Active Directory フェデレーション サービス (AD FS) を使用した SAML シングル サインオン構成

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

セキュリティ アサーション マークアップ言語 (SAML) は、アイデンティティ プロバイダーとサービス プロバイダー (Confluence Cloud など) 間で認証データおよび認可データを交換するためのオープン標準です。

このページでは、Active Directory フェデレーション サービス (AD FS) を使用して SAML シングル サインオンを構成する手順について説明します。

はじめる前に

組織管理者は、AD FS で SAML シングル サインオンを構成する前に、いくつかの手順を完了しておく必要があります。

アトラシアン組織の準備

SAML シングル サインオンは、次の手順を完了してから構成できます。

  1. 1 つ以上のドメインを検証済みであること。確認方法については「組織のドメインを検証する」をご参照ください。ドメインを検証すると、検証済みドメインのメール アドレスを使用するすべての Atlassian アカウントが組織で管理されるようになります。

  2. Atlassian Access をサブスクライブする。

また、以下もおすすめします。

  1. アトラシアン製品と AD FS が相互の通信に HTTPS プロトコルを使用していること、また、構成された製品のベース URL が HTTPS のものであることを確認します。

  2. SAML 認証リクエストは限られた期間のみ有効であるため、アイデンティティ プロバイダー サーバーの時刻が NTP を使用して同期されていることを確認します。

  3. SAML 構成に誤りがあった場合に組織にアクセスするために使用できる Atlassian アカウントを作成します。

    • ログインしたときにアカウントが SAML シングルサインオンにリダイレクトされないよう、未検証のドメインのメール アドレスを使用します。

    • ユーザーに組織管理者のアクセス権を付与します。SAML シングル サインオンがユーザーの期待どおりに動作していることを確認したら、管理アクセスを削除できます。

  4. SAML シングル サインオンの構成中はユーザーはアトラシアン製品にログインできなくなるため、SAML への切り替え日時を事前に設定し、ユーザーに事前に通知します。

Microsoft Windows Server の準備

  1. Active Directory をインストールして実行します。

  2. Microsoft Active Directory Federation Services をインストールします。

  3. Microsoft Active Directory Federation Services を Active Directory に接続します。

SAML シングル サインオンのセットアップ

この設定には、AD FS 2.0+ が必要です。

直近のテストは Windows Server 2016 Datacenter AD FS 4.0 の組み合わせで行いました。

1. SAML 構成の追加

次の手順を完了して、Atlassian 組織から SAML 設定を追加します。

  1. admin.atlassian.com に移動し、組織を選択して、[Security] > [SAML single sign-on] に移動します。[Add SAML configuration] をクリックして次の画面を開きます。

  2. AD FS 管理ツールの左パネルから、[AD FS] を右クリックして、[Edit Federation Service Properties] をクリックします。

  3. [Federation Service Properties] ダイアログで、[Federation Service identifier] の値をコピーします。

    1. admin.atlassian.com の [SAML 設定を追加] 画面に戻ります。

    2. [Identity provider Entity ID] フィールドに値を貼り付けます。

  4. AD FS 管理ツールに戻り、左側のパネルで [AD FS] > [Service] > [Endpoints] を選択します。

    1. [Token Issuance] で、TypeSAML 2.0/WS-Federation の URL パスを検索してコピーします。

    2. admin.atlassian.com の [SAML 設定を追加] 画面に戻ります。

    3. サーバー URL (例: https://<myadfsserver.com>/adfs/ls/) のプレフィックスを追加し、 [Identity provider SSO URL] フィールドにパスを貼り付けます。

  5. パブリック キーをエクスポートします。

    1. AD FS 管理ツールから、右側のパネルで [AD FS] > [Service] > [Certificates] を選択します。[Token-signing] セクションの下の証明書を右クリックして、[View Certificate] をクリックします。

