ユーザー プロビジョニング

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

Atlassian Access によるユーザー プロビジョニング

Atlassian Access をサブスクライブすると、ユーザー プロビジョニング機能を利用できます。

Atlassian Access はご利用の Atlassian Cloud 製品すべてに対して、企業全体での可視性、安全性、およびコントロールを実現します。1 つの製品からユーザーを管理したりセキュリティ ポリシーを適用したりして、ビジネスを確実に拡張できます。

Atlassian Access を開始する方法については、こちらをお読みください。

サポートされるアイデンティティ プロバイダー

利用するユーザー プロビジョニング セットアップは、使用するアイデンティティ プロバイダーによって異なります。サポートされるアイデンティティ プロバイダーには以下が含まれます。

お客様の要望に応じて、今後、他のアイデンティティ プロバイダーのサポートを提供することを検討しています。

他のアイデンティティ プロバイダーを使用している場合は、ユーザー プロビジョニング API を使用して、ユーザーやグループを管理できるようにする独自の連携を作成できます。

ユーザー プロビジョニングについて

Provisioning for user accounts is available for Jira products, Confluence, and Bitbucket. Group syncing is currently only available for Jira products and Confluence and not yet available for Bitbucket.

アトラシアンでは、System for Cross-domain Identity Management (SCIM) を使用してユーザー プロビジョニングをサポートしています。この機能では、プロトコルの SCIM 2.0 バージョンが使用されます。

User provisioning integrates an external user directory with your Atlassian Cloud products. This integration allows you to automatically update the users and groups in your Atlassian organization when you make updates in your identity provider. For example, with user provisioning, you can create, link, and deactivate managed Atlassian user accounts from your identity provider.

一部のアトラシアン製品にはサポート対象の合計ユーザー数の上限が設定されているため、外部ディレクトリあたり最大 5,000 ユーザーのみを同期できます。外部ディレクトリのユーザー数が 5,000 を超える場合も、アイデンティティ プロバイダを連携することはできますが、5,000 人以降の新規ユーザーの同期は停止します。

After you connect your identity provider to your organization, your users and groups sync to your organization and sites, making them available for granting product access. This diagram illustrates how users and groups sync once you set up user provisioning.

同期の仕組みについて、次のセクションで詳細に説明します。

1. Users and groups sync from your identity provider to your organization

When you configure your user provisioning setup, you create a directory for your provisioned user. After setup is complete, all users and groups in your identity provider with a verified domain sync to your organization's directory, as shown in the diagram.

At this point, we also create a new group, called All members for directory - <directory_id>, and add all users to it.

If you use Azure AD or Google Cloud, groups from your identity provider don't sync to the organization directory. The only group you'll see is the All members for directory - <directory_id> group.

After you connect your identity provider to your Atlassian organization, synced directory groups appear in your Atlassian organization and you're unable to make changes to a user's account from the organization.

Atlassian 組織にすでに既存のユーザーがいる場合は、次のようになります。

  • And the identity provider has a user with the same email address as a user in your organization, we'll create a link between both user accounts. Going forward, you can only make changes to the user's account from your identity provider.
  • And the identity provider doesn't have a user with the same email address as a user in your organzation, the user's access remains the same and you can still manage that user from your Atlassian organization.

2. 組織のディレクトリからすべての関連サイトへの同期

Any sites you've added to your organization now have access to your provisioned users and groups, as shown in the diagram. Synced directory groups will appear along the default and native groups in your sites.

3. 製品へのグループの割り当て

You can start granting users product access by assigning groups to your site's products.

ユーザー プロビジョニング機能

自身のアイデンティティ プロバイダーを Atlassian 組織に接続すると、すべてのユーザー属性とグループ メンバーシップをアイデンティティ プロバイダーから管理できます。Atlassian 組織でユーザーを管理したい場合、アイデンティティ プロバイダーとの接続を無効化します。

サポートされない機能

ユーザー プロビジョニングでは、グループに関連する以下の機能はサポートされません。

  • Atlassian 組織との同期後のグループ名の変更。代わりに、任意の名前で新しいグループを作成してメンバーシップを更新し、古いグループを削除します。
  • Pushing a group from your identity provider that has the same name as a group in your organization. Otherwise, you'll get an error when you try to sync.

