外部ユーザー ディレクトリ
Bitbucket Server を外部のユーザー ディレクトリに接続することができます。これによって、エンタープライズ ディレクトリに格納されている既存のユーザーおよびグループを使用し、これらのユーザーおよびグループを 1 か所で管理することができます。
ユーザー管理機能には以下が含まれます。
- 認証: Bitbucket Server にリクエストを送信しているユーザー ID を識別します。
- 認可: 認証されたユーザーのアクセス権限を決定します。
- ユーザー管理: ユーザーのアカウントのプロファイル情報を保持します。
- グループ メンバーシップ: グループおよびグループ メンバーシップを格納および取得します。
これらはユーザー管理システムの個別のコンポーネントであることを理解することが重要です。上記のタスクのいずれかまたはすべてのために外部ディレクトリを使用できます。
Bitbucket Server で外部ユーザー ディレクトリを使用する場合、次のような複数のアプローチがを検討する必要があります。
- Bitbucket Server はユーザー管理のために、外部ディレクトリへの "読み取り専用" 接続を提供します。つまり、外部ディレクトリから取得されたユーザーおよびグループは Bitbucket Server ではなくその外部ディレクトリでのみ変更または更新できます。
- ユーザーに Bitbucket Server へのログインを許可するには、Atlassian Bitbucket Server を外部ディレクトリにつなぐだけでは不十分です。グローバル権限画面で Bitbucket Server へのアクセスを明示的に付与する必要があります。
- We recommend that you use groups instead of individual accounts when granting permissions. However, be careful not to add more users to those groups that your Bitbucket Server license allows. If the license limit is exceeded, your developers will not be able to push commits to repositories, and Bitbucket Server will display a warning banner. See this FAQ.
- Bitbucket Server には内部のユーザー ディレクトリが組み込みで搭載され、インストール時に既定で有効化されています。セットアップ手順で最初の管理者を作成する際、その管理者のユーザー名とその他の詳細情報が内部ディレクトリ内に保存されます。
- Bitbucket Server でのユーザーおよびグループの削除に関する情報も参照してください。
LDAP
ユーザーおよびグループがエンタープライズ ディレクトリに保存されている場合、LDAP ディレクトリ サーバーに接続することを検討する必要があります。
Bitbucket Server とともに外部の LDAP ディレクトリを使用する一般的な方法は 2 つあります。
- ユーザー認証を含む完全なユーザーおよびグループの管理 — 手順については「既存の LDAP ディレクトリに Bitbucket Server を接続する」を参照してください。
- ユーザー認証のみを委任し、ユーザーおよびグループの管理には Bitbucket Server の内部ディレクトリを使用 — 手順については、「Bitbucket Server の認証を LDAP ディレクトリに委任する」を参照してください。
Bitbucket Server は次の LDAP ディレクトリ サービスに接続できます。
- Microsoft Active Directory
- Apache Directory Server (ApacheDS) 1.0.x および 1.5.x
- Apple Open Directory (読み取り専用)
- Fedora Directory Server (読み取り専用 Posix Schema)
- Novell eDirectory サーバ
- OpenDS
- OpenLDAP
- Open LDAP (読み取り専用 Posix Schema)
- Generic Posix/RFC2307 ディレクトリ (読み取り専用)
- Sun Directory Server Enterprise Edition (DSEE)
- 任意の汎用 LDAP ディレクトリ サーバー
Jira アプリケーション
Bitbucket Server のユーザーおよびグループの管理やユーザー認証は Jira アプリケーションに委譲できます。Jira アプリケーションをすでに組織で使用している場合、これは有効な選択肢です。Bitbucket Server は Jira 4.3 以降を実行している Jira アプリケーション サーバーにのみ接続可能であることにご注意ください。
多数のユーザーが存在する、より複雑な構成の場合、Atlassian Crowd の使用を検討することをおすすめします。
構成手順については、「 Bitbucket Server を Jira に接続してユーザーを管理する 」を参照してください。
Crowd
ユーザーおよびグループの管理とユーザー認証のために、Bitbucket Server を Atlassian Crowd に接続できます。
Crowd は、Web ベースのアプリケーションの認証と認可を処理するアプリケーション セキュリティ フレームワークです。Crowd を使用することによって、シングル サインオン (SSO) と中央での ID 管理がサポートされ、複数の Web アプリケーションを複数のユーザー ディレクトリと統合できます。Crowd 管理ガイドを参照してください。
Crowd を使用して複数のディレクトリ タイプで既存のユーザーおよびグループを管理する場合や、他の Web ベースのアプリケーションのユーザーが存在する場合は、Crowd に接続することを検討することをおすすめします。
構成手順については、「Bitbucket Server を Crowd に接続する」を参照してください。
複数のディレクトリ
Bitbucket Server が複数のユーザー ディレクトリに直接接続されていて、それらのディレクトリを横断して重複したユーザー名およびグループ名が使用されている場合、次の 2 つのスキームのいずれかを使用することで、Bitbucket Server が認可に使用する効果的なグループ メンバーシップを決定できます。
- 'aggregating membership'
- 'non-aggregating membership'.
これらの 2 つのスキームの詳細については、「複数のディレクトリでの効果的なメンバーシップ」を参照してください。
注意:
- Bitbucket Server の新しいインストールでは、aggregating membership が既定で使用されます。
- Bitbucket Server が複数のディレクトリに接続されている場合、認証はこれらのディレクトリでマップされたグループにのみ依存します。アグリゲーション スキームは関係しません。
- 非アクティブのユーザーについては、Bitbucket Server では認証の判断のために、検出された最初 (優先度が最高) のディレクトリでユーザーがアクティブかどうかのみを確認します。ユーザーがアクティブか非アクティブかは、メンバーシップの決定方法には影響しません。
- ユーザーがグループに追加されると、ユーザーは利用可能な最初の書き込み可能なディレクトリ (優先度順) にのみ追加されます。
- ユーザーがグループから削除されると、non-aggregating が使用されている場合、ユーザーは検出された最初のディレクトリのグループからのみ削除されます。aggregating membership が使用されている場合、ユーザーが存在するすべてのディレクトリのグループから削除されます。
Bitbucket Server 管理者は次のコマンドを使用して、Bitbucket Server が使用するメンバーシップ スキームを変更できます。
aggregating membership に変更するには、次のコマンドで、
<username>、<password>、および<base-url>を自身の値で置き換えます。curl -H 'Content-type: application/json' -X PUT -d '{"membershipAggregationEnabled":true}' -u <username>:<password> <base-url>/rest/crowd/latest/applicationaggregating membership に変更するには、次のコマンドで
<username>、<password>、および<base-url>を自身の値で置き換えます。curl -H 'Content-type: application/json' -X PUT -d '{"membershipAggregationEnabled":false}' -u <username>:<password> <base-url>/rest/crowd/latest/application
これらの操作は、Crowd でこれらの変更を行う方法とは異なります。また、アグリゲーション スキームの変更は Bitbucket Server ユーザーの認証権限やディレクトリの更新処理の実行方法に影響する場合があることにもご注意ください。