ユーザー プロビジョニング

Atlassian Access によるユーザー プロビジョニング

Atlassian Access をサブスクライブすると、ユーザー プロビジョニング機能を利用できます。

Atlassian Access はご利用のアトラシアン クラウド製品すべてに対して、企業全体での可視性、安全性、およびコントロールを実現します。1 つの製品からユーザーを管理したりセキュリティ ポリシーを適用したりして、ビジネスを確実に拡張できます。

Atlassian Access を開始する方法については、こちらをお読みください。

サポートされるアイデンティティ プロバイダー

利用するユーザー プロビジョニング セットアップは、使用するアイデンティティ プロバイダーによって異なります。サポートされるアイデンティティ プロバイダーには以下が含まれます。

お客様の要望に応じて、今後、他のアイデンティティ プロバイダーのサポートを提供することを検討しています。

他のアイデンティティ プロバイダーを使用している場合は、ユーザー プロビジョニング API を使用して、ユーザーやグループを管理できるようにする独自の連携を作成できます。

ユーザー プロビジョニングについて

プロビジョニングはすべての Atlassian アカウントで利用できます。つまり、アイデンティティ プロバイダからアカウントを作成、更新、および無効化できます。グループ同期は現在、Jira 製品と Confluence でのみ利用でき、Bitbucket と Trello では利用できません。

Trello Enterprise がアトラシアン組織にリンクされている場合、SCIM 経由で組織にプロビジョニング済みのユーザーや、今後プロビジョニングされるユーザーには、無料のTrello アカウントがプロビジョニングされます。アカウントは Trello Enterprise によって管理されますが、管理者によって付与されている場合を除き、Enterprise ライセンスは持ちません。

アトラシアンでは、System for Cross-domain Identity Management (SCIM) を使用してユーザー プロビジョニングをサポートしています。この機能では、プロトコルの SCIM 2.0 バージョンが使用されます。

ユーザー プロビジョニングを構成することで、ご利用の Atlassian 組織に外部のユーザー ディレクトリを連携できます。この連携では、アイデンティティ プロバイダーで更新を行ったときに、Atlassian 組織のユーザーとグループを自動的に更新できます。たとえば、ユーザー プロビジョニングを使用することで、管理対象の Atlassian ユーザー アカウントをアイデンティティ プロバイダーから作成、リンク、非アクティブ化できます。

一部のアトラシアン製品にはサポート対象の合計ユーザー数の上限が設定されているため、外部ディレクトリあたり最大 10,000 ユーザーのみを同期できます。外部ディレクトリのユーザー数が 10,000 を超える場合も、アイデンティティ プロバイダを連携することはできますが、10,000 人以降の新規ユーザーの同期は停止します。

アイデンティティ プロバイダを組織に接続したら、ユーザーとグループが組織およびサイトと同期され、製品のアクセス権の付与に利用できるようになります。この図は、ユーザー プロビジョニングをセットアップした場合のユーザーとグループが同期される仕組みについて示しています。

同期の仕組みについて、次のセクションで詳細に説明します。

1. アイデンティティ プロバイダから組織へのユーザーおよびグループの同期

ユーザー プロビジョニングを構成する際には、プロビジョニングされるユーザー用のディレクトリを作成します。セットアップが完了すると、図に示すように、アイデンティティ プロバイダ内で検証済みドメインを持つすべてのユーザーとグループが組織のディレクトリに同期されます。

この時点で、[All members for directory - <directory_id>] という新しいグループを作成してユーザーを追加します。

Google Cloud または Azure AD の無料版を使用している場合、アイデンティティ プロバイダのグループは組織ディレクトリと同期されません。表示される唯一のグループは、All members for directory - <directory_id> グループです。

アイデンティティ プロバイダを Atlassian 組織に接続すると、同期されたディレクトリ グループが Atlassian 組織に表示され、組織からユーザーのアカウントを変更することはできません。

Atlassian 組織にすでに既存のユーザーがいる場合は、次のようになります。

  • 組織のユーザーと同じメール アドレスを持つユーザーがアイデンティティ プロバイダにいる場合、両方のユーザー アカウント間にリンクが作成されます。以降は、アイデンティティ プロバイダからのみユーザーのアカウントに変更を加えることができます。
  • 組織のユーザーと同じメール アドレスを持つユーザーがアイデンティティ プロバイダーにいない場合、ユーザーのアクセス権は保持され、Atlassian 組織からそのユーザーを引き続き管理できます。

2. 組織のディレクトリからすべての関連サイトへの同期

図に示すように、組織に追加したすべてのサイトはプロビジョニングしたユーザーおよびグループにアクセスできるようになります。同期されたディレクトリ グループはサイトで、既定およびネイティブ グループとともに表示されます。

3. 製品へのグループの割り当て

グループをサイトの製品に割り当てることで、ユーザーへの製品アクセスの付与を開始できます。

ユーザーが製品アクセスを持つ場合、Jira および Confluence の管理者は Jira および Confluence の設定からそのユーザーの製品での権限を更新できます。Jira の権限の管理については「グローバル権限を管理する」を、Confluence の権限の管理についてはグローバル権限の概要を参照してください。

ユーザー プロビジョニング機能

自身のアイデンティティ プロバイダーを Atlassian 組織に接続すると、すべてのユーザー属性とグループ メンバーシップをアイデンティティ プロバイダーから管理できます。Atlassian 組織でユーザーを管理したい場合、アイデンティティ プロバイダーとの接続を無効化します。

Manage group names

  • Atlassian 組織と同期した後にグループ名を変更します。任意の名前で新しいグループを作成してメンバーシップを更新し、古いグループを削除する必要があります。

グループの競合を解決する

  • Review group names before they’ve synced to your Atlassian organization. You’ll need to rename groups with the same name in your identity provider and Atlassian organization. Learn more about resolving group conflicts.

