匿名ユーザー アクセスの制御

システム管理

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

You can configure Jira to restrict anonymous user access and protect your data from being viewed by users that aren't logged-in. Oftentimes, anonymous users can access your data if you have filters or dashboards set to be viewed publicly or you have the Browse users global permission granted to the Anyone group. Publicly or Anyone in these cases mean anyone from in and outside your organisation.

適切な構成では、次のことが可能になります。

自身のインスタンスに公開コンテンツが含まれているかどうかを確認したい

1. 公開共有が有効化されているかどうかの確認

インスタンスに公開コンテンツがあるかどうかを識別するには、まず公開の共有機能がオンになっているかどうかを確認する必要があります。Jira インスタンスが非公開であり、未ログインのユーザーが使用することがない場合も、この機能をオフにすることをおすすめします 。これにより、ユーザーはダッシュボードまたはフィルターを匿名ユーザーと共有できなくなります。

この機能は既定でオンになっています。



Jira 管理者は、ダッシュボードとフィルターを公開共有する Jira ユーザーのオプションを無効にできます。このオプションを無効にするには、次の操作を行います。 

  1.  > [システム] > [一般設定] に移動します。 
  2. [設定を編集]をクリックします。 
  3. [公開の共有] で [オフ] を選択します。 
  4. Click Update.


この機能をオフにしても、既存のフィルターやダッシュボードへの影響はありません。既存のフィルターとダッシュボードが既に公開されていた場合、この設定の変更後にそれらを引き続き更新する必要があります。

状況に応じて公開の共有を許可することを選択している場合、ユーザーがダッシュボードまたはフィルターへのパブリック アクセスを誤って許可しないように、ユーザーの既定の設定を非公開に設定できます。

フィルターおよびダッシュボードに既定の共有を設定するには、次の手順を実行します。

  1.  > [Jira 設定] > [システム] の順に選択します。
  2. [既定のユーザー設定] を選択し、[既定値の編集] を選択します。
  3. [既定アクセス] を [非公開] に設定して、[更新] をクリックします。
2. 既存の公開フィルターとダッシュボードの一覧の取得

公開の共有を無効にした場合も、既存のフィルターとダッシュボードは更新されません。公開共有されているフィルターまたはダッシュボードがあるかどうかを確認するために、以下の SQL クエリを実行できます。

公開フィルターおよびダッシュボードを特定する ...
データベースの変更を行う前に必ずデータをバックアップしてください。可能であれば、まずステージング サーバーで、すべての変更、挿入、更新、または削除の SQL コマンドをテストします。


フィルター
"全員で共有" 共有タイプ (グローバル) のすべてのフィルターの一覧を取得します。

SELECT sr.filtername, sp.sharetype AS current_share_state, sr.username AS owner_name, sr.reqcontent AS JQL
FROM searchrequest sr
INNER JOIN sharepermissions sp ON sp.entityid = sr.id 
WHERE sp.sharetype='global' and sp.entitytype ='SearchRequest';

または、 > [システム] > [共有項目] > [共有フィルター] の順に選択し、 [共有先のユーザー] 列で [公開共有] ステータスのフィルターを探します。

ダッシュボード

"全員で共有" 共有タイプ (グローバル) のダッシュボードの一覧を取得します。

SELECT DISTINCT pp.id as Dashboard_Id, pp.pagename AS Dashboard_name, sp.sharetype AS current_share_state, pp.username AS owner_name
FROM portalpage pp
INNER JOIN sharepermissions sp ON sp.entityid = pp.id 
WHERE sp.sharetype='global' and sp.entitytype ='PortalPage'
ORDER BY pp.id;

Alternatively go to > System > Shared Items > Shared dashboards and look for any dashboards with the Shared with the public status in the Shared with column.

