ユーザー プロビジョニング
User provisioning is available when you subscribe to Atlassian Access. Read more about how to start with Atlassian Access.
ドメイン外からユーザーを手動でプロビジョニングした場合 (例: サードパーティ スタッフ)、2020 年 11 月 15 日までは自動的に同期できます。ドメイン外のユーザーの同期についてはこちらをご覧ください。
アトラシアンでは、System for Cross-domain Identity Management (SCIM) を使用してユーザー プロビジョニングをサポートしています。この機能では、プロトコルの SCIM 2.0 バージョンが使用されます。
User provisioning integrates an external user directory with your Atlassian organization. This integration allows you to automatically update the users and groups in your Atlassian organization when you make updates in your identity provider. For example, with user provisioning, you can create, link, and deactivate managed Atlassian user accounts from your identity provider.
一部のアトラシアン製品にはサポート対象の合計ユーザー数の上限が設定されているため、外部ディレクトリあたり最大 70,000 ユーザーのみを同期できます。外部ディレクトリのユーザー数が 70,000 を超える場合でも ID プロバイダーを引き続き統合できますが、70,000 名から先の新規ユーザーの同期は停止します。また、各グループで最大 20,000 名のユーザーのみを同期できます。
サポートされるアイデンティティ プロバイダー
利用するユーザー プロビジョニング セットアップは、使用するアイデンティティ プロバイダーによって異なります。サポートされるアイデンティティ プロバイダーには以下が含まれます。
- Okta – 「Okta を使用してユーザー プロビジョニングを構成する」を参照してください。
- OneLogin – 「OneLogin を使用してユーザー プロビジョニングを構成する」を参照してください。
- Azure AD –「Azure AD でユーザー プロビジョニングを構成する」を参照してください。
- Google Cloud –「Google Cloud でユーザー プロビジョニングを構成する」を参照してください。
PingFederate – 「PingFederate でユーザー プロビジョニングを構成する」を参照してください。
お客様の要望に応じて、今後、他のアイデンティティ プロバイダーのサポートを提供することを検討しています。
他のアイデンティティ プロバイダーを使用している場合は、ユーザー プロビジョニング API を使用して、ユーザーやグループを管理できるようにする独自の連携を作成できます。
サポート対象製品
Provisioning is available for all Atlassian accounts, which means that you can create, update, and deactivate accounts from your identity provider. Syncing groups is only currently available for Jira products and Confluence and not yet available for Bitbucket andTrello
Trello Enterprise がアトラシアン組織にリンクされている場合、SCIM 経由で組織にプロビジョニング済みのユーザーや、今後プロビジョニングされるユーザーには、無料のTrello アカウントがプロビジョニングされます。アカウントは Trello Enterprise によって管理されますが、管理者によって付与されている場合を除き、Enterprise ライセンスは持ちません。
ユーザー プロビジョニングの仕組み
アイデンティティ プロバイダを組織に接続したら、ユーザーとグループが組織およびサイトと同期され、製品のアクセス権の付与に利用できるようになります。この図は、ユーザー プロビジョニングをセットアップした場合のユーザーとグループが同期される仕組みについて示しています。
同期の仕組みについて、次のセクションで詳細に説明します。
このビデオでユーザー プロビジョニングの詳細をご確認ください
1. アイデンティティ プロバイダから組織へのユーザーおよびグループの同期
ユーザー プロビジョニングを設定する際には、ユーザー用のディレクトリを作成します。図に示すように、アイデンティティ プロバイダー内で検証済みドメインのまたは検証済みドメイン外のすべてのユーザーとグループが組織のディレクトリに同期されます。
この時点で、[All members for directory - <directory_id>] という新しいグループを作成してユーザーを追加します。
Google Cloud または Azure AD の無料版を使用している場合、アイデンティティ プロバイダのグループは組織ディレクトリと同期されません。表示される唯一のグループは、All members for directory - <directory_id> グループです。
After you connect your identity provider to your Atlassian organization, synced directory groups appear in your Atlassian organization and you're unable to make changes to a user's account from the organization.
If your Atlassian organization already has existing users:
- 組織のユーザーと同じメール アドレスを持つユーザーがアイデンティティ プロバイダにいる場合、両方のユーザー アカウント間にリンクが作成されます。以降は、アイデンティティ プロバイダからのみユーザーのアカウントに変更を加えることができます。
- And the identity provider doesn't have a user with the same email address as a user in your organization, the user's access remains the same and you can still manage that user from your Atlassian organization.
2. 組織のディレクトリからすべての関連サイトへの同期
図に示すように、組織に追加したすべてのサイトはプロビジョニングしたユーザーおよびグループにアクセスできるようになります。同期されたディレクトリ グループはサイトで、既定およびネイティブ グループとともに表示されます。
3. 製品へのグループの割り当て
グループをサイトの製品に割り当てることで、ユーザーへの製品アクセスの付与を開始できます。
ユーザーが製品アクセスを持つ場合、Jira および Confluence の管理者は Jira および Confluence の設定からそのユーザーの製品での権限を更新できます。Jira の権限の管理については「グローバル権限を管理する」を、Confluence の権限の管理については「グローバル権限を管理する」を参照してください。
ユーザー プロビジョニング機能
Once you connect your identity provider to your Atlassian organization, you manage all user attributes and group memberships from your identity provider. If you want to manage users from your Atlassian organization, disable the connection with your identity provider.
グループ名の管理
Rename groups after they've synced to your Atlassian organization. You’ll need to create a new group with the desired name, update its membership, and delete the old group.