サポートされるユーザー アカウント操作

これらのユーザー管理操作をアイデンティティ プロバイダーから実行すると、更新が Atlassian 組織に同期されます。

アイデンティティ プロバイダーから Atlassian 組織へのユーザー アカウントの同期は、それらのアカウントが検証済みのドメインのメール アドレスを持っている場合にのみ行われます。検証済みドメイン以外のメール アドレス (gmail.com や yahoo.com など) を持つユーザー アカウントの作成、リンク、更新は行われません。

運用注意

新しいユーザー アカウントの作成

ユーザー アカウントは、そのアカウントが検証済みのドメインのメール アドレスを持っている場合にのみ作成されます。

既存のユーザー アカウントのリンク

管理対象の Atlassian アカウントが Atlassian プラットフォームにすでに存在する場合、アイデンティティ プロバイダのユーザーが Atlassian 組織のユーザーに自動的にリンクされます。

ユーザー アカウントの詳細の更新

アイデンティティ プロバイダから次のユーザー属性を更新できます。

  • 表示名
  • メール アドレス
  • 組織
  • 職位
  • タイム ゾーン
  • 部署
  • 利用言語

表示名について

表示名は、ユーザーの姓名を組み合わせて作成されます。IdP から表示名が指定された場合、その値が姓名の組み合わせを上書きします。

ユーザー アカウントのアクティブ化

アイデンティティ プロバイダからユーザーの Atlassian アカウントをアクティブ化できます。

ユーザー アカウントの非アクティブ化

アイデンティティ プロバイダーからユーザーの Atlassian アカウントを非アクティブ化できます。

ユーザー アカウントの削除

ユーザーの Atlassian アカウントを削除するには、ユーザーを Atlassian ディレクトリから削除します。

サポートされるグループ操作

グループを使用してアイデンティティ プロバイダーから管理権限や製品アクセス権 (新しいライセンス) を管理し、更新を Atlassian 組織と同期できます。

Atlassian 組織で手動で作成されたグループおよび既定グループ (confluence-users、site-admins など) を SCIM 連携で管理することはできません。SCIM を介して管理できるのは、アイデンティティ プロバイダーのディレクトリから同期されたグループのみです。

運用注意

グループの作成

グループは組織のディレクトリでは読み取り専用グループとして作成されます。グループはアイデンティティ プロバイダからのみ編集できます。新しいグループには、組織に存在しない名前を指定します。

グループの削除

組織のディレクトリからグループを削除するには、アイデンティティ プロバイダからグループを削除します。

既存のグループのプッシュ

組織のグループと同じ名前のグループをアイデンティティ プロバイダからプッシュしようとすると、エラーが発生します。

グループ メンバーシップの更新

アイデンティティ プロバイダからグループを更新することで、製品アクセス、管理権限、および、Confluence スペース権限などのアプリケーション固有の設定を構成できます。

トラブルシューティング

When troubleshooting issues with syncing users and groups, check the Troubleshooting log on the User provisioning page of your Atlassian organization.

問題回避策 / トラブルシューティングのヒントRecorded in log

グループを正常に同期できたが、グループが空で、同期されたユーザーが含まれない。

グループをプッシュする際、同期するグループが既定グループ (site-admins など) や手動で作成したグループと同じ名前を持っていないことを確認します。

はい

グループを正常に同期できたが、サイト管理領域に表示されず、[製品アクセス] ページにも表示されない。

組織にサイトを追加していることを確認します。サイトを追加するには、Atlassian 組織から [サイトの追加] オプションを使用します。

いいえ

ユーザーの同期は完了しているようだが、ユーザー アカウントが [管理対象アカウント] ページに表示されない。

ユーザーのメール アドレスが検証済みドメインに所属していることを確認します。ユーザー アカウントが検証済みドメインのメール アドレスではない場合、次のいずれかを行います。

  • そのドメインを検証します。その後、ユーザーは正常に同期されます。 
  • 外部ディレクトリでメール アドレスを更新して検証済みドメインと一致させます。
  • ユーザーを手動で招待します。
はい

(Okta がアイデンティティ プロバイダーの場合) ユーザー プロビジョニング連携が完了する前にユーザーが Atlassian アプリに割り当てられていた場合、ユーザーは組織のディレクトリに同期されません。

ユーザーを適切に同期するには、[割り当て] タブから再度割り当てます。影響を受ける複数のユーザーがグループに含まれている場合、グループを再割り当てできます。

いいえ

(Azure がアイデンティティ プロバイダーの場合) ユーザーが組織ディレクトリに同期されず、Azure ログのエラーの説明でトラブルシューティングできない。

Azure 内で 2 つ目の Atlassian アプリを構成し、1 つを SAML シングル サインオンの構成用、もう 1 つをユーザー プロビジョニングにします。

いいえ

アイデンティティ プロバイダからのユーザーかどうかにかかわらず、別のユーザーがすでにメール アドレスを使用しているため、ユーザーの更新されたメール アドレスを同期できません。

次のいずれかの対応が可能です。

  • もう片方のユーザーを削除する
  • もう片方のユーザーのメール アドレスを別のメール アドレスに変更する
はい
最終更新日 2020 年 8 月 18 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.