匿名ユーザー アクセスの制御
Jira を構成して匿名ユーザーによるアクセスを制限し、未ログインのユーザーがデータを閲覧できないように保護できます。フィルターやダッシュボードを公開表示するように設定している場合や、全ユーザー グループにユーザーの参照グローバル権限が付与されている場合、匿名ユーザーはデータにアクセスできます。このような場合の "公開の共有" や "全ユーザー" は、組織内外のすべての人を意味します。
適切な構成では、次のことが可能になります。
- Jira フィルター、ダッシュボード、プロジェクト、およびユーザー情報がそれらの所有者によって意図せずに公開共有 (例: 匿名ユーザーが共有フィルター ダッシュボードやプロジェクトの課題を表示可能) されないようにします。
- 検索エンジンのクローラーに提供されるコンテンツを制御します。
次のセクションにジャンプ:
自身のインスタンスに公開コンテンツが含まれているかどうかを確認したい
1. 公開共有が有効化されているかどうかの確認
インスタンスに公開コンテンツがあるかどうかを識別するには、まず Web 上のすべてのユーザーと共有機能がオンになっているかどうかを確認する必要があります。Jira インスタンスが非公開であり、未ログインのユーザーが使用することがない場合も、この機能をオフにすることをおすすめします。これにより、ユーザーはダッシュボードまたはフィルターを匿名ユーザーと共有できなくなります。
この機能は既定でオフになっています。
Jira 管理者は、ダッシュボードとフィルターを公開共有する Jira ユーザーのオプションを無効にできます。このオプションを無効にするには、次の操作を行います。
- [管理] (
) > [システム] > [一般設定] に移動します。 - [設定を編集]をクリックします。
- [Web 上のすべてのユーザーと共有] でオフを選択します。
- Click Update.
この機能をオフにしても、既存のフィルターやダッシュボードへの影響はありません。既存のフィルターとダッシュボードが既に公開されていた場合、この設定の変更後にそれらを引き続き更新する必要があります。
Web 上のすべてのユーザーとの共有を状況に応じて許可することを選択している場合、ユーザーがダッシュボードまたはフィルターへのパブリック アクセスを誤って許可しないように、ユーザーの既定の設定を非公開に設定できます。
フィルターおよびダッシュボードに既定の共有を設定するには、次の手順を実行します。
- [管理] () > [システム] に移動します。
- [既定のユーザー設定] を選択し、[既定値の編集] を選択します。
- [既定アクセス] を [非公開] に設定して、[更新] をクリックします。
2. 既存の公開フィルターとダッシュボードの一覧の取得
Web 上のすべてのユーザーとの共有を無効にした場合も、既存のフィルターとダッシュボードは更新されません。公開共有されているフィルターまたはダッシュボードがあるかどうかを確認するために、以下の SQL クエリを実行できます。
フィルター
"Web 上のすべてのユーザーと共有" 共有タイプ(グローバル) のダッシュボードの一覧を取得
SELECT sr.filtername, sp.sharetype AS current_share_state, sr.username AS owner_name, sr.reqcontent AS JQL
FROM searchrequest sr
INNER JOIN sharepermissions sp ON sp.entityid = sr.id
WHERE sp.sharetype='global' and sp.entitytype ='SearchRequest';または、[管理] () > [システム] > [共有アイテム] > [共有フィルター] の順に選択し、 [共有対象] 列で [Web 上のすべてのユーザーと共有] ステータスのフィルターを探します。
ダッシュボード
"全員で共有" 共有タイプ (グローバル) のダッシュボードの一覧を取得します。
SELECT DISTINCT pp.id as Dashboard_Id, pp.pagename AS Dashboard_name, sp.sharetype AS current_share_state, pp.username AS owner_name
FROM portalpage pp
INNER JOIN sharepermissions sp ON sp.entityid = pp.id
WHERE sp.sharetype='global' and sp.entitytype ='PortalPage'
ORDER BY pp.id;または、[管理] ( ) > [システム] > [共有アイテム] > [共有ダッシュボード] の順に選択し、[共有先] 列が [Web 上のすべてのユーザーと共有] ステータスのダッシュボードを探します。
3. ユーザー参照グローバル権限の監視
Jira のユーザー ピッカー機能を通じて、匿名ユーザーにユーザー ベース情報が提供される可能性があります。ユーザー参照グローバル権限を使用すると、ユーザーは Jira のすべてのユーザー名とグループ名を一覧表示し、課題を共有し、課題でユーザーを @メンションすることができます。これはポップアップ画面でのユーザーやグループの選択で使用され、ほとんどの [ユーザー ピッカー] メニューおよびポップアップ画面でユーザー名のオートコンプリートを有効化します。
この権限を Web 上のすべてのユーザー グループに付与すると、ユーザーの一覧を提供するエンドポイントへのアクセスを匿名ユーザーに許可することになります。
この権限が、権限を必要とする特定のグループに制限されていることを確認します。これは、[管理] () > [システム] > [グローバル権限] で制限できます。
すべての公開コンテンツを制限したい
1. 既存の公開フィルターとダッシュボードの更新
公開フィルターおよびダッシュボードを制限するには、フィルターの共有構成を手動で変更します。フィルターを一括で変更するには、DB クエリで更新を実行する必要があります。
まず、公開共有をオフにし、現在公開共有されているコンテンツを特定していることを確認します。
2. ユーザー参照グローバル権限の確認
この権限が、権限を必要とする特定のグループに制限されていることを確認します。
[管理] (
) > [システム] > [グローバル権限] の順に選択します。[Jira 権限] の [ユーザーの参照] 権限に移動します。
この権限から "Web 上のすべてのユーザー" グループを削除します。
3. 検索エンジンのクローラーのアクセスの確認
検索エンジンからのアクセスを制御する方法については、「robots.txt を使用して検索エンジンから隠す」ドキュメントを参照してください。
検索エンジンのクローラーから特定のページを制限した後、検索エンジンによってキャッシュ済みの情報が利用できなくなるまでに、数日かかる場合があります。キャッシュされたすべての情報を検索エンジンから即座に削除する唯一の方法は、サービス プロバイダー (例: Google) に直接連絡することです。削除をリクエストしているコンテンツの所有者である証拠を提示する必要があります。
4. すべての匿名アクセスをブロック
ダーク機能を使用して、サイト全体で匿名アクセスを無効化できます。ダーク機能の詳細については、「How to manage dark features in Jira Server and Data Center (Jira Server と Data Center でダーク機能を管理する方法)」を参照してください。
ダーク機能を有効にしてパブリック アクセスを無効にするには、次の手順を実行します。
- 管理者としてログインし、
[BASE-URL]/secure/SiteDarkFeatures!default.jspaにアクセスします。 - [ダーク機能の有効化] テキスト フィールドに、
public.access.disabledを追加します。