー連携を行う組織の  n 件のドメインリンクをクリックします。


  2. ディレクトリ >  ユーザーのプロビジョニング  をクリックし、無料の Okta アカウントに登録リンクをクリックします。


  3. アカウントの情報を入力し、無料の Okta アカウントの作成ボタンをクリックします。


  4. Active Directory と接続する場合は Okta を Active Directory に接続する方法について詳細を見る リンクをご参照ください。

Okta をセットアップする

本ドキュメントでは Atlassian Cloud 製品を利用するすべてのユーザーを Okta 経由で管理することを想定しています。

  1. Okta にサインインし、ダイアログの指示に従って多要素認証(MFA)を設定します。
    ユーザーフォーム画面の アカウントメニュー > 管理をクリックし、管理コンソールにアクセスします。


  2. Get Started の各ステップを適宜行い、ユーザーのインポート等を完了します。

  3. ID プロバイダー連携を行いたい Atlassian 製品のデフォルトアクセスグループ名でグループを追加し、任意のテストユーザーを追加します。
    ※グループ名については次節にて解説します。
    • confluence-users
    • jira-software-users など

グループ同期のための設定を行う

本ドキュメントでは Okta に Atlassian 製品の 初期設定のアクセスのグループと同名のグループを作成し同期して管理することを前提としています。
confluence-users や jira-software-users などのグループに割り当てられているグローバル権限がそのまま引き継がれるため、新しく製品ごとに権限設定を行う必要がありません(Okta 側のグループで Atlassian 製品側のグループを上書きする形となります)。

ただし、同期するグループが Atlassian 製品側で 初期設定のアクセスのグループ に設定されている場合、Okta (IdP)からグループをそのまま同期することはできません。
以下で紹介する手順で Atlassian 製品側の初期設定のアクセスのグループを切り替えてから、グループを同期して上書きを行う必要があります。
※ Okta 側のグループ名に任意の別な名前を使用する場合は、この手順は必要ありません。ユーザー プロビジョニングの構成が完了した後、Atlassian Access の ID プロバイダー連携によるユーザー管理 (Atlassian Cloud) の以下のステップを実施してください。

Atlassian 製品の初期設定のアクセスのグループを変更する

  1. https://admin.atlassian.com/  にアクセスし、今回ユーザー プロビジョニングを適用する組織のサイトのグループを管理をクリックします。


  2. 新しくデフォルトアクセスグループとするグループを追加します。
    グループを追加ボタンをクリックします。


  3. 任意のグループ名を入力し、グループを作成ボタンをクリックします。


  4. グループアクセスを編集リンクをクリックします。


  5. グループを追加ボタンをクリックします。


  6. グループを選択し、グループを追加ボタンをクリックします。


  7. 追加したグループのオプションを開き、これをグループの初期設定にするをクリックします。


  8. もとのデフォルトアクセスグループ( Confluence の場合は confluence-users )のオプションを開き、これをグループの初期設定にしないをクリックします。

SAML シングル サインオンを構成する

  1. Okta にログインし、Applications メニューを開きます。Atlassian Cloud をクリックします。


  2. Sign Onタブを開き、View Setup Instructionsボタンをクリックします。


  3. Atlassian Cloud 用に SAML を構成するためのドキュメントが表示されます。
    こちらの中ほどにある Identity provider Entity ID, Identity provider SSO URL, Public x509 certificate に URL やテキストが表示されていることを確認します。


  4. ドキュメントの手順に従い構成を完了します。
    Atlassian 組織の SAML シングル サインオン画面 は以下のような表示になります。


  5. SSO のテストのため任意のユーザーを Okta の Atlassian Cloud アプリに割り当てます。
    Okta の Atlassian Cloud アプリケーションを開き、Assignments タブをクリックします。
    Assign > Assign to People をクリックします。


  6. テストに使用するユーザーの Assign ボタンをクリックし割り当てます。Done ボタンをクリックします。


  7. Atlassian Access の ID プロバイダー連携によるユーザー管理 (Atlassian Cloud) の以下のステップを実施し、SSOが正常に行われることを確認してください。

ユーザー プロビジョニングを構成する

STEP1. ディレクトリを作成する

  1. https://admin.atlassian.com/  にアクセスし、今回ユーザー プロビジョニングを適用する組織の  n 件のドメインリンクをクリックします。

  2. ディレクトリ >  ユーザーのプロビジョニング をクリックし、ディレクトリを作成ボタンをクリックします。


  3. ディレクトリの任意の名前を入力し、作成ボタンをクリックします。


  4. ディレクトリ ベース URL と API キーが表示されます。
    こちらをコピーボタンをクリックしメモ帳などにペーストして控えておきます。


  5. 終了ボタンをクリックします。ディレクトリが作成されました。

STEP2. Okta 側で連携を有効化する

  1. Okta にログインし、Applications メニューを開きます。Atlassian Cloud をクリックします。


  2. Provisioning タブをクリックし、Configure API integration ボタンをクリックします。


  3. Enable API integration を選択します。Atlassian 組織で作成した  ディレクトリ ベース URL    API キー  を入力します。


  4. Test API Credentials ボタンをクリックし、Atlassian Cloud was verified successfully! と表示されることを確認します。
    Save ボタンをクリックします。


STEP3. Okta 側でオプションを構成する

  1. Okta にログインし、Applications メニューを開きます。Atlassian Cloud をクリックします。

  2. Provisioning タブを選択し、Settings の To App をクリックして Edit ボタンをクリックします。


  3. 必要なオプションでEnableを選択し、Saveボタンをクリックします。

    オプション


    Create Users

    		アプリを Okta のユーザーに割り当てる際、Atlassian アカウントを作成します。
    既に Atlassian アカウント作成済みのユーザーには既存のアカウントをリンクします。
    Update User Attributesアプリを Okta ユーザーに割り当てる際、Okta 側のユーザー属性で Atlassian Cloud 側の属性を更新します。
    その後も Okta 側で行われた属性変更は Atlassian アカウントに自動的に反映されます。
    Deactivate Users

