こちらのドキュメントでは、Atlassian Access での Azure Active Directory (Azure AD) を利用した ID プロバイダー連携の手順について解説します。
こちらの手順を実施するには、組織管理者の権限が必要です。
また、以下の手順はドメイン認証 (Atlassian Cloud)と Atlassian Access へのサブスクリプション開始が完了済みか、あるいは Cloud Enterprise プランを利用していることを前提としています。
時点での情報を基に作成しています。
参考:
目次
事前準備
ギャラリーからの Atlassian Cloud の追加
Azure AD への Atlassian Cloud の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に Atlassian Cloud を追加する必要があります。
連携予定の Azure AD のテナントがある Azure portal にサインインします
画面左のナビゲーション ウィンドウで Azure Active Directory サービスを選択します
エンタープライズ アプリケーション に移動し、すべてのアプリケーション を選択します
新しいアプリケーションを追加するには、新しいアプリケーション を選択します
ギャラリーから追加する セクションで、検索ボックスに “Atlassian Cloud” と入力します
結果の一覧から Atlassian Cloud を選択し、作成 をクリックします
テナントにアプリが追加されるのを待機します
SAML シングル サインオンを構成する
以降の手順に従って、Azure portal で Azure AD SSO を有効にします。
管理者として次の手順を実行します。
【Azure AD 側】Azure AD の設定情報の取得
Azure portal の Atlassian Cloud アプリケーション統合ページで、管理 セクションを探して、シングル サインオンの設定 を選択します
シングル サインオン方式の選択 ページで、SAML を選択します
SAML 署名証明書 セクションで 証明書 (Base64) の右側の ダウンロード リンクをクリックし、証明書をダウンロードしてローカルに保存します
⚠ 基本的な SAML 構成 セクションの 識別子 (エンティティ ID) の値が設定されていない場合に、ダウンロードリンクが不活性の状態となっているケースがあります。その場合は仮の値を設定してみてくださいAtlassian Cloud のセットアップ セクションで ログイン URL と Azure AD 識別子 の情報をひかえておきます
【Atlassian Cloud 側】Azure AD 設定情報の登録
Atlassian 管理 ポータル (https://admin.atlassian.com) を開いて対象の組織名の右側にある n 件のドメイン をクリックします
セキュリティ タブに移動します
SAML シングル サインオン を選択します
SAML 構成の追加 をクリックします
表示された入力欄に次の内容を記載します
ID プロバイダーのエンティティ ID: Azure AD 識別子
ID プロバイダーの SSO URL: ログイン URL
パブリック x.509 証明書: 証明書 (Base64) のファイルの内容
構成を保存する をクリックします
表示された次の設定情報を保管しておきます
SP エンティティ ID
SP アサーション コンシューマー サービス URL
【Azure AD 側】Atlassian Cloud の設定情報の登録
基本的な SAML 構成 セクションの 編集 をクリックします
次の値を設定します
識別子 (エンティティ ID) : SP エンティティ ID
応答 URL (Assertion Consumer Service URL): SP アサーション コンシューマー サービス URL
リレー状態
全体で1つのサイトだけ使用する場合: 対象サイトのインスタンス URL (
<https://<INSTANCE>.atlassian.net>
という形式)複数サイト (例: Enterprise 版など) を使用する場合:
https://start.atlassian.com
(Atlassian アカウントのホーム画面)
【Azure AD 側】Atlassian Cloud の設定情報の登録
Atlassian Cloud アプリケーションでは、特定の形式の SAML アサーションを受け取るため、SAML トークン属性の構成にカスタム属性マッピングを追加する必要があります。
ここではその手順を記載します。
属性とクレーム セクションの 編集 をクリックします
一意のユーザー識別子 (名前 ID) をクリックします
ソース属性 を編集して、user.mail に変更します
保存 をクリックします
Microsoft 365 ライセンスがない場合
Microsoft 365 ライセンスのない Azure AD テナントに作成されたユーザーについては、user.mail 属性が Azure によって事前設定されません。
そのようなユーザーのメールは、userprincipalname 属性に格納されるため、次の手順を実行します
属性とクレーム セクションの 編集 をクリックします
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
要求をクリックしますソース属性 を編集して、user.userprincipalname に変更します
要求に対する変更を保存します
SAML シングル サインオンの適用
認証ポリシーに SAML シングル サインオンを適用するには、次の手順を行います。
Atlassian 管理 ポータルから セキュリティ タブを選択し、認証ポリシー をクリックします
SSO を適用するポリシーの 編集 をクリックします
設定 で管理対象ユーザーに対する シングルサインオンを適用 にチェックを入れ、更新 をクリックします
ご不明点は ヘルプデスク (要サポートサービス契約)までお問い合わせください。
サポートサービスの新規ご契約は お問い合わせフォーム にご連絡ください。