Okta を利用した ID プロバイダー連携 (Atlassian Cloud)

Owned by Hanayo Minamisawa [Ricksoft]
Last updated: 2024/11/25
6 min read

 

こちらのドキュメントでは、Atlassian Guard での Okta を利用した ID プロバイダー連携の手順について解説します。

こちらの手順を実施するには、組織管理者の権限が必要です。

また、以下の手順はドメイン認証Atlassian Guard へのサブスクリプション開始が完了されていることを前提としています。

2024年11月時点での情報を基に作成しています。

参考:

目次

 

 

事前準備

Okta をセットアップする

今回は検証目的で Okta を導入する手順を説明します。

既に Okta を所有している場合は次の「Atlassian に登録されているグループを確認する」に進んでください。

  1. こちらにアクセスし、 Customer Identity Cloud かWorkforce Identity Cloud か Access the Okta Developer Edition Service を選びます。

    image-20241125-025354.png

  2. メールアドレスをいれてサインアップします。

     

  3. 登録したメールアドレス宛にOkataからメールが届きますので、Activate Okta accountをクリックしてサインアップします。

  4. Active Directory と接続する場合は Okta を Active Directory に接続する方法について詳細を見る リンクをご参照ください。

  5. Okta にサインインし、ダイアログの指示に従って多要素認証(MFA)を設定します。Okta に Atlassian Cloud アプリを追加します。こちらへアクセスし、Add Integration をクリックします。

     

  6. 作成した Okta 環境を選びます。Get Started の各ステップを適宜行い、ユーザーのインポート等を完了します。

  7. ディレクトリ > グループをクリックします。グループをクリックし、ID プロバイダー連携を行いたい Atlassian 製品のグループを追加します。

     

     

  8. 7で作成したグループをクリックします。右上のユーザーを割り当てをクリックし、検索欄からグループに追加するユーザーを検索します。

     

  9. グループに追加するユーザーの欄の+をクリックして完了をクリックします。

Atlassian に登録されているグループを確認する

本ドキュメントでは Okta に Atlassian 製品の 初期設定のアクセスのグループと別名のグループを作成し同期して管理することを前提としています。
現在の Atlassian の組織管理画面で登録されているグループ名を確認して、Okta で作るグループの名前と被らないようご注意ください。

グループと Atlassian Cloud アプリを紐づける

  1. グループをクリックし、先ほど作成したグループをクリックします。

  2. アプリケーションをクリックし、アプリケーションを割り当てをクリックします。

     

     

  3. 「Atlassian Cloud」の「割り当て」をクリックしま

ユーザー プロビジョニングを構成する

STEP1. ディレクトリを作成する

  1. https://admin.atlassian.com/  にアクセスし、今回ユーザー プロビジョニングを適用する組織をクリックします。

     

  2. セキュリティ>IDプロバイダーをクリックし、ID プロバイダーを追加 ボタンをクリックします。

  3. アイデンティティ プロバイダーにOktaを選択し、ディレクトリ名に適当な名前をつけます。

  4. ユーザープロビジョニングをセットアップを選択し、次へをクリックします

     

  5. 「SCIM ベース URL」と「API キー」が表示されます。このブラウザータブを開いたままにしてください。

STEP2. Okta 側で連携を有効化する

  1. Okta に切り替えて、左側のペインから「アプリケーション」 > 「アプリケーション」 に移動します。

     

  2. Atlassian Cloud を選択し「プロビジョニング」タブをクリックします

  3. API統合を​構成をクリックします。「API 統合を​有効化」にチェックを入れます

  4. Atlassian 組織の画面に戻り、記載された「SCIM ベース URL」と「API キー」をコピーして貼り付けます

    • Okta の「Base URL」に Atlassian の「SCIM ベース URL」の値を貼り付けます

    • Okta の「API Token」に Atlassian の「API キー」の値を貼り付けます

       

  5. API資格情報をテストをクリックし 「Atlassian Cloud が正常に接続されました」メッセージが出たら 保存ボタンをクリックします。

  6. Atlassian 組織管理画面へ戻り、次へをクリックします。

     

  7.  

  8. 左上の「×」をクリックしてユーザープロビジョニングの設定画面を終了します。

  9. 右上の「・・・」をクリックし、「ドメインをリンク」をクリックします。

  10. 事前準備したドメインを選択し、「次へ」をクリックします。

  11. 「ドメインを移動」をクリックします。

     

  12. Okta とドメインがリンクされました。

STEP3. Okta 側でオプションを構成する

  1. Okta にログインし、アプリケーション>プロビジョニングをクリックします。

     

  2. 「アプリにプロビショニング」の「編集」をクリックします。

     

  3. 必要なオプションで有効を選択し、保存ボタンをクリックします。


STEP4. Okta 側のフィールドマッピング が正しいことを確認する

ユーザー プロビジョニングでは、ドメインのメール アドレスによりユーザーを特定して Atlassian アカウントの作成またはリンクを行います。
そのため、ユーザーのメール アドレスフィールドが SAML SSO 設定と Okta アプリの SCIM ユーザー プロビジョニング設定とで異なる場合に Atlassian アカウントが複製されてしまうことがあります。
こちらでは、アカウントの複製を防ぐためにメール アドレスフィールドのマッピングを確認します。