グループの競合を解決する
アトラシアン組織と同期する前に、グループ名を確認します。アイデンティティ プロバイダーとアトラシアン組織とで同じ名前のグループがある場合はグループの名前を変更する必要があります。グループの競合の解決の詳細をご確認ください。
サポートされるユーザー アカウント操作
When you perform these user management operations from your identity provider, your updates will sync with your Atlassian organization.
We sync user accounts from your identity provider to your Atlassian organization when they have email addresses from your verified domain(s) and from outside your verified domain(s).
| 運用 | 注意 |
|---|---|
新しいユーザー アカウントの作成 | ユーザー アカウントは、そのアカウントが検証済みのドメインのまたは検証済みドメイン外のメール アドレスを持っている場合にのみ作成されます。 |
既存のユーザー アカウントのリンク | If an Atlassian account already exists on the Atlassian platform, we'll automatically link the user in your identity provider to the user in your Atlassian organization. |
ユーザー アカウントの詳細の更新 | ID プロバイダーから次のユーザー属性を更新できます。
認証済みまたは未認証ドメインから未認証ドメインにメール アドレスを更新すると、次が実行されます。
製品アクセス グループからユーザーが削除されないようにするには、まずアトラシアン組織で未認証ドメインを申請します。 検証済みドメイン外のユーザーの属性について 検証済みドメイン外のユーザーは、管理対象アカウントではありません。このようなユーザーについてアイデンティティ プロバイダーで属性を更新しても、更新内容は同期されません。 |
ユーザー アカウントのアクティブ化 | ID プロバイダーからユーザーの Atlassian アカウントを有効化できます。 |
ユーザー アカウントの非アクティブ化 | You can deactivate the Atlassian account for users from your verified domain in the identity provider. 認証済みドメイン外のユーザーを無効化すると、次のようになります。
非アクティブ化した後にサイト アクセスを削除するには、サイトからユーザーを削除します。 |
ユーザー アカウントの削除 | ユーザー アカウントを削除する前に、ID プロバイダーのユーザー アカウントを無効化することをお勧めします。 ユーザーの Atlassian アカウントを検証済みドメインから削除するには、ユーザーを組織内の Atlassian ディレクトリから削除します。 検証済みドメイン外のユーザーのユーザー アカウントを削除できない アイデンティティ プロバイダーからユーザーを削除する場合は、ユーザー アカウントが非アクティブになります。非アクティブになった場合の動作については、「ユーザー アカウントの非アクティブ化」セクションを参照してください。 |
サポートされるグループ操作
Use groups to manage admin permissions and product access (new licenses) from your identity provider and these updates will sync with your Atlassian organization.
Groups created manually and by default (e.g. confluence-users, site-admins) in your Atlassian organization can't be managed via SCIM integration. You can only manage groups synced from your identity provider directory via SCIM.
| 運用 | 注意 |
|---|---|
グループの作成 | グループは組織のディレクトリでは読み取り専用グループとして作成されます。グループはアイデンティティ プロバイダからのみ編集できます。新しいグループには、組織に存在しない名前を指定します。 |
グループの削除 | 組織のディレクトリからグループを削除するには、アイデンティティ プロバイダからグループを削除します。 |
既存のグループのプッシュ | 組織のグループと同じ名前のグループをアイデンティティ プロバイダからプッシュしようとすると、エラーが発生します。 |
グループ メンバーシップの更新 | アイデンティティ プロバイダからグループを更新することで、製品アクセス、管理権限、および、Confluence スペース権限などのアプリケーション固有の設定を構成できます。 |
トラブルシューティング
When troubleshooting issues with syncing users and groups, check the Troubleshooting log on the User provisioning page of your Atlassian organization.
| 問題 | 回避策 / トラブルシューティングのヒント | ログへの記録 |
|---|---|---|
グループを正常に同期できたが、グループが空で、同期されたユーザーが含まれない。 | グループをプッシュする際、同期するグループが既定グループ (site-admins など) や手動で作成したグループと同じ名前を持っていないことを確認します。 | はい |
グループを正常に同期できたが、サイト管理領域に表示されず、[製品アクセス] ページにも表示されない。 | Make sure you added the site to your organization. To add the site, use the Add a site option from your Atlassian organization. | いいえ |
ユーザーの同期は完了しているようだが、ユーザー アカウントが [管理対象アカウント] ページに表示されない。 | ユーザーのメール アドレスが検証済みドメインに所属していることを確認します。 | はい |
(If Okta is your identity provider) Users don't sync to the organization directory when they were already assigned to the Atlassian app before the user provisioning integration is complete. | ユーザーを適切に同期するには、[割り当て] タブから再度割り当てます。影響を受ける複数のユーザーがグループに含まれている場合、グループを再割り当てできます。 | いいえ |
(Azure がアイデンティティ プロバイダーの場合) ユーザーが組織ディレクトリに同期されず、Azure ログのエラーの説明でトラブルシューティングできない。 | Configure a second Atlassian app within Azure so that you have one for your SAML single sign-on configuration and one for user provisioning. | いいえ |
アイデンティティ プロバイダからのユーザーかどうかにかかわらず、別のユーザーがすでにメール アドレスを使用しているため、ユーザーの更新されたメール アドレスを同期できません。 | 次のいずれかの対応が可能です。
| はい |
アトラシアンの組み込みグループと同じ名前のグループ名がある場合、そのグループは ID プロバイダーから組織に同期できません。 組み込みグループ
| ID プロバイダーに移動し、重複するグループ名をアトラシアンに組み込まれたグループ名とは異なる名前に変更して、同期を再度試みます。 | いいえ |
We won’t update the listed user attributes in the Atlassian product for users outside of your domain. You will need to manually update them in the Atlassian product.