メタデータの末尾にスキップ
メタデータの先頭に移動

When you connect Atlassian applications using application links you get the security of the industry-standard OAuth authentication protocol.

For version 5.2 and later, application links no longer support the Trusted Applications or Basic Access authentication types. 

To update an application link to use just OAuth, see Update application links to use OAuth.

If you want to create an application link between two Atlassian applications, see Link Atlassian applications to work together.

 

There are two OAuth security models that you can use with Atlassian application links:

 

OAuth 認証

偽装を伴う OAuth

説明
  • Uses a pre-configured user, and not the logged-in user, when making a request. 
  • The server handling the request determines the level of access to use based on the access permissions of that pre-configured user, and this is used for requests from all users. 
  • Makes requests on behalf of the user who is currently logged in. 
  • Users see only the information that they have permission to see. 
利点
  • Can be used where the applications have different user bases.
  • Users don't need to authenticate whenever they request restricted resources from the remote application.
要件
  • The Development panel in the Jira Software issue view only supports OAuth authentication.
  • 両方のアプリケーションはアトラシアン アプリケーションでなければなりません。
  • Both applications must share the same userbase (typically managed with an external directory using LDAP).

You shouldn't link to a non-Atlassian application using OAuth authentication, unless you trust the other application. Linked applications have the ability to use OAuth to impersonate users and so are a potential security risk for the applications they connect to. If your server is compromised, the data there and on linked servers is at risk.

OAuth 認証はユーザーがリモート アプリケーションにログインするようにリダイレクトします。その後、ユーザー用に生成されたトークンが、ローカル アプリケーションから生成されたリクエストの認可に使用されます。リクエストを処理するリモート アプリケーションは、そのリモート アプリケーションにログインしたユーザーのアカウントのアクセス権限を使用します。

通常のシナリオには以下が含まれます。

  • 同じユーザーのセットを共有しない2つのアプリケーション間のアプリケーション リンクをセットアップします。
  • パブリック サインオンが可能になったアプリケーションへのリンクや、以前共有ユーザーベースで設定されたリンクを使用し続ける場合、アプリケーション リンクを編集する際に、OAuth (偽装OAuth に変更することで、アプリケーション リンクを更新することができます。

詳細は、「アプリケーションリンク用の OAuth セキュリティ」を参照してください。

Atlassian OAuth with impersonation makes it easy for your users to benefit from the deep integrations between Atlassian applications:

  • 他のアプリケーションで自動的に認証され、リクエストの認可を求められません。
  • 表示する権限のある情報が表示されます。 

偽装認証は現在ログイン中のユーザーに代わりリクエストを行います。

偽装機能を持つアトラシアンの OAuth は、アトラシアンのアプリケーション間のアプリケーション リンクにのみ使用できることにご注意ください。また、2 つのアプリケーションが同じユーザーベース (通常は LDAP を使用した外部ディレクトリで管理) を共有する場合にのみ使用します。

一般的なシナリオは以下のとおりです。

  • アプリケーション リンクをセットアップしましたが、ユーザーは引き続き定期的に認証を受ける必要があります。これはアプリケーション リンクが同じユーザーベースを共有しないように設定された場合に発生することがあります。アプリケーションが同じユーザーベースを共有しない場合、アプリケーション リンクを編集する際に、OAuth (偽装を選択することで、アプリケーション リンクを更新することができます。

詳細は、「アプリケーションリンク用の OAuth セキュリティ」を参照してください。

You may need to update an existing application link to use OAuth authentication when:

  • you upgrade an Atlassian application to a version that uses version 5.2, or later, of application links. See the Application links version matrix.
  • the existing link uses Trusted Applications authentication, but your team can't see summary information from a developer tool such as Bitbucket Server in the Development panel in Jira Software issues.
  • an existing application link uses OAuth, but your team can't see the details dialogs for the Development panel in Jira Software issues.
  • you use a plugin that requires the OAuth authentication type.

Here's how to do that in Jira Software, but the process is much the same for other Atlassian server products:

Go to the 'Configure Application Links' page in the admin area of the local application.

You may see a DEPRECATED lozenge beside links that need to be updated.

Click the pencil icon on the right to edit the configuration for the link you are updating.

In the 'Edit' dialog, set the local authentication for the link under 'Connections':

次のいずれかを行います。

  • OAuth can be used where the applications have different userbases.
  • OAuth (impersonation) if both applications share the same userbase (typically managed with an external directory using LDAP).

詳細は、「アプリケーションリンク用の OAuth セキュリティ」を参照してください。

Make sure that that the authentication matches for the local and remote ends of both the incoming and outgoing directions.

Click Save changes.

Go to the 'Configure Application Links' page in the admin area of the remote application. Choose the instructions column here that matches the UI you see (they both achieve the same result):

Click the pencil icon on the right to edit the configuration for the link you are updating.

In the 'Edit' dialog, set the local authentication for the link under 'Connections':

次のいずれかを行います。

  • OAuth can be used where the applications have different userbases.
  • OAuth (impersonation) if both applications share the same userbase (typically managed with an external directory using LDAP).

詳細は、「アプリケーションリンク用の OAuth セキュリティ」を参照してください。

Make sure that that the authentication matches for the local and remote ends of both the incoming and outgoing directions.

Click Save changes.

Click Edit for the application link you are updating.

In the 'Configure' dialog, click Outgoing Authentication and then the OAuth tab:

Now, select Enable 2-Legged OAuth, assuming that the applications have different userbases.

Optionally, select Enable 2-Legged OAuth with impersonation, if both applications share the same userbase (typically managed with an external directory using LDAP).

[更新] をクリックします。

Now, click Incoming Authentication and then the OAuth tab:

Now, select Enable 2-Legged OAuth, assuming that the applications have different userbases.

Optionally, select Enable 2-Legged OAuth with impersonation, if both applications share the same userbase.

[更新] をクリックします。

 

 

注意:

  • Users who can see summarized data in the Jira Software Development panel may not have permission to see all the information that contributed to those summaries and that is visible in the details dialogs (for example, for branches, commits and pull requests). That is, the details dialogs respect the access permissions that users have in the connected applications.

  • Your team members must have the 'View Development Tools' permission in Jira Software to see the Development panel for an issue.

  • If you run an application on port 443, you must use a valid SSL certificate (which is not self-signed) to get the full functionality available.

  • ラベルなし

1 Comment

  1. The statement "You shouldn't link to a non-Atlassian application using OAuth authentication, unless you trust the other application. Linked applications have the ability to use OAuth to impersonate users and so are a potential security risk for the applications they connect to. If your server is compromised, the data there and on linked servers is at risk." seems very confusing