Confluence サポート

この記事は SSO for Atlassian Data Center アプリのバージョン 4.0 に適用されます。ご利用の Confluence バージョンにバンドルされているアプリバージョンは異なる場合があります。
以降で古いバージョン用のドキュメントをご確認ください。

目的

The SSO plugin supports a bypass parameter to login to Confluence directly without using your configured IDP. This query parameter, auth_fallbackis disabled by default, works only on the login page URL, and is useful for troubleshooting SSO issues. An example of such a URL for Confluence is http://confluence.com/login.action?auth_fallback. If the application is configured to allow bypassing SSO authentication, then users will be able to access the default login page directly by providing this parameter.

You can also enable SSO bypass for all users and all URLs by setting the Login mode to Use OpenID Connect / SAML as secondary authentication in SSO 2.0 configuration. With this option enabled, all users will be able to log in through the default login page directly and will be able to log in through your IDP by going to https://<base-url>/plugins/servlet/external-login.

Note that enabling this will mean that users are not automatically redirected to log in through your IDP when visiting Confluence, and may find this disruptive. To minimize disruption to active users, you may prefer the approach detailed below.

Method-1: REST API

この機能を利用するには、REST API 経由で allow-redirect-override フラグを有効化する必要があります。これは他の REST クライアントや cURL 経由で行えますが、ユーザーフレンドリーな方法は次のとおりです。

1. ご利用のブラウザ用に Postman をダウンロードします (別の REST クライアントをお持ちの場合はご自身のものを使えます)

2. Postman を開きます。

3. ドロップダウンメニューから GET を選択し、[Authorization] タブで [Basic Auth] を選択します (Confluence の管理用の資格情報を入力)。

Please bear in mind, the 'Allow basic authentication on API calls' parameter should be enabled for REST API calls on the General configuration>Authantication methods menu. Otherwise, REST API calls will get the below error:

{"message":"Basic Authentication has been disabled on this instance."

In this case, you can try Method-2: Database.

4. ご利用の環境に合わせて変更した次の URL を入力します。http(s)://<ベース URL>/rest/authconfig/1.0/sso (例: https://confluence.com/rest/authconfig/1.0/sso)

5. OIDC が構成されている場合、SEND をクリックすると次のような内容が返されます。

OIDC 構成の出力例

{
    "sso-type": "OIDC",
    "redirect-on-login": true,
    "allow-redirect-override": false,
    "include-customer-logins": false,
    "enable-remember-me": true,
    "issuer-url": "https://<redacted>-testing.okta.com",
    "client-id": "<redacted>gUe4x5",
    "discovery-enabled": true,
    "username-claim": "preferred_username"
}

SAML が構成されている場合は次のような出力になります。

SSO for Atlassian Data Center アプリのバージョン 4.2.x 以降でのレスポンス...

SAML 構成の出力例

{
    "show-login-form": false,
    "enable-authentication-fallback": true,
    "show-login-form-for-jsm": false,
    "last-updated": "2021-12-13T15:43:25.388+01:00"
}

enable-authentication-fallback フィールドを true に設定する必要があります。

SSO for Atlassian Data Center アプリのバージョン 4.1.x 以前でのレスポンス...

SAML 構成の出力例

{
    "certificate": "-----BEGIN CERTIFICATE-----<redacted>==-----END CERTIFICATE-----",
    "sso-type": "SAML",
    "redirect-on-login": false,
    "allow-redirect-override": false,
    "include-customer-logins": false,
    "enable-remember-me": true,
    "idp-type": "GENERIC",
    "sso-url": "https://<redacted>-testing.okta.com/app/atlassianorg621049_samltest_1/<redacted>/sso/saml",
    "sso-issuer": "http://www.okta.com/<redacted>"
}

allow-redirect-override フィールドを true に設定する必要があります。

6. これを行うには、Postman で新しいタブを開きます。

7. ドロップダウンから [PATCH] を選択し、次の URL を入力します。http(s)://<ベース URL>/rest/authconfig/1.0/sso (例: https://confluence.com/rest/authconfig/1.0/sso)

