Azure Active Directory を利用した ID プロバイダー連携 (Atlassian Cloud)

Owned by 眞一 芦田 (Deactivated)
2022/06/07
3 min read

こちらのドキュメントでは、Atlassian Access での Azure Active Directory (Azure AD) を利用した ID プロバイダー連携の手順について解説します。

こちらの手順を実施するには、組織管理者の権限が必要です。

また、以下の手順はhttps://rs-support-doc.atlassian.net/wiki/spaces/ATLCLOUDKB/pages/585902750と Atlassian Access へのサブスクリプション開始が完了済みか、あるいは Cloud Enterprise プランを利用していることを前提としています。

May 31, 2022 時点での情報を基に作成しています。

参考:

目次

事前準備

ギャラリーからの Atlassian Cloud の追加

Azure AD への Atlassian Cloud の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に Atlassian Cloud を追加する必要があります。

  1. 連携予定の Azure AD のテナントがある Azure portal にサインインします

  2. 画面左のナビゲーション ウィンドウで Azure Active Directory サービスを選択します

    Azure Portal

  3. エンタープライズ アプリケーション に移動し、すべてのアプリケーション を選択します

    Azure Active Directory

  4. 新しいアプリケーションを追加するには、新しいアプリケーション を選択します

  5. ギャラリーから追加する セクションで、検索ボックスに “Atlassian Cloud” と入力します

  6. 結果の一覧から Atlassian Cloud を選択し、作成 をクリックします

  7. テナントにアプリが追加されるのを待機します

SAML シングル サインオンを構成する

以降の手順に従って、Azure portal で Azure AD SSO を有効にします。
管理者として次の手順を実行します。

【Azure AD 側】Azure AD の設定情報の取得

  1. Azure portal の Atlassian Cloud アプリケーション統合ページで、管理 セクションを探して、シングル サインオンの設定 を選択します

  2. シングル サインオン方式の選択 ページで、SAML を選択します

  3. SAML 署名証明書 セクションで 証明書 (Base64) の右側の ダウンロード リンクをクリックし、証明書をダウンロードしてローカルに保存します
    基本的な SAML 構成 セクションの 識別子 (エンティティ ID) の値が設定されていない場合に、ダウンロードリンクが不活性の状態となっているケースがあります。その場合は仮の値を設定してみてください

  4. Atlassian Cloud のセットアップ セクションで ログイン URL Azure AD 識別子 の情報をひかえておきます

【Atlassian Cloud 側】Azure AD 設定情報の登録

  1. Atlassian 管理 ポータル (https://admin.atlassian.com) を開いて対象の組織名の右側にある n 件のドメイン をクリックします

     

  2. セキュリティ タブに移動します

  3. SAML シングル サインオン を選択します

  4. SAML 構成の追加 をクリックします

  5. 表示された入力欄に次の内容を記載します

    • ID プロバイダーのエンティティ ID: Azure AD 識別子

    • ID プロバイダーの SSO URL: ログイン URL

    • パブリック x.509 証明書: 証明書 (Base64) のファイルの内容

  6. 構成を保存する をクリックします

  7. 表示された次の設定情報を保管しておきます

    • SP エンティティ ID

    • SP アサーション コンシューマー サービス URL

【Azure AD 側】Atlassian Cloud の設定情報の登録

  1. 基本的な SAML 構成 セクションの 編集 をクリックします

  2. 次の値を設定します

    • 識別子 (エンティティ ID) : SP エンティティ ID

    • 応答 URL (Assertion Consumer Service URL): SP アサーション コンシューマー サービス URL

    • リレー状態

      • 全体で1つのサイトだけ使用する場合: 対象サイトのインスタンス URL (<https://<INSTANCE>.atlassian.net> という形式)

      • 複数サイト (例: Enterprise 版など) を使用する場合: https://start.atlassian.com (Atlassian アカウントのホーム画面)

         

【Azure AD 側】Atlassian Cloud の設定情報の登録

Atlassian Cloud アプリケーションでは、特定の形式の SAML アサーションを受け取るため、SAML トークン属性の構成にカスタム属性マッピングを追加する必要があります。
ここではその手順を記載します。

  1. 属性とクレーム セクションの 編集 をクリックします

  2. 一意のユーザー識別子 (名前 ID) をクリックします

  3. ソース属性 を編集して、user.mail に変更します

  4. 保存 をクリックします

Microsoft 365 ライセンスがない場合

Microsoft 365 ライセンスのない Azure AD テナントに作成されたユーザーについては、user.mail 属性が Azure によって事前設定されません。
そのようなユーザーのメールは、userprincipalname 属性に格納されるため、次の手順を実行します

  1. 属性とクレーム セクションの 編集 をクリックします

  2. http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress 要求をクリックします

  3. ソース属性 を編集して、user.userprincipalname に変更します

  4. 要求に対する変更を保存します

SAML シングル サインオンの適用

認証ポリシーに SAML シングル サインオンを適用するには、次の手順を行います。

  1. Atlassian 管理 ポータルから セキュリティ タブを選択し、認証ポリシー をクリックします

  2. SSO を適用するポリシーの 編集 をクリックします

  3. 設定 で管理対象ユーザーに対する シングルサインオンを適用 にチェックを入れ、更新 をクリックします

ご不明点は ヘルプデスク (要サポートサービス契約)までお問い合わせください。
サポートサービスの新規ご契約は お問い合わせフォーム にご連絡ください。

リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。

Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