要約

ユーザーは、SSO (シングル サインオン) のための SAML 認証フローを通じて、ID プロバイダー (IdP) にリダイレクトされることはありません。また、Atlassian Guard サブスクリプションが非アクティブ化されているために、SSO/ユーザープロビジョニングの強制などの Atlassian Guard サブスクリプション機能は動作しません。

環境

このナレッジ ベースは、Atlassian Guard が設定され、SAML シングル サインオン/ユーザー プロビジョニングを統合している組織に適用されます。 

診断

Atlassian Guard サブスクリプションを削除した場合は、強制的な SSO (シングル サインオン) やユーザー プロビジョニングなどの機能が動作しなくなることがあります。admin.atlassian.com にログインします。組織を選択し、[請求] に移動して確認します。Atlassian Guard サブスクリプションを利用しており、サブスクリプションが [請求] の下に表示されなくなった場合は、サブスクリプションが削除/非アクティブ化されたことを示しています。

Atlassian Guard サブスクリプションがリストにある場合は、エンド ユーザーの Atlassian アカウントで強制 SSO が有効になっていないことが原因と考えられます。つまり、SAML は設定されていますが、関連するエンド ユーザーに対してまだ有効になっていないということです。以下をご確認ください。

• 組織の認証ポリシー設定
• 認証ポリシーにメンバーを追加

強制 SSO が有効になっている認証ポリシーにエンド ユーザーが追加されていることをご確認ください。

原因

Atlassian Guard のサブスクリプションが削除されています。支払いがない、または支払い方法が更新されていないという理由で、サブスクリプションが削除される場合があります。Atlassian Guard のサブスクリプションが削除される前に、アトラシアンから請求担当者にメール通知が送信されます。

ソリューション

有効な Atlassian Guard サブスクリプションがない場合は、請求サポート チームに連絡して、Atlassian Guard サブスクリプションを再度有効化するためのサポートをご依頼ください。

Guard サブスクリプションが非アクティブになってから 14 日間に満たない場合は、強制 SSO (SAML) 設定、ユーザー プロビジョニング設定、および認証ポリシーは保持され、Guard サブスクリプションを再アクティブ化する際に再設定する必要はありません。このような場合は、「今後サブスクリプションが削除されないように Atlassian Guard の請求先情報を更新する」セクションに進んでください。

Guard サブスクリプションが非アクティブになってから 14 日間以上経過した場合は、SAML 設定とユーザー プロビジョニング設定を再作成する必要があります。

詳細については、「Atlassian Guard の支払いの問題を解決する」を参照してください。

ユーザー プロビジョニングを再設定する

1. 関連ドキュメント「ユーザー プロビジョニングについて」を確認します。
2. プロビジョニング ディレクトリが設定されていないことを確認します。該当する Atlassian 組織 (https://admin.atlassian.com) で、[セキュリティ] > [ID プロバイダー] > [<該当する ID プロバイダー ディレクトリを選択>] の順に移動します。 
   • [プロビジョニングをセットアップ] オプションがある場合は、このガイドを続けてください。
   • [トラブルシューティング ログを表示] オプションがある場合は、このセクションをスキップし、後述の「強制 SSO (SAML) を再設定する」セクションに進んでください。
3. IdP で、Atlassian Cloud IdP アプリに対するすべてのユーザーとグループの割り当てを解除します。このステップは、後で同期エラーが起こるのを防ぐのに役立ちます。可能であれば、Atlassian Cloud IdP アプリの新しいインスタンスを作成し、既存の Atlassian Cloud IdP アプリに対するすべてのユーザーとグループの割り当てを解除すれば十分でしょう。
4. 該当する Atlassian 組織で、[セキュリティ] > [ID プロバイダー] > [<該当する ID プロバイダー ディレクトリを選択>] > [プロビジョニングをセットアップ] の順に移動して、新しいプロビジョニング ディレクトリを作成します。プロビジョニング ディレクトリの作成フローでは、ディレクトリ URL と API トークンが表示されます。これらの値をコピーしてください。
5. IdP の Atlassian Cloud アプリで、ディレクトリ URL と API トークンを更新します。ほとんどの IDP には、ディレクトリ URL と API トークンの組み合わせが有効であることを検証するための "テスト接続" オプションが用意されています。
6. テスト接続が成功したら、設定を保存します。失敗した場合は、https://developer.atlassian.com/cloud/admin/user-provisioning/rest/intro/#auth に記載の手順に従ってディレクトリ URL と API トークンのペアを確認するか、新たに再生成します。
7. IdP で、すべてのユーザーとグループを Atlassian Cloud IdP アプリに再割り当てします。新しい Atlassian Cloud IdP アプリが作成されたら、該当するユーザーとグループをその Atlassian Cloud IdP アプリに割り当てるだけです。
8. グループのプロビジョニングが完了すると、Atlassian 組織のUI にグループ名の競合に関する警告メッセージが表示されることがあります。プロビジョニング プロセスでは、Cloud サイトにすでに存在するグループの同期が試みられます。その場合は、「グループの競合を解決する」の手順に従って、グループ名の競合を解決してください。

強制 SSO (SAML) を再設定する

1. 該当する Atlassian 組織 (https://admin.atlassian.com) に移動します。
2. [セキュリティ] > [ID プロバイダー] > [<該当する ID プロバイダー ディレクトリを選択>] > [SAML 設定を表示] の順に移動します。
3. 「ID プロバイダーを使用して SAML シングル サインオンを設定する」に従って、SAML 設定を再設定します。
4. [セキュリティ] > [認証ポリシー] の順に移動します。
5. 必要に応じて認証ポリシーを再作成します。「組織で利用可能な認証ポリシーを設定する」に従ってください。
6. 少なくとも 1 つの認証ポリシーに対して "強制 SSO" を有効にし、該当するユーザーがポリシーに追加されていることを確認します。
7. 強制 SSO (SAML) ログインをテストする 

今後サブスクリプションが削除されないように Atlassian Guard の請求先情報を更新する

1. 該当する Atlassian 組織 (https://admin.atlassian.com) に移動します。 
2. [請求] > [Atlassian Guard] > [管理] の順に移動します。
3. [請求先情報] を選択して、支払い方法、請求先住所、請求担当者の詳細を追加します。
4. プロンプトに従って、変更を確定します。

組織のアカウントを外部パートナーが管理している場合は、Atlassian Guard の請求先情報を更新するようパートナーにお問い合わせください。