クラウド
Data Center
バージョン

Active Directory フェデレーション サービス (AD FS) を使用した SAML シングル サインオン構成

SAML シングル サインオン

このページの内容

関連コンテンツ

  • 関連コンテンツがありません

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

セキュリティ アサーション マークアップ言語 (SAML) は、アイデンティティ プロバイダーとサービス プロバイダー (Confluence Cloud など) 間で認証データおよび認可データを交換するためのオープン標準です。

このページでは、Active Directory フェデレーション サービス (AD FS) を使用して SAML シングル サインオンを構成する手順について説明します。

はじめる前に

組織管理者は、AD FS で SAML シングル サインオンを構成する前に、いくつかの手順を完了しておく必要があります。

アトラシアン組織の準備

SAML シングル サインオンは、次の手順を完了してから構成できます。

  1. 1 つ以上のドメインを検証済みであること。確認方法については「組織のドメインを検証する」をご参照ください。ドメインを検証すると、検証済みドメインのメール アドレスを使用するすべての Atlassian アカウントが組織で管理されるようになります。

  2. Atlassian Access をサブスクライブする。

また、以下もおすすめします。

  1. アトラシアン製品と AD FS が相互の通信に HTTPS プロトコルを使用していること、また、構成された製品のベース URL が HTTPS のものであることを確認します。

  2. SAML 認証リクエストは限られた期間のみ有効であるため、アイデンティティ プロバイダー サーバーの時刻が NTP を使用して同期されていることを確認します。

  3. SAML 構成に誤りがあった場合に組織にアクセスするために使用できる Atlassian アカウントを作成します。

    • ログインしたときにアカウントが SAML シングルサインオンにリダイレクトされないよう、未検証のドメインのメール アドレスを使用します。

    • ユーザーに組織管理者のアクセス権を付与します。SAML シングル サインオンがユーザーの期待どおりに動作していることを確認したら、管理アクセスを削除できます。

  4. SAML シングル サインオンの構成中はユーザーはアトラシアン製品にログインできなくなるため、SAML への切り替え日時を事前に設定し、ユーザーに事前に通知します。

Microsoft Windows Server の準備

  1. Active Directory をインストールして実行します。

  2. Microsoft Active Directory Federation Services をインストールします。

  3. Microsoft Active Directory Federation Services を Active Directory に接続します。

SAML シングル サインオンのセットアップ

この設定には、AD FS 2.0+ が必要です。

直近のテストは Windows Server 2016 Datacenter AD FS 4.0 の組み合わせで行いました。

1. SAML 構成の追加

次の手順を完了して、Atlassian 組織から SAML 設定を追加します。

  1. admin.atlassian.com に移動し、組織を選択して、[Security] > [SAML single sign-on] に移動します。[Add SAML configuration] をクリックして次の画面を開きます。

  2. AD FS 管理ツールの左パネルから、[AD FS] を右クリックして、[Edit Federation Service Properties] をクリックします。

  3. [Federation Service Properties] ダイアログで、[Federation Service identifier] の値をコピーします。

    1. admin.atlassian.com の [SAML 設定を追加] 画面に戻ります。

    2. [Identity provider Entity ID] フィールドに値を貼り付けます。

  4. AD FS 管理ツールに戻り、左側のパネルで [AD FS] > [Service] > [Endpoints] を選択します。

    1. [Token Issuance] で、TypeSAML 2.0/WS-Federation の URL パスを検索してコピーします。

    2. admin.atlassian.com の [SAML 設定を追加] 画面に戻ります。

    3. サーバー URL (例: https://<myadfsserver.com>/adfs/ls/) のプレフィックスを追加し、 [Identity provider SSO URL] フィールドにパスを貼り付けます。

  5. パブリック キーをエクスポートします。

    1. AD FS 管理ツールから、右側のパネルで [AD FS] > [Service] > [Certificates] を選択します。[Token-signing] セクションの下の証明書を右クリックして、[View Certificate] をクリックします。

