Jira Service Management でカスタマーのアカウントに Atlassian Access の SAML シングル サインオンとユーザー プロビジョニングを構成する

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問


プラットフォームについて: Cloud のみ - この記事は、 クラウド プラットフォームのアトラシアン製品にのみ適用されます。

目的

Atlassian Access をサブスクライブした組織管理者が、内部のカスタマー/ユーザーに SAML シングル サインオンを通じた認証を行わせたり、Jira Service Management Cloud のサイト内にカスタマーのアカウントをプロビジョニングしたりしたい場合があります。

Jira Service Management には 2 つのタイプのカスタマー アカウントがあります。 

  1. ポータル専用カスタマー
    1. これらは厳密にクライアントと見なされ、ポータルの URL (https://<インスタンス>.atlassian.net/servicedesk/customer/) 経由でメール アドレスとローカルのパスワードを使用したログインのみを行えます
    2. ポータル専用アカウントは、Atlassian アカウントのカスタマー アカウントに移行され、クラウド サイトのライセンスを消費しないようにすべての製品アクセスを取り除かれている場合 (後述) を除き、ログインに SAML シングル サインオンを使用できません
  2. Atlassian アカウントのカスタマー
    1. これらは将来ライセンス アクセスを提供する可能性があるカスタマーです
    2. これらのお客様は標準ユーザーと同じようにクラウド サイトに追加されますが、製品アクセスは持たず、サービス管理プロジェクトへの権限が付与されます
    3. これらのカスタマーは (標準ユーザーと同様)、https://<インスタンス>.atlassian.net/ でログインすることで認証に SAML シングル サインオンを使用できます。
    4. Atlassian アカウントのカスタマーがカスタマー ポータルからログインしようとした場合、Atlassian ID のログイン画面 (https://id.atlassian.com) 経由でのログインを行うように促されます
    5. Atlassian アカウントのカスタマーはユーザー プロビジョニングで作成できます 

ソリューション

クラウド サイトでカスタマーをジャストインタイムで作成できるようにし、認証に SAML シングル サインオンを使用する 

これは、Atlassian Access をサブスクライブ済みで前提条件を完了しており、SAML シングル サインオンが構成済みであることを前提に書かれています。

  1. クラウド サイトのユーザー管理画面に移動し、製品アクセス設定を更新して、[新しいユーザーはこの製品にアクセスできます] オプションを無効化します
    1. これにより、クラウド サイトにセルフ サインアップしたアカウントがライセンスを自動的に消費せず、カスタマー アカウントとして扱われるようにすることができます
    2. 新しいユーザーに製品アクセスが必要な場合、サイト管理者がそのユーザーに対して製品を有効化したり、適切なグループに追加したりする必要があります
  2. サイト アクセス設定に移動し、招待なしで参加することを許可するドメインを追加します 
  3. Jira Service Management のカスタマー権限設定を確認し、カスタマーがプロジェクトにアクセスできるかどうかを検証します

    1. エージェントと管理者が追加したカスタマーにサービス プロジェクトへのアクセスを許可するように Jira Service Management プロジェクトが構成されている場合
      1. エージェントまたは管理者がカスタマーを対象のプロジェクトに追加する必要があります
      2. Jira Service Management プロジェクトで変更済みのプロジェクト権限スキームを使用している場合、アクセスを付与するには追加のプロジェクト権限を管理する必要がある場合があります 
    2. Jira Service Management プロジェクトが https://<インスタンス>.atlassian.net にアカウントを持つ全員またはWeb 上の全ユーザーと構成されている場合
      1. 追加の変更は不要です。カスタマーは対象のプロジェクトへのアクセスを持ち、カスタマーはクラウド サイトでアカウントを持ちます 
      2. このオプションのテキストは、Jira Service Management のグローバル カスタマー権限に応じて変わります。
  4. これらの設定を行ったあとは、認証済みかつ承認済みのドメインに所属する新しいカスタマーは、クラウド サイトのベース URL (https://<インスタンス>.atlassian.net) に移動してアカウントをジャストインタイムでプロビジョニングする必要があります。ログイン エクスペリエンスは次のようになります
    1. ユーザーは https://<インスタンス>.atlassian.net にナビゲートし、Atlassian ID のログイン画面にリダイレクトされます 
    2. ユーザーがメール アドレスを入力して青色の続行ボタンをクリックすると、アイデンティティ プロバイダーにリダイレクトされます 
    3. ユーザーが IdP への認証に成功したら (あるいはセッションがキャッシュされていたら)、ログインを開始したアトラシアンの Web サイトに戻されます 