Confluence の一部のバージョンではこの操作を試行したときに 405 - Method Not Allowed エラーが返される可能性があります。この場合は PATCH の代わりに PUT を使うか、逆方向の入れ替えを行ってください。以降のすべての情報が引き続き適用されます。
415 - Unsupported Media Type クライアントエラーが表示される場合、ペイロードのフォーマットがサポート対象外であるためにサーバーがリクエストの受け入れを拒否しています。Header で Content-type が application/json に設定されていることをご確認ください。

8. [Authorization] タブで [Basic Auth] を選択し、管理アカウントの資格情報を入力します。

9. [Body] タブに移動し、ラジオボタンから [raw] を選択します。ドロップダウンメニューから [JSON (application/json)] を選択します。

10. 以降の JSON 本文を利用して関連するパラメーターを true に設定します。

アプリバージョン 4.2.x 以降向けの JSON 本文...

{
  "enable-authentication-fallback": true
}

アプリバージョン 4.1.x 以前向けの JSON 本文...

{
  "allow-redirect-override": true
}

11. [Send] ボタンをクリックすると 200 または 304 ステータスが返されます。

12. これで、http://confluence.com/login.action?auth_fallback にアクセスして SSO をバイパスできるようになります。意図された挙動を復元するため、メンテナンスが完了したらこのフラグを false に戻すことを忘れないようにしてください。これを行うには、同じ PATCH リクエストを true ではなく false で発行します。

13. Once this is done, verify that allow-redirect-override or enable-authentication-fallback is back to false by sending the same GET request to http(s)://<base-url>/rest/authconfig/1.0/sso described earlier.

Method-2: Database

SSO 構成は次のクエリを通じてデータベースで直接確認することもできます。

SSO for Atlassian Data Center app version 4.2.x and newer...

select * from bandana where bandanakey like 'com.atlassian.plugins.authentication.sso.config.enable-authentication-fallback';

The returned value will/should be "false" for the bandanakey com.atlassian.plugins.authentication.sso.config.enable-authentication-fallback

UPDATE BANDANA SET BANDANAVALUE='<string>true</string>' WHERE BANDANAKEY='com.atlassian.plugins.authentication.sso.config.enable-authentication-fallback';

上記の更新クエリを実行して値を true に変更できます。しかしながら、データベースでの値の直接変更は推奨されません。REST API のエンドポイントを使うほうが安全ですが、上記の SELECT 句は必要に応じて現在の設定を確認するのに利用できます。

Please bear in mind, to make sure that the DB change is effective please Flush all caches or restart the Confluence Server.

SSO for Atlassian Data Center app version 4.1.x and older...

select * from bandana where bandanakey like 'com.atlassian.plugins.authentication.sso.config.allow-redirect-override';

The returned value will/should be "false" for the bandanakey com.atlassian.plugins.authentication.sso.config.allow-redirect-override

UPDATE BANDANA SET BANDANAVALUE='<string>true</string>' WHERE BANDANAKEY='com.atlassian.plugins.authentication.sso.config.allow-redirect-override';

上記の更新クエリを実行して値を true に変更できます。しかしながら、データベースでの値の直接変更は推奨されません。REST API のエンドポイントを使うほうが安全ですが、上記の SELECT 句は必要に応じて現在の設定を確認するのに利用できます。

Please bear in mind, to make sure that the DB change is effective please Flush all caches or restart the Confluence Server.

Method-3: Recover Admin User Rights

If none of the above methods did help you you may consider starting Confluence in recovery mode to recover your admin user rights. Please refer to the Restore Passwords To Recover Admin User Rights.

アプリバージョン 3.2 以前の場合

SSO for Atlassian Data Center アプリのバージョン 3.2 以前を実行している場合、手順が異なります。

アプリバージョン 3.2 用のドキュメントを確認...

