ユーザー プロビジョニング

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

Atlassian Access によるユーザー プロビジョニング

Atlassian Access をサブスクライブすると、ユーザー プロビジョニング機能を利用できます。

Atlassian Access はご利用の Atlassian Cloud 製品すべてに対して、企業全体での可視性、安全性、およびコントロールを実現します。1 つの製品からユーザーを管理したりセキュリティ ポリシーを適用したりして、ビジネスを確実に拡張できます。

Atlassian Access を開始する方法については、こちらをお読みください。

サポートされるアイデンティティ プロバイダー

利用するユーザー プロビジョニング セットアップは、使用するアイデンティティ プロバイダーによって異なります。サポートされるアイデンティティ プロバイダーには以下が含まれます。

お客様の要望に応じて、今後、他のアイデンティティ プロバイダーのサポートを提供することを検討しています。

If you use another identity provider, you can use the user provisioning API to create your own integration that allows you to manage users and groups.

ユーザー プロビジョニングについて

アトラシアンでは、System for Cross-domain Identity Management (SCIM) を使用してユーザー プロビジョニングをサポートしています。この機能では、プロトコルの SCIM 2.0 バージョンが使用されます。

ユーザー プロビジョニングを構成することで、ご利用の Atlassian Cloud 製品に外部のユーザー ディレクトリを連携できます。この連携では、アイデンティティ プロバイダー (IdP) で更新を行ったときに、Atlassian 組織のユーザーとグループを自動的に更新できます。たとえば、ユーザー プロビジョニングを使用することで、管理対象の Atlassian ユーザー アカウントを IdP から作成、リンク、非アクティブ化できます。

一部のアトラシアン製品にはサポート対象の合計ユーザー数の上限が設定されているため、外部ディレクトリあたり最大 5,000 ユーザーのみを同期できます。外部ディレクトリのユーザー数が 5,000 を超える場合も、アイデンティティ プロバイダを連携することはできますが、5,000 人以降の新規ユーザーの同期は停止します。

IdP を組織に接続したら、ユーザーとグループが組織およびサイトと同期され、製品のアクセス権の付与に利用できるようになります。この図は、ユーザー プロビジョニングをセットアップした場合のユーザーとグループが同期される仕組みについて示しています。

同期の仕組みについて、次のセクションで詳細に説明します。

1. IdP から組織へのユーザーおよびグループの同期

ユーザー プロビジョニングを設定する際には、プロビジョニングされるユーザー用のディレクトリを作成します。セットアップが完了すると、図に示すように、IdP 内で検証済みドメインを持つすべてのユーザーとグループが組織のディレクトリに同期されます。

IdP を Atlassian 組織に接続すると、同期されたディレクトリ グループが Atlassian 組織に表示され、組織からユーザーのアカウントを変更することはできません。

Atlassian 組織にすでに既存のユーザーがいる場合は、次のようになります。

  • 組織のユーザーと同じメール アドレスを持つユーザーが IdP にいる場合、両方のユーザー アカウント間にリンクが作成されます。以降は、IdP からのみユーザーのアカウントに変更を加えることができます。
  • 組織のユーザーと同じメール アドレスを持つユーザーが IdP にいない場合、ユーザーのアクセス権は保持され、Atlassian 組織からそのユーザーを引き続き管理できます。

2. 組織のディレクトリからすべての関連サイトへの同期

図に示すように、組織に追加したサイトは、プロビジョニングしたユーザーおよびグループにアクセスできるようになります。同期されたディレクトリ グループはサイトで、既定およびネイティブ グループとともに表示されます。

3. 製品へのグループの割り当て

図に示すように、グループをサイトの製品に割り当てることで、ユーザーに既定の製品アクセス権を自動的に付与できます。

ユーザー プロビジョニング機能

自身のアイデンティティ プロバイダーを Atlassian 組織に接続すると、すべてのユーザー属性とグループ メンバーシップをアイデンティティ プロバイダーから管理できます。Atlassian 組織でユーザーを管理したい場合、アイデンティティ プロバイダーとの接続を無効化します。

サポートされない機能

ユーザー プロビジョニングでは、グループに関連する以下の機能はサポートされません。

  • Atlassian 組織との同期後のグループ名の変更。代わりに、任意の名前で新しいグループを作成してメンバーシップを更新し、古いグループを削除します。
  • 組織のグループと同じ名前を持つグループの IdP からのプッシュ。同期を行った際にエラーが発生します。

