既存のユーザー管理インフラストラクチャに SAML 統合を追加する
このページでは、SAML シングル サインオン(SSO)をインストール済みの Atlassian アプリケーションに統合するのに必要な手順の概要を説明しています。
外部 LDAP ディレクトリの使用
1. 要件
ユーザー ディレクトリ(LDAP または LDAP 認証を使用した内部ディレクトリ )を、Atlassian アプリケーションでセットアップする必要があります。手順については以下のドキュメントを参照してください。
- Jira Software Data Center: LDAP ディレクトリに接続する
- Jira Service Desk Data Center: LDAP ディレクトリに接続する
- Bitbucket Data Center: 外部ユーザー ディレクトリ
- Confluence Data Center: LDAP ディレクトリに接続する
また、SAML アイデンティティ プロバイダ(IdP)も必要です。Atlassian SAML 認証でテストされているサードパーティ プロバイダのリストについては、こちらを参照してください。
注: Microsoft Active Directory の場合、Active Directory Federation Services のローカル インストールをアイデンティティ プロバイダとして使用することもできます(以下の手順を参照してください)。
2. LDAP ディレクトリとアイデンティティ プロバイダの統合
アイデンティティ プロバイダを設定して、LDAP ディレクトリからユーザーをインポートします。詳細については、アイデンティティ プロバイダのドキュメントを確認する必要があります。
アイデンティティ プロバイダが読み取るusername/NameID 属性は、Atlassian アプリケーションに設定されているディレクトリ > 設定 > ユーザー名属性と一致している必要があります。
3. Atlassian アプリケーションの SAML の設定
このページで説明されているように、アプリケーションの SAML を設定します。アイデンティティ プロバイダは、シングル サインオン イシュア、アイデンティティ プロバイダ シングル サインオン URL、および X.509 証明書を提供します。Atlassian アプリケーションで表示されているアサーション コンシューマ サービス URL およびオーディエンス URL (エンティティ URL)をアイデンティティ プロバイダの設定にコピーします。
ユーザーは、アイデンティティ プロバイダのサイトで認証してアプリケーションを選択することでログインできるようになりました。別の方法として、アドレス BASE-URL/plugins/servlet/external-login を使用することもできます。
ご希望の場合に、SAML 認証 > ログインモード設定から、組み込みのログインを完全に置き換えることができるようになりました。何かしら上手くいかず、アプリケーションからロック アウトされた場合は、REST 経由でネイティブ認証を復元することができます。
フェデレーション サービス付きの Microsoft Active Directory の使用
1. 要件
ユーザー ディレクトリ (Microsoft AD、または Microsoft Active Directory に委任された認証を使用した内部ディレクトリ) を、Atlassian アプリケーションでセットアップする必要があります。手順については以下のドキュメントを参照してください。
2. Active Directory Federation Services 3.0 のインストールと設定
手順については、公式のドキュメントを参照してください。
3. Atlassian アプリケーションの SAML の設定
以下のガイドラインを使用して、こちらで使用されているようにアプリケーションで SAML を構成します。ADFS に Atlassian アプリケーション用の証明書利用者信頼がない場合は、作成する必要があります。
| Atlassian SAML パラメータ | Microsoft ADFS 管理の場所 |
|---|---|
| シングルサインオン発行者 | AD FS > サービス > フェデレーション サービス プロパティの編集... > 一般 > フェデレーション サービス識別子からコピーします。 デフォルトでは、イシュアは https://<adfs hostname>/adfs/services/trust です。 |
| アイデンティティ プロバイダー シングルサインオン URL | AD FS > サービス > エンドポイント > トークン発行 > タイプ 'SAML 2.0/WS-Federation' の行からコピーします。 デフォルトでは、URL は https://<adfs hostname>/adfs/ls です。 |
| X.509 証明書 | Base-64 エンコードされた X.509 形式でトークン署名証明書をエクスポートし、生成された .cer ファイルから内容をコピーします。 |
| アサーション コンシューマー サービス URL | AD FS > 信頼関係 > 証明書利用者信頼 > (ご利用のアプリケーション) >プロパティ > エンドポイントで、新しい SAML アサーション コンシューマをポスト バインディングで追加します。URL に貼り付けます。 |
| オーディエンス URL (エンティティ ID) | AD FS > 信頼関係 > 証明書利用者信頼 > (ご利用のアプリケーション) > プロパティ > 識別子で、新しい識別子にペーストします。 |
注意
- AD FS > 信頼関係 > 証明書利用者信頼 > (ご利用のアプリケーション) > 要求規則の編集.. > 発行変換規則 で、Atlassian アプリケーションのディレクトリ > 設定 > ユーザー名属性と同じ送信 Name ID 要求の LDAP 属性が使用されていることを確認します。存在しない場合はこの規則を作成する必要があります。
Atlassian Crowd の使用
LDAP の場合
Active Directory フェデレーション サービスの場合
ユーザー管理に Atlassian Crowd を使用する場合、別のレイヤーを上記の設定のいずれかに追加します。唯一の違いは、外部ディレクトリが Atlassian Crowd と通信するときに、アプリケーションで SAML 認証がセットアップされるということです。
注: Atlassian Crowd シングル サインオン 機能は SAML SSO との互換性がありません。この機能はデフォルトでオフになっています。アプリケーションがこの機能を使用する場合は、SAML 設定をセットアップする前に無効化します。
アプリケーションの内部ディレクトリの使用
現在、内部ディレクトリと SAML アイデンティティ プロバイダ間でユーザーを自動で同期する方法はありません。LDAP ディレクトリをプロバイダと Atrassian アプリケーションのデータの共有元として使用することを選択することができます。
あるいは、ユーザーがプロバイダと内部ディレクトリの両方で作成されるようにする必要があります。これは手動でも実施できますし、自動でユーザーを作成する API を使用して実施することもできます。