REST API を利用してデフォルトのログインページを有効化するためのソリューション

この機能を利用するには、REST API 経由で allow-saml-redirect-override フラグを有効化する必要があります。これは他の REST クライアントや cURL 経由で行えますが、ユーザーフレンドリーな方法は次のとおりです。

1. ご利用のブラウザ用に Postman をダウンロードします (別の REST クライアントをお持ちの場合はご自身のものを使えます)

2. Postman を開きます。

3. ドロップダウンメニューから GET を選択し、[Authorization] タブで [ Basic Auth ] を選択します (管理用の資格情報を入力)。

4. ご利用の環境に合わせて変更した次の URL を入力します。https://localhost:PORT/contextPath/rest/authconfig/1.0/saml (例: https://confluence.com/rest/authconfig/1.0/saml)

5. SEND をクリックすると次のような内容が返されます。

{
  "sso-url": "https://dev-486166.oktapreview.com/app/jeancodev486166_confdc_1/exk9awjfupbFE8VQp0h7/sso/saml",
  "sso-issuer": "http://www.okta.com/exk9awjfupbFE8VQp0h7",
  "certificate": "MIIDpDCCAoygAwIBAgIGAVl1EwJVUzETMBEG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\nHfcvAs4OyFQgeaBA5//UjZVa/MfAFmqP",
  "user-attribute": null,
  "allow-saml-redirect-override": false,
  "include-customer-logins": false,
  "redirect-on-login": false,
  "enable-remember-me": false
}

allow-saml-redirect-override フィールドを true に設定する必要があります。

6. これを行うには、Postman で新しいタブを開きます。

7. ドロップダウンから [PUT] を選択し、次の URL を入力します。http://localhost:PORT/contextPath/rest/authconfig/1.0/saml (例: https://confluence.com/rest/authconfig/1.0/saml)

8. [Authorization] タブで [Basic Auth] を選択し、管理アカウントの資格情報を入力します。

9. [Body] タブに移動し、ラジオボタンから [Raw] を選択します。ドロップダウンメニューから [JSON] を選択します。

10. コマンドの結果を参考に、allow-saml-redirect-override を true に設定します。

{
  "allow-saml-redirect-override": true
}

11. [Send] ボタンをクリックすると 200 または 304 ステータスが返されます。

12. これで、http://confluence.com/login.action?auth_fallback にアクセスして SSO をバイパスできるようになります。意図された挙動を復元するため、メンテナンスが完了したらこのフラグを false に戻すことを忘れないようにしてください。

13. 歯車 > [全般設定] > [SAML 認証] ページでプライマリ認証に SAML を設定できるようになります。

データベース

SAML 構成は次のクエリを通じてデータベース側で確認することもできます。

select * from bandana where bandanakey like '%samlconfig%';

しかしながら、データベースでの値の直接変更は推奨されません。 REST API のエンドポイントを使うほうが安全です。上記のクエリは必要に応じて現在の設定を確認するのに利用できます。

Confluence サポート

使用を開始する

ナレッジベース

製品

Jira Software

Jira Service Management

Jira Core

Confluence

Bitbucket

リソース

関連ドキュメント

コミュニティ

システムステータス

提案とバグ

Marketplace

請求とライセンス情報

Confluence Data Center で SAML をバイパスするデフォルトのログインページを有効化する

お困りですか?

目的

Method-1: REST API

Method-2: Database

Method-3: Recover Admin User Rights

アプリバージョン 3.2 以前の場合

REST API を利用してデフォルトのログインページを有効化するためのソリューション

データベース

ページ

Viewport

Confluence

Confluence Data Center で SAML をバイパスするデフォルトのログイン ページを有効化する

関連コンテンツ

お困りですか?

目的

Method-1: REST API

Method-2: Database

Method-3: Recover Admin User Rights

アプリ バージョン 3.2 以前の場合

REST API を利用してデフォルトのログイン ページを有効化するためのソリューション

データベース

関連コンテンツ

Confluence Data Center で SAML をバイパスするデフォルトのログインページを有効化する

アプリバージョン 3.2 以前の場合

REST API を利用してデフォルトのログインページを有効化するためのソリューション