新しいお客様がポータルに移動し、カスタマーのセルフ サインアップが有効化されている場合、SAML シングル サインオンの認証を活用しないポータル専用カスタマーがこの操作によって作成されます。このようなポータル専用カスタマーに SAML シングル サインオンを活用させるには、カスタマーを Atlassian アカウントのカスタマーに移行させる必要があります

Atlassian Access のユーザー プロビジョニング経由でカスタマー アカウントを作成する

これは、Atlassian Access をサブスクライブ済みで前提条件を完了しており、SAML シングル サインオンユーザー プロビジョニングが構成済みであることを前提に書かれています。

ご利用のアイデンティティ プロバイダーから "カスタマー" グループをアトラシアン製品にプッシュすることをおすすめします。これは、ユーザーがクラウド サイトにプッシュされたあとに、ライセンスが付与された Jira/Confluence ユーザーとライセンスが付与されないカスタマーを区別するのに役立ちます。また、Jira Service Management プロジェクト内でカスタマーにアクセスを付与するために権限を更新する際にも便利です。 

既定では、ユーザー プロビジョニング経由でクラウド サイトにプッシュされたグループは製品アクセスを持ちません。カスタマーがライセンスを付与されない "カスタマー" グループ (Jira または Confluence の製品アクセスが付与されないグループ) にのみ所属している限り、クラウド サイトでは無料のカスタマー アカウントになります。

アイデンティティ プロバイダーでグループとメンバーをクラウド サイトにプッシュしたら、Jira Service Management プロジェクトのカスタマー権限を確認します。

  • エージェントと管理者が追加したカスタマーにサービス プロジェクトへのアクセスを許可するように Jira Service Management プロジェクトが構成されている場合

    • プロジェクトのユーザー/ロール設定を更新して、プッシュしたグループ (例: "カスタマー") のメンバーがプロジェクトにカスタマーとしてアクセスできるようにします

    • Jira Service Management プロジェクトで変更済みのプロジェクト権限スキームを使用している場合、アクセスを付与するには追加のプロジェクト権限を管理する必要がある場合があります 
  • Jira Service Management プロジェクトが https://<インスタンス>.atlassian.net にアカウントを持つ全員または Web 上の全ユーザーと構成されている場合

    • 追加の変更は不要です。カスタマーの Atlassian アカウントはユーザー プロビジョニング経由でクラウド サイト内に作成されているため、カスタマーはプロジェクトへのアクセス権を持ちます

    • このオプションのテキストは、Jira Service Management のグローバル カスタマー権限グローバル カスタマー権限 に応じて変わります

トラブルシューティング:

問題回避策/トラブルシューティングのヒント
  • カスタマーがポータル専用アカウントを作成したが、SAML SSO 認証を使う必要がある
  • カスタマーがポータル専用のカスタマー アカウントと Atlassian アカウントのカスタマー アカウントの両方を持っていて、ログインできない
    • SAML SSO 経由でログインしようとしたときに、パスワードが正しくない旨のエラーが表示される場合がある

カスタマーのポータル専用アカウントを Atlassian アカウントのカスタマーに移行します

  1. admin.atlassian.com で、ご使用のサイトの管理画面に移動します。複数のサイトの管理者や組織管理者であった場合、サイトの名前および URL をクリックすることで対象のサイトの管理領域を開くことができます。
  2. [Jira Service Management] を選択します
  3. 移行したいカスタマーの [その他のオプション] ドロップダウンで [Atlassian アカウントへの移行] を選択します。




最終更新日 2021 年 4 月 15 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.