  1. Okta にログインし、アプリケーションメニューを開きます。Atlassian Cloud をクリックします。

  2. プロビショニングタブを選択し、設定 アプリへ をクリックします。

     

  3. スクロールし、画面下部のAtlassian Cloud属性マッピングを確認します。
    Primary email 属性にマッピングされているフィールドを控えておいてください。
    (既定では  email となっています)

  4. 次に サインオンタブをクリックします。

     

  5. スクロールし、画面下部の 資格情報の​詳細を確認します。

    アプリケーションユーザー名の​形式と 控えておいた Primary email 属性が一致していれば問題ありません。

    一致していない場合、アプリケーションユーザー名の​形式の値を控えておいてください。(既定では Okta username となっています)
    こちらの実際の値が Primary email 属性と一致しているか確認します。

     

  6. ディレクトリ>ユーザーより任意のユーザーを選択し、プロファイルタブを開きます。

    控えておいたアプリケーションユーザー名の​形式 の属性値 とプライマリメールアドレス  の属性値が一致していることを確認してください。
    手順の例では、プライマリメールアドレス属性と ユーザー名 属性ですが、両方にメールアドレスが使われており値が一致しているため、マッピングは問題ないことが確認できます。

STEP5. 組織にグループを同期する

グループ同期機能を使用すると、ID プロバイダー側で Atlassian Cloud ユーザー権限やライセンスを管理できるようになります

グループを同期しただけではユーザーは同期されません。

  1. Okta にログインし、アプリケーションメニューを開きます。Atlassian Cloud をクリックします。

  2. プッシュグループタブを選択し、名前で をクリックします。

     

  3. プッシュグループをクリックし、名前でグループを検索を選択します。

     

  4. Atlassian 製品のグループ名を入力し、選択します。

     

  5. 必要なグループをすべて追加し、保存ボタンをクリックします。

     

  6. グループが Active であることを確認します。

     

  7. Atlassian Cloud の組織管理画面の セキュリティ > ID プロバイダの Okta ディレクトリを選択した後の画面で、同期済みのグループが 1になっていることと Okta で同期した グループが含まれているかを確認します。

     

STEP6. ユーザーを Atlassian アプリケーションに割り当てる

グループをアプリケーションに割り当てることで、グループに属するユーザーも同時に自動で割り当てられます。

  1. Okta にログインし、アプリケーションメニューを開きます。Atlassian Cloud をクリックします。
    割り当て > ユーザー よりグループに割り当て をクリックします。

     

  2. 割り当てたいグループの 割り当てボタンをクリックします。

     

  3. 属性の既定値を設定します。
    この既定値はユーザー プロファイルに既定値が設定されていない場合にのみ使用されます。空欄でも構いません。
    保存して戻るボタンをクリックします。

  4. グループが 割り当て済み となっていることを確認し、保存ボタンをクリックします。

SAML シングル サインオンを構成する

  1. Atlassian の管理画面にてセキュリティ > IDプロバイダーにて Okta と連携済みのディレクトリを選択します。

  2. 「SAML シングル サインオンをセットアップする」をクリックし、「次へ」をクリックします。以下の画面に遷移したら、このブラウザータブを開いたままにしておいてください。このまま別のブラウザータブを開いて次のステップに進みます。

  3. Okta画面のタブに切り替えて、左側のペインから「アプリケーション」 > 「アプリケーション」 に移動します。Atlassian Cloudを選択し「サインオン」タブをクリックして 編集 をクリックします。

     

  4. ラジオボタンの「SAML 2.0」を選択します。続けて 「SAMLの​設定手順を​表示」をクリックします。新しいタブでヘルプページが開きます。

  5. ヘルプページをスクロールダウンすると、ステップ 7に Atlassian Cloud 側で必要な設定内容が表示されます。(これはOkta環境ごとに異なります)

     

  6. Atlassian Cloud の組織画面のタブに戻ります。Oktaヘルプに表示されている項目を3つコピーしてそれぞれ貼り付け、「次へ」をクリックします。続けて以下の画面が表示されます。

     



  7. Oktaの画面タブに切り替え、Unique ID に 上記手順の画面の サービスプロバイダのエンティティURLの ~com/saml/ 以下の文字列をコピーアンドペーストし、下にスクロールし「保存」をクリックして保存します。https://auth.atlassian.com/saml/65c7647d-f4d5-4b41-8aef-39cc3b680cac」の場合は、「65c7647d-f4d5-4b41-8aef-39cc3b680cac」部分をコピーします。

  8. Atlassian Cloud の画面タブに戻り、次へをクリックします。その後は、会社ドメインユーザーをすべてSAML SSO強制にするため、ドメインを選択してリンクして次へをクリックします。

  9. 設定を保存します。

SAML シングル サインオンの適用

認証ポリシーに SAML シングル サインオンを適用するには、次の手順を行います。

  1. Atlassian 管理 ポータルから セキュリティ タブを選択し、認証ポリシー をクリックします

  2. SSO を適用するポリシーの 編集 をクリックします

  3. 設定 で管理対象ユーザーに対する シングルサインオンを適用 にチェックを入れ、更新 をクリックします

 

 

リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。

Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