サポートされるユーザー アカウント操作

これらのユーザー管理操作をアイデンティティ プロバイダーから実行すると、更新が Atlassian Cloud 組織に同期されます。

アイデンティティ プロバイダーから Atlassian 組織へのユーザー アカウントの同期は、それらのアカウントが検証済みのドメインのメール アドレスを持っている場合にのみ行われます。検証済みドメイン以外のメール アドレス (gmail.com や yahoo.com など) を持つ Atlassian Cloud のユーザー アカウントの作成、リンク、更新は行われません。

運用 注意

新しいユーザー アカウントの作成

ユーザー アカウントは、そのアカウントが検証済みのドメインのメール アドレスを持っている場合にのみ作成されます。

既存のユーザー アカウントのリンク

管理対象の Atlassian アカウントが Atlassian プラットフォームにすでに存在する場合、IdP のユーザーが Atlassian 組織のユーザーに自動的にリンクされます。

ユーザー アカウントの詳細の更新

IdP から次のユーザー属性を更新できます。

  • displayName
  • メール アドレス
  • 組織
  • 職位
  • タイム ゾーン
  • 部署
  • 利用言語

表示名について

表示名は、ユーザーの姓名を組み合わせて作成されます。IdP から表示名が指定された場合、その値が姓名の組み合わせを上書きします。

ユーザー アカウントのアクティブ化

IdP からユーザーの Atlassian アカウントをアクティブ化できます。

ユーザー アカウントの非アクティブ化

IdP からユーザーの Atlassian アカウントを非アクティブ化したり、Atlassian ディレクトリでユーザーを非アクティブとしてマークしたりすることができます。

ユーザー アカウントの削除

ユーザーの Atlassian アカウントを削除するには、ユーザーを Atlassian ディレクトリから削除します。

サポートされるグループ操作

グループを使用してアイデンティティ プロバイダーから管理権限や製品アクセス権 (新しいライセンス) を管理し、更新を Atlassian 組織と同期できます。

Atlassian 組織で手動で作成されたグループおよび既定グループ (confluence-users、site-admins など) を SCIM 連携で管理することはできません。SCIM を介して管理できるのは、アイデンティティ プロバイダーのディレクトリから同期されたグループのみです。

運用 注意

グループの作成

グループは組織のディレクトリでは読み取り専用グループとして作成されます。グループは IdP からのみ編集できます。新しいグループには、組織に存在しない名前を指定します。

グループの削除

組織のディレクトリからグループを削除するには、IdP からグループを削除します。

既存のグループのプッシュ

組織のグループと同じ名前のグループを IdP からプッシュしようとすると、エラーが発生します。

グループ メンバーシップの更新

IdP からグループを更新することで、製品アクセス権、管理権限、Confluence スペース権限などのアプリケーション固有の設定を構成できます。

トラブルシューティング

ユーザーやグループの同期に関する問題をトラブルシューティングする場合、Atlassian 組織の [ユーザー プロビジョニング] ページの [監査ログ] を確認してください。

問題 Workaround / troubleshooting tips 監査ログへの記録有無

グループを正常に同期できたが、グループが空で、同期されたユーザーが含まれない。

グループをプッシュする際、同期するグループが既定グループ (site-admins など) や手動で作成したグループと同じ名前を持っていないことを確認します。

はい

グループを正常に同期できたが、サイト管理領域に表示されず、[製品アクセス] ページにも表示されない。

組織にサイトを追加していることを確認します。サイトを追加するには、Atlassian Cloud 組織から [サイトの追加] オプションを使用します。

いいえ

ユーザーの同期は完了しているようだが、ユーザー アカウントが [管理対象アカウント] ページに表示されない。

ユーザーのメール アドレスが検証済みドメインに所属していることを確認します。ユーザー アカウントが検証済みドメインのメール アドレスではない場合、次のいずれかを行います。

  • そのドメインを検証します。その後、ユーザーは正常に同期されます。 
  • 外部ディレクトリでメール アドレスを更新して検証済みドメインと一致させます。
  • ユーザーを手動で招待します。
はい

(If Okta is your identity provider) Users don't sync to the organization directory when they were already assigned to the Atlassian Cloud app before the user provisioning integration is complete.

To sync users correctly, reassign them from the Assignments tab. If a group contains the affected users, you can reassign the group instead.

いいえ

A user's updated email address can't sync because another user (either from the identity provider or not) already has that email address.

You can either:

  • Delete the other user.
  • Change the email address of the other user to a different email address.
はい
最終更新日 2019 年 4 月 18 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.