サポートされるユーザー アカウント操作

これらのユーザー管理操作をアイデンティティ プロバイダーから実行すると、更新が Atlassian Cloud 組織に同期されます。

アイデンティティ プロバイダーから Atlassian 組織へのユーザー アカウントの同期は、それらのアカウントが検証済みのドメインのメール アドレスを持っている場合にのみ行われます。検証済みドメイン以外のメール アドレス (gmail.com や yahoo.com など) を持つ Atlassian Cloud のユーザー アカウントの作成、リンク、更新は行われません。

運用 注意

新しいユーザー アカウントの作成

ユーザー アカウントは、そのアカウントが検証済みのドメインのメール アドレスを持っている場合にのみ作成されます。

既存のユーザー アカウントのリンク

If a managed Atlassian account already exists on the Atlassian platform, we'll automatically link the user in your identity provider to the user in your Atlassian organization.

ユーザー アカウントの詳細の更新

You can update these user attributes from you identity provider:

  • 表示名
  • メール アドレス
  • 組織
  • 職位
  • タイム ゾーン
  • 部署
  • 利用言語

表示名について

表示名は、ユーザーの姓名を組み合わせて作成されます。IdP から表示名が指定された場合、その値が姓名の組み合わせを上書きします。

ユーザー アカウントのアクティブ化

You can activate a user's Atlassian account from the identity provider.

ユーザー アカウントの非アクティブ化

You can deactivate a user's Atlassian account from the identity provider or mark the user as inactive in the Atlassian directory.

ユーザー アカウントの削除

ユーザーの Atlassian アカウントを削除するには、ユーザーを Atlassian ディレクトリから削除します。

サポートされるグループ操作

グループを使用してアイデンティティ プロバイダーから管理権限や製品アクセス権 (新しいライセンス) を管理し、更新を Atlassian 組織と同期できます。

Atlassian 組織で手動で作成されたグループおよび既定グループ (confluence-users、site-admins など) を SCIM 連携で管理することはできません。SCIM を介して管理できるのは、アイデンティティ プロバイダーのディレクトリから同期されたグループのみです。

運用 注意

グループの作成

The group gets created as a read-only group in the organization's directory. You can only edit groups from your identity provider. Give the new group a name that doesn't already exist your organization.

グループの削除

Delete a group from your identity provider to remove the group from your organization's directory.

既存のグループのプッシュ

If you try to push a group from your identity provider that has the same name as a group in your organization, you'll get an error.

グループ メンバーシップの更新

You can update groups from your identity provider to configure product access, admin privileges, or application-specific settings, such as Confluence space permissions.

トラブルシューティング

ユーザーやグループの同期に関する問題をトラブルシューティングする場合、Atlassian 組織の [ユーザー プロビジョニング] ページの [監査ログ] を確認してください。

問題 回避策 / トラブルシューティングのヒント 監査ログへの記録有無

グループを正常に同期できたが、グループが空で、同期されたユーザーが含まれない。

グループをプッシュする際、同期するグループが既定グループ (site-admins など) や手動で作成したグループと同じ名前を持っていないことを確認します。

はい

グループを正常に同期できたが、サイト管理領域に表示されず、[製品アクセス] ページにも表示されない。

組織にサイトを追加していることを確認します。サイトを追加するには、Atlassian Cloud 組織から [サイトの追加] オプションを使用します。

いいえ

ユーザーの同期は完了しているようだが、ユーザー アカウントが [管理対象アカウント] ページに表示されない。

ユーザーのメール アドレスが検証済みドメインに所属していることを確認します。ユーザー アカウントが検証済みドメインのメール アドレスではない場合、次のいずれかを行います。

  • そのドメインを検証します。その後、ユーザーは正常に同期されます。 
  • 外部ディレクトリでメール アドレスを更新して検証済みドメインと一致させます。
  • ユーザーを手動で招待します。
はい

(Okta がアイデンティティ プロバイダの場合) ユーザー プロビジョニング連携が完了する前にユーザーが Atlassian Cloud アプリに割り当てられていた場合、ユーザーは組織のディレクトリに同期されません。

ユーザーを適切に同期するには、[割り当て] タブから再度割り当てます。影響を受ける複数のユーザーがグループに含まれている場合、グループを再割り当てできます。

いいえ

(If Azure is your identity provider) Users don't sync to the organization directory and you're unable to troubleshoot with the error description from the Azure log.

Configure a second Atlassian Cloud app within Azure so that you have one for your SAML single sign-on configuration and one for user provisioning.

いいえ

アイデンティティ プロバイダからのユーザーかどうかにかかわらず、別のユーザーがすでにメール アドレスを使用しているため、ユーザーの更新されたメール アドレスを同期できません。

次のいずれかの対応が可能です。

  • もう片方のユーザーを削除する
  • もう片方のユーザーのメール アドレスを別のメール アドレスに変更する
はい
最終更新日 2019 年 8 月 9 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.