Bitbucket Server を Crowd に接続する
Bitbucket Server を、ユーザーおよびグループ管理と認証および認可のために Atlassian Crowd を使用するように構成できます。
Atlassian Crowd は、Web ベース アプリケーションの認証と認可を処理するアプリケーション セキュリティ フレームワークです。Crowd を使用することによってシングル サインオン (SSO) と集中 ID 管理がサポートされ、複数の Web アプリケーションとユーザー ディレクトリを連携できます。Crowd 管理ガイドを参照してください。
Crowd を使用して複数のディレクトリ タイプで既存のユーザーおよびグループを管理する場合や、他の Web ベースのアプリケーションのユーザーが存在する場合は、Crowd に接続します。
Bitbucket Server のユーザーおよびグループの削除についての情報も参照してください。
ユーザーに Bitbucket Server へのログインを許可するには、Atlassian Bitbucket Server を外部ディレクトリにつなぐだけでは不十分です。グローバル権限画面で Bitbucket Server へのアクセスを明示的に付与する必要があります。
権限を付与する際は、個々のアカウントではなくグループを使用することをおすすめします。ただし、Bitbucket Server ライセンスで許可されているよりも多くのユーザーをこれらのグループに追加しないよう注意してください。ライセンスの上限を超えると、開発者はコミットをリポジトリにプッシュできなくなり、Bitbucket Server には警告バナーが表示されます。この FAQ を参照してください。
このページの内容
Find out how easy, scalable and effective it can be with Crowd Data Center!
See centralized user management.
Bitbucket Server を Crowd に接続する方法
- "管理" 権限を持つユーザーとしてログインします。
- Bitbucket Server の管理領域で、[アカウント] 配下の [ユーザー ディレクトリ] をクリックします。
- [ディレクトリを追加] をクリックし、[Atlassian Crowd] を選択します。
- 以下のように、設定を入力します。
- ディレクトリ設定をテストおよび保存します。
- [ディレクトリ] タブで各ディレクトリの横にある青色の上下矢印をクリックして、ディレクトリの順序を定義します。ディレクトリ順は次のように影響します。
- ディレクトリの順序は、ユーザーおよびグループの検索順序です。
- ユーザーおよびグループへの変更は、アプリケーションが変更権限を持つ最初のディレクトリに対してのみ行われます。
サーバー設定
設定 | 説明 |
|---|---|
名前 | ディレクトリ サーバーの一覧でこの Crowd サーバーを識別するのに役立つよう、わかりやすい名前にします。例:
|
サーバー URL | Crowd コンソール サーバーのWeb アドレス。例:
|
アプリケーション名 | ご利用の Crowd サーバーが認識する、アプリケーションの名前。Crowd 管理コンソールを使用して、Crowd でもアプリケーションを定義する必要があります。アプリケーションの追加については、Crowd ドキュメントを参照してください。 |
アプリケーション パスワード | クライアントとして Crowd フレームワークとの認証を行う場合に、アプリケーションが使用するパスワード。これは、Crowd でこのアプリケーションに対して登録したパスワードと同じである必要があります。アプリケーションの追加については、Crowd ドキュメントを参照してください。 |
Crowd 権限
Bitbucket Server は Crowd ディレクトリに読み取り専用権限を提供します。Crowd ディレクトリのユーザー、グループ、およびメンバーシップは、Crowd から取得され、Crowd を介してのみ変更できます。Bitbucket Server の管理画面を使用して Crowd のユーザー、グループ、またはメンバーシップを変更することはできません。
ローカルの Bitbucket Server ディレクトリの場合、読み取り専用および読み取り/書き込み権限を利用できます。
高度な設定
設定 | 説明 |
|---|---|
Enable Nested Groups | 入れ子グループのサポートを有効または無効にします。入れ子グループを有効にする前に、Crowd のユーザー ディレクトリで入れ子グループがサポートされているかどうかを確認します。入れ子グループが有効になっているときは、グループを別のグループのメンバーとして定義できます。グループを使用して権限を管理している場合、入れ子グループを作成して、1 つのグループからそのサブグループに権限を継承できます。 |
| Enable Incremental Synchronization | インクリメンタル同期を有効または無効にします。ディレクトリの同期時には、前回の同期時以降の変更のみが取得されます。完全な同期はアプリケーションの再起動時に常に実行されます。 |
Synchronization Interval (minutes) | 同期とは、アプリケーションがユーザー データの内部ストアをディレクトリ サーバ上のデータで更新するプロセスです。アプリケーションは x 分ごとにディレクトリ サーバーにリクエストを送信します。x はここで指定する数値です。既定値は60分です。 |
Crowd を使用したシングル サインオン (SSO)
Once the Crowd directory has been set up, you can enable Crowd SSO integration by adding the following setting to shared/bitbucket.properties in the Bitbucket Server home directory (create this file if it doesn't exist yet):
# Whether SSO support should be enabled or not. Regardless of this setting SSO authentication
# will only be activated when a Crowd directory is configured in Bitbucket Server that is configured
# for SSO.
plugin.auth-crowd.sso.enabled=trueSSO に関与するドメインを適切にセットアップする必要がある点にご注意ください。Crowd の SSO ドメインの例をご確認ください。
このプロパティに加えて、Bitbucket Server の構成プロパティに記載されているシステム プロパティを使用して Crowd SSO 連携を調整できます。
複数のディレクトリの使用
Bitbucket Server が Crowd に接続されている場合、Bitbucket Server を Crowd の複数のディレクトリにマッピングできます。
Crowd 2.8 以降のバージョンの場合、1 つの連携アプリケーションに複数のディレクトリがマッピングされているときに、Crowd で 2 つの異なるメンバーシップ スキームを使用でき、重複するユーザー名およびグループ名はこれらのディレクトリを横断して使用されます。スキームは "aggregating membership" および "non-aggregating membership" と呼ばれ、Bitbucket Server が認証に使用するための効果的なグループ メンバーシップを判断するために使用されます。Crowd のこれらの 2 つのスキームの詳細については、「複数のディレクトリでの効果的なメンバーシップ」を参照してください。
注意:
- Bitbucket Server が複数のディレクトリにマッピングされている場合、認証はこれらのディレクトリでマップされたグループにのみ依存します。アグリゲーション スキームは関係しません。
- 非アクティブのユーザーについては、Bitbucket Server では認証の判断のために、検出された最初 (優先度が最高) のディレクトリでユーザーがアクティブかどうかのみを確認します。ユーザーが Bitbucket Server へのアクセスを持つと Crowd で判断された場合、上述のメンバーシップ スキームは使用されません。
- ユーザーがグループに追加されると、ユーザーは利用可能な最初の書き込み可能なディレクトリ (優先度順) にのみ追加されます。
- ユーザーがグループから削除されると、non-aggregating が使用されている場合、ユーザーは検出された最初のディレクトリのグループからのみ削除されます。aggregating membership が使用されている場合、ユーザーが存在するすべてのディレクトリのグループから削除されます。
管理者は、Bitbucket Server が Crowd に連携されたときに使用するアグリゲーション スキームを設定できます。Crowd で Bitbucket Server インスタンスの [Directories] タブに移動し、[Aggregate group memberships across directories] を選択して "aggregating membership" スキームを使用します。チェックボックスが選択されていない場合、"non-aggregating membership" が使用されます。
アグリゲーション スキームの変更は Bitbucket Server ユーザーの認証権限やディレクトリの更新処理の実行方法に影響する場合があることにご注意ください。