    Okta 側で割り当てが行われていないユーザー、または Okta 側で無効化されたユーザーは Atlassian Cloud 側でもアカウントを自動で無効化します。

    Atlassian Cloud Attribute Mappings

    Atlassian アカウントの属性と Okta ユーザーの属性のマッピングを行います。
    既定設定のまま使用する場合は変更の必要はありません。
    独自のマッピングを行う場合はユーザー プロビジョニング機能をご参照ください。

STEP4. Okta 側のフィールドマッピング が正しいことを確認する

ユーザー プロビジョニングでは、ドメインのメール アドレスによりユーザーを特定して Atlassian アカウントの作成またはリンクを行います。
そのため、ユーザーのメール アドレスフィールドが SAML SSO 設定と Okta アプリの SCIM ユーザー プロビジョニング設定とで異なる場合に Atlassian アカウントが複製されてしまうことがあります。
こちらでは、アカウントの複製を防ぐためにメール アドレスフィールドのマッピングを確認します。

  1. Okta にログインし、Applications メニューを開きます。Atlassian Cloud をクリックします。

  2. Provisioning タブを選択し、Settings の To App をクリックします。


  3. スクロールし、画面下部の Atlassian Cloud Attribute Mappings を確認します。
    Primary email 属性にマッピングされているフィールドを控えておいてください。
    (既定では  email となっています)


  4. 次に Sign On タブをクリックします。


  5. スクロールし、画面下部の Credentials details を確認します。
    Application username format と 控えておいた Primary email 属性が一致していれば問題ありません。
    一致していない場合、Application username format の値を控えておいてください。(既定では Okta username となっています)
    こちらの実際の値が Primary email 属性と一致しているか確認します。


  6. Directory > People より任意のユーザーを選択し、Profile タブを開きます。
    控えておいた Application username format の属性値 と Primary email の属性値が一致していることを確認してください。
    手順の例では、Primary email 属性と Username 属性ですが、両方にメールアドレスが使われており値が一致しているため、マッピングは問題ないことが確認できます。

STEP5. 組織にグループを同期する

グループ同期機能を使用すると、ID プロバイダー側で Atlassian Cloud ユーザー権限やライセンスを管理可能です。

グループを同期しただけではユーザーは同期されません。

  1. Okta にログインし、Applications メニューを開きます。Atlassian Cloud をクリックします。

  2. Push Groups タブを選択し、By Name をクリックします。


  3. Push Groups をクリックし、Find groups by name を選択します。


  4. Atlassian 製品のグループ名を入力し、選択します。


  5. 必要なグループをすべて追加し、Save ボタンをクリックします。


  6. グループが Active であることを確認します。


  7. Atlassian 組織のユーザー プロビジョニングにてグループとユーザーの同期を確認します。
    再読み込みアイコンをクリックすると同期したグループが表示されます。
    ※グループ名の競合が発生し同期が保留中になる場合は、以降のSTEPで解決します。


STEP6. ユーザーを Atlassian アプリケーションに割り当てる

グループをアプリケーションに割り当てることで、グループに属するユーザーも同時に自動で割り当てられます。

  1. Okta にログインし、Applications メニューを開きます。Atlassian Cloud をクリックします。
    Assignments タブを選択し、Assign ボタンをクリックして Assign to Groups を選択します。


  2. 割り当てたいグループの Assign ボタンをクリックします。


  3. 属性の既定値を設定します。
    この既定値はユーザー プロファイルに既定値が設定されていない場合にのみ使用されます。空欄でも構いません。
    Save and Go Back ボタンをクリックします。


  4. グループが Assigned となっていることを確認し、Done ボタンをクリックします。


  5. Atlassian 組織のディレクトリユーザー プロビジョニングにてユーザーの同期を確認します。
    再読み込みアイコンをクリックします。

  6. 製品の初期設定のグループと同じ名前( confluence-users など)が同期されたため、競合が発生します。
    次のステップで競合を解決します。


    ※ Okta 側のグループ名に任意の別な名前を使用する場合は競合は発生しないため、STEP7 の設定は必要ありません。
    Atlassian Access の ID プロバイダー連携によるユーザー管理 (Atlassian Cloud) の以下のステップを実施してください。

STEP7. グループの競合を解決し製品と同期する

  1. Atlassian 組織のディレクトリユーザー プロビジョニングにてユーザーの同期を確認します。
    再読み込みアイコンをクリックします。

  2. 製品の初期設定のグループと同じ名前( confluence-users など)が同期されようとしたため、競合が発生します。
    競合を解決するには、同期の前にグループを確認リンクをクリックします。


  3. 競合を解決するグループのレビューボタンをクリックします。


  4. 保持・削除・追加されるユーザーをそれぞれ確認します。そのまま同期して問題なければグループを同期ボタンをクリックします。
    ※ Okta 側のグループにより上書きされるため、Okta 側に登録されていないユーザーは削除対象となります。


  5. ユーザー プロビジョニングで同期の状態を確認します。グループタブに同期したグループ、製品アクセスタブにグループがアクセスできるサイトと製品が表示されます。


リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。

Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