Google Cloud を使用したユーザー プロビジョニング構成
プロビジョニングはすべての Atlassian アカウントで利用できます。つまり、アイデンティティ プロバイダからアカウントを作成、更新、および無効化できます。グループ同期は現在、Jira 製品と Confluence でのみ利用でき、Bitbucket では利用できません。
ユーザー プロビジョニングを構成することで、ご利用の Atlassian 組織に外部のユーザー ディレクトリを連携できます。このページでは、アイデンティティ プロバイダーとして Google Cloud を使用しているときにユーザー プロビジョニングを構成する方法について紹介します。ユーザー プロビジョニングで実現できる処理の詳細については、「ユーザー プロビジョニングの機能」をご参照ください。
ユーザー プロビジョニングの構成を完了したら、ユーザー属性やグループ メンバーシップの管理はアイデンティティ プロバイダーから行います。
最初に、Google Cloud で次のようなテスト アカウントとテスト グループを使用してセットアップ手順を試してみることをお勧めします。例: atlassian-test-jira-users、atlassian-test-confluence-users
テスト アカウントを使用して開始することで、Atlassian アプリからユーザーの割り当てが意図せず解除された場合に、利用の中断を回避することができます。アプリでユーザーの割り当てを解除し、アカウントを無効化すると、Atlassian 製品へのアクセス権も失われます。
Prerequisites
ご利用のサイトおよび製品に外部ユーザーをプロビジョニングする前に、いくつかの手順を完了しておく必要があります。
Google アカウントでユーザー プロビジョニング機能を有効化します。「Google Cloud Identity のヘルプ」を参照してください。
自身が Atlassian 組織の管理者であることを確認します。詳細については「組織の管理」を参照してください。
組織内で 1 つ以上のドメインを検証します。詳細は「ドメインの検証」を参照してください。
組織から Atlassian Access をサブスクライブします。「Atlassian Access を使用したセキュリティ」を参照してください。
同期したユーザーのアクセスを許可する Jira または Confluence サイトのうちの 1 つ以上で管理者である必要があります。
ステップ 1. SCIM ディレクトリを作成する
admin.atlassian.com で、自身の組織で [ディレクトリ] > [ユーザー プロビジョニング] を選択します。
左側の [ユーザー プロビジョニング] をクリックして、[ディレクトリの作成] をクリックします。
ユーザー ディレクトリを識別するための名前 (例: Google Cloud users) を入力して、[作成] をクリックします。
[ディレクトリ ベース URL] と [API キー] の値をコピーします。後で Google Cloud アプリケーションを構成する際にこれらの値が必要になります。
これらの値は再表示されないため、必ず安全な場所に保存してください。
Jira または Confluence サイトを組織に追加します。これを行うことで、プロビジョニングされたユーザーは製品へのアクセスを許可されます。
[ユーザー プロビジョニング] ページで、[サイトの追加] をクリックして追加するサイトを選択し (例: example.atlassian.net)、画面上の説明に従います。
ステップ 2. Google Cloud Admin で SCIM API 連携を有効化する
このステップでは、上記の「ステップ 1. SCIM トークンを作成する」のディレクトリ ベース URL とべアラー トークンが必要です。
Google Cloud Admin にログインして、SAML アプリで Atlassian Cloud アプリケーションを追加します。
現在、Google Cloud のユーザー プロビジョニングのセットアップでは、最初に SAML セットアップを完了する必要があります。こちらで Google Cloud のドキュメントを参照してください。
[Set Up User Provisioning] をクリックします。
Atlassian 組織で作成した API キーと、ディレクトリ ベース URL を入力します。
必要に応じて属性マッピングを構成します。Google の初期設定はそのまま Atlassian アプリで動作するように設計されていますが、ここで組織のニーズに合わせて追加の変更を加えることができます。
同期するユーザーがいる Google のグループを選択します。Google は現在、SCIM 仕様でグループ エンティティをサポートしていないため、ユーザーは Atlassian 組織の All members for directory - <directory_id> グループに同期されます。
[activate] をクリックします。
ステップ 3. Google Cloud Admin の SCIM と SAML でメールが同じであることを確認する
ユーザー プロビジョニングではメール アドレスを使用して Atassian アプリのユーザーを特定し、新しい Atlassian アカウントを作成するか、既存の Atlassian アカウントにリンクします。したがって、ユーザーのメール アドレス属性が Google Cloud アプリの SAML SSO 設定と SCIM のユーザー プロビジョニング設定とで異なる場合、Atlassian アカウントが複製されてしまう可能性があります。
アカウントの複製を防ぐために、ユーザー アカウントのマッピングに使用するメール アドレス属性が、SAML SSO と SCIM ユーザー プロビジョニングで同じであることを確認します。
Google Cloud Admin の [SAML applications] タブにある Atlassian アプリから、[Primary email] 属性にマッピングされているフィールドを記録します。既定は、スクリーンショットのように "email" となります。
ステップ 4: プロビジョニングされたユーザーの製品アクセスをセットアップする
新しくプロビジョニングされたすべてのユーザーに製品アクセスを付与するには、既存のグループの製品アクセスをセットアップします。
前のステップで追加したサイト (example.atlassian.net) で[製品アクセス] に進み、Jira Service Management セクションを見つけます。
[グループの追加]をクリックし、すべての SCIM 同期ユーザーを含む自動生成グループの名前を選択または入力します。
[グループの追加] をクリックして、グループへの製品アクセスの付与を完了します。
グループに製品アクセスが構成されたことを示すフラグが表示されます。製品アクセスの設定の詳細については、「製品アクセス設定の更新」を参照してください。
すべての SCIM 同期ユーザーのグループを初期設定グループにしないでください。初期設定グループにした場合、SCIM を通じて管理されていない製品にユーザーを追加しようとした場合に競合が発生する可能性があります。