3. ユーザー参照グローバル権限の監視

Jira のユーザー ピッカー機能を通じて、匿名ユーザーにユーザー ベース情報が提供される可能性があります。ユーザー参照グローバル権限を使用すると、ユーザーは Jira のすべてのユーザー名とグループ名を一覧表示し、課題を共有し、課題でユーザーを @メンションすることができます。これはポップアップ画面でのユーザーやグループの選択で使用され、ほとんどの [ユーザー ピッカー] メニューおよびポップアップ画面でユーザー名のオートコンプリートを有効化します。

この権限をすべてのユーザー グループに付与するとユーザーの一覧を提供するエンドポイントへのアクセスを匿名ユーザーに許可することになります。


この権限が、権限を必要とする特定のグループに制限されていることを確認します。これは、 > [システム] > [グローバル権限] で制限できます。

すべての公開コンテンツを制限したい

1. 既存の公開フィルターとダッシュボードの更新

公開フィルターおよびダッシュボードを制限するには、フィルターの共有構成を手動で変更します。フィルターを一括で変更するには、DB クエリで更新を実行する必要があります。

まず、公開共有をオフにし、現在公開共有されているコンテンツを特定していることを確認します。

公開フィルターおよびダッシュボードを更新する...
データベースの変更を行う前に必ずデータをバックアップしてください。可能であれば、まずステージング サーバーで、すべての変更、挿入、更新、または削除の SQL コマンドをテストします。


フィルター

SQL を実行して、現在匿名ユーザーが表示可能なすべてのフィルターを制限し、ログイン済みのユーザーのみが表示できるようにします。

update sharepermissions set sharetype = 'loggedin' where sharetype = 'global' and entitytype = 'SearchRequest';

または、変更するすべてのフィルターに対して以下の操作を実行します。

  1. > [システム] > [共有項目] > [共有フィルター] の順に選択します。
  2. > [所有者の変更] の順にクリックして、自身を所有者として設定します。
  3. [課題] > [フィルターの管理] の順に選択し、表示するフィルターとして [自分のフィルター] を選択します。
  4. > [編集] の順にクリックします。
  5. [公開共有] の横にある をクリックします。
  6. 変更を保存します。

ダッシュボード

SQL を実行し、現在匿名ユーザーが表示可能なすべてのダッシュボードを制限し、ログイン済みのユーザーのみが表示できるようにします。

update sharepermissions set sharetype = 'loggedin' where sharetype = 'global' and entitytype = 'PortalPage' and entityid!=10000;

または、変更するすべてのダッシュボードに対して以下の操作を実行します。

  1. > [システム] > [共有項目] > [共有ダッシュボード] の順に選択します。
  2. > [所有者の変更] の順にクリックして、自身を所有者として設定します。
  3. [ダッシュボード] > [ダッシュボードの管理] の順に選択し、表示するダッシュボードとして [自分のダッシュボード] を選択します。
  4. > [編集] の順にクリックします。
  5. [公開共有] の横にある をクリックします。
  6. 変更を保存します。
2. ユーザー参照グローバル権限の確認

この権限が、権限を必要とする特定のグループに制限されていることを確認します。

  •  > [システム] > [グローバル権限] の順に選択します。

  • [Jira 権限] の [ユーザーの参照] 権限に移動します。

  • こちらの説明に従い、この権限から "すべてのユーザー" グループを削除します。

3. 検索エンジンのクローラーのアクセスの確認

検索エンジンからのアクセスを制御する方法については、「robots.txt を使用して検索エンジンから隠す」ドキュメントを参照してください。

検索エンジンのクローラーから特定のページを制限した後、検索エンジンによってキャッシュ済みの情報が利用できなくなるまでに、数日かかる場合があります。キャッシュされたすべての情報を検索エンジンから即座に削除する唯一の方法は、サービス プロバイダー (例: Google) に直接連絡することです。削除をリクエストしているコンテンツの所有者である証拠を提示する必要があります。


4. すべての匿名アクセスをブロック

ダーク機能を使用して、サイト全体で匿名アクセスを無効化できます。ダーク機能の詳細については、「 Jira でダーク機能を有効にする」を参照してください。

ダーク機能を有効にしてパブリック アクセスを無効にするには、次の手順を実行します。

  1. 管理者としてログインし、<ベース URL>/secure/SiteDarkFeatures!default.jspa に移動します。
  2. [ダーク機能を有効にする] テキスト フィールドに「public.access.disabled」を追加します。
最終更新日 2019 年 8 月 20 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.