    2. [Certificate] ダイアログで [Details] タブに切り替え、[Copy to File] をクリックします。

    3. Certificate Export Wizard で、[Next] をクリックします。

    4. フォーマットに [Base-64 encoded X.509 (.CER)] を選択し、[Next] をクリックします。

    5. [File name] で、エクスポートされた証明書の保存先のパスとファイル名を指定し、[Next] をクリックします。

    6. エクスポートされた証明書の設定を確認し、[Finish] をクリックします。

    7. エクスポートされた証明書ファイルを開き、証明書キーをコピーします。admin.atlassian.com の [SAML 設定を追加] 画面に戻り、[公開 x509 証明書] フィールドに値を貼り付けます。

  6. [Save Configuration] をクリックします。

2. 新しい証明書利用者の信頼を作成する

このセクションの手順を AD FS 管理ツールで完了します。

  1. AD FS の管理ツールで、左側のパネルで [AD FS] を展開し、[Relying Party Trusts] を選択し、右側のパネルから [Add Relying Party Trust] をクリックします。

  2. [Add Relying Party Trust Wizard] で [Claim Aware] を選択し、[Start] をクリックします。

  3. [Enter data about relying party manually] を選択し、[Next] をクリックします。

  4. 証明書利用者の表示名を入力し、[Next] をクリックします。この名前は、AD FS管理ツールの [Relying Party Trusts] 一覧の下に表示されます。

  5. [Configure Certificate] ステップで、[Next] をクリックします。セットアップの一部としてトークンを暗号化する必要はありません。

  6. [Enable support for the SAML 2.0 WebSSO protocol] を選択します。

    1. admin.atlassian.com の [SAML single sign-on] ページで [SP Assertion Consumer Service URL] をコピーして、AD FS ウィザードの [Relying party SAML 2.0 SSO Service URL] フィールドに値を貼り付けます。

    2. [Next] をクリックします。

  7. admin.atlassian.com の [SAML single sign-on] ページで [SP entity ID] の値をコピーします。

    1. AD FSウィザードの [Relying party trust identifier] フィールドに値を貼り付け、[Add] をクリックします。

    2. [Next] をクリックします。

  8. アクセス コントロール ポリシーの一覧で [Permit everyone] を選択し、[Next] をクリックします。

  9. [Ready to Add Trust] ステップで設定を確認して [Next] をクリックします。

  10. [Close] をクリックしてウィザードを完了します。

3. 証明書利用者の信頼のクレーム ルールを編集する

このセクションでは、AD FS がアトラシアン組織にクレームを送信する方法について説明します。このマッピングには、AD FS に追加する 2 つのルールが必要です。最初のルールでは、メール、名、姓などの AD フィールドを SAML フィールドにマッピングします。2 番目のルールは、Name Identifier をマップします。

  1. AD FS 管理ツールから、最近追加した証明書利用者信頼を右クリックして、[Edit Claim Issuance Policy] をクリックします。

  2. [Add Rule] を選択します。

  3. [Claim rule template] ドロップダウンから [Sending Claims Using a Custom Rule] を選択し、[Next] をクリックします。

  4. [Claim rule name] に名前を入力します。

    1. 以下を [Custom Rule] フィールドにコピーします。

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
       => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"), query = ";objectSID,mail,givenName,sn;{0}", param = c.Value);
    2. [Finish] をクリックします。

  5. [Add Rule] をもう一度クリックします。

  6. [Claim rule template] ドロップダウンから [Sending Claims Using a Custom Rule] を選択し、[Next] をクリックします。

  7. [Claim rule name] に名前を入力します。

    1. 以下を [Custom Rule] フィールドにコピーします。

      c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"]
       => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress");
    2. [Finish] をクリックします。

4. SAML シングル サインオン連携のテスト

  1. id.atlassian.com に移動し、Active Directory のユーザーのメール アドレスを入力して [続行] をクリックします。

  2. AD FS のログイン ページにリダイレクトされます。資格情報を入力して、[Sign in] をクリックします。

構成が正常に行われていた場合、start.atlassian.com に移動します。


最終更新日: 2021 年 2 月 16 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.