    2. [Certificate] ダイアログで [Details] タブに切り替え、[Copy to File] をクリックします。

    3. Certificate Export Wizard で、[Next] をクリックします。

    4. フォーマットに [Base-64 encoded X.509 (.CER)] を選択し、[Next] をクリックします。

    5. [File name] で、エクスポートされた証明書の保存先のパスとファイル名を指定し、[Next] をクリックします。

    6. エクスポートされた証明書の設定を確認し、[Finish] をクリックします。

    7. エクスポートされた証明書ファイルを開き、証明書キーをコピーします。admin.atlassian.com の [SAML 設定を追加] 画面に戻り、[公開 x509 証明書] フィールドに値を貼り付けます。

  6. [Save Configuration] をクリックします。

2. 新しい証明書利用者の信頼を作成する

このセクションの手順を AD FS 管理ツールで完了します。

  1. AD FS の管理ツールで、左側のパネルで [AD FS] を展開し、[Relying Party Trusts] を選択し、右側のパネルから [Add Relying Party Trust] をクリックします。

  2. [Add Relying Party Trust Wizard] で [Claim Aware] を選択し、[Start] をクリックします。

  3. [Enter data about relying party manually] を選択し、[Next] をクリックします。

  4. 証明書利用者の表示名を入力し、[Next] をクリックします。この名前は、AD FS管理ツールの [Relying Party Trusts] 一覧の下に表示されます。

  5. [Configure Certificate] ステップで、[Next] をクリックします。セットアップの一部としてトークンを暗号化する必要はありません。

  6. [Enable support for the SAML 2.0 WebSSO protocol] を選択します。

    1. admin.atlassian.com の [SAML single sign-on] ページで [SP Assertion Consumer Service URL] をコピーして、AD FS ウィザードの [Relying party SAML 2.0 SSO Service URL] フィールドに値を貼り付けます。

    2. Click Next.

  7. admin.atlassian.com の [SAML single sign-on] ページで [SP entity ID] の値をコピーします。

    1. AD FSウィザードの [Relying party trust identifier] フィールドに値を貼り付け、[Add] をクリックします。

    2. Click Next.

  8. アクセス コントロール ポリシーの一覧で [Permit everyone] を選択し、[Next] をクリックします。

  9. [Ready to Add Trust] ステップで設定を確認して [Next] をクリックします。

  10. [Close] をクリックしてウィザードを完了します。

3. 証明書利用者の信頼のクレーム ルールを編集する

このセクションでは、AD FS がアトラシアン組織にクレームを送信する方法について説明します。このマッピングには、AD FS に追加する 2 つのルールが必要です。最初のルールでは、メール、名、姓などの AD フィールドを SAML フィールドにマッピングします。2 番目のルールは、Name Identifier をマップします。

  1. AD FS 管理ツールから、最近追加した証明書利用者信頼を右クリックして、[Edit Claim Issuance Policy] をクリックします。

  2. [Add Rule] を選択します。

  3. [Claim rule template] ドロップダウンから [Sending Claims Using a Custom Rule] を選択し、[Next] をクリックします。

  4. [Claim rule name] に名前を入力します。

    1. 以下を [Custom Rule] フィールドにコピーします。

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
 => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"), query = ";objectSID,mail,givenName,sn;{0}", param = c.Value);

    2. [Finish] をクリックします。

  5. [Add Rule] をもう一度クリックします。

  6. [Claim rule template] ドロップダウンから [Sending Claims Using a Custom Rule] を選択し、[Next] をクリックします。

  7. [Claim rule name] に名前を入力します。

    1. 以下を [Custom Rule] フィールドにコピーします。

      c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
 => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");

    2. [Finish] をクリックします。

4. SAML シングル サインオン連携のテスト

  1. id.atlassian.com に移動し、Active Directory のユーザーのメール アドレスを入力して [続行] をクリックします。

  2. AD FS のログイン ページにリダイレクトされます。資格情報を入力して、[Sign in] をクリックします。

構成が正常に行われていた場合、start.atlassian.com に移動します。


最終更新日: 2021 年 2 月 16 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する

関連コンテンツ

  • 関連コンテンツがありません
Powered by Confluence and Scroll Viewport.