既存のユーザー管理インフラストラクチャに SAML 統合を追加する

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問


このページでは、SAML シングル サインオン(SSO)をインストール済みの Atlassian アプリケーションに統合するのに必要な手順の概要を説明しています。

外部 LDAP ディレクトリの使用

1. 要件

ユーザー ディレクトリ(LDAP または LDAP 認証を使用した内部ディレクトリ )を、Atlassian アプリケーションでセットアップする必要があります。手順については以下のドキュメントを参照してください。

また、SAML アイデンティティ プロバイダ(IdP)も必要です。Atlassian SAML 認証でテストされているサードパーティ プロバイダのリストについては、こちらを参照してください。

注: Microsoft Active Directory の場合、Active Directory Federation Services のローカル インストールをアイデンティティ プロバイダとして使用することもできます(以下の手順を参照してください)。

2. LDAP ディレクトリとアイデンティティ プロバイダの統合

アイデンティティ プロバイダが読み取るusername/NameID 属性は、Atlassian アプリケーションに設定されているディレクトリ > 設定 > ユーザー名属性と一致している必要があります。

ユーザーは LDAP ディレクトリの認証情報を使用して、アイデンティティ プロバイダのサイトにログインできるようになっているはずです。

3. Atlassian アプリケーションの SAML の設定

このページで説明されているように、アプリケーションの SAML を設定します。アイデンティティ プロバイダは、シングル サインオン イシュアアイデンティティ プロバイダ シングル サインオン URL、および X.509 証明書を提供します。Atlassian アプリケーションで表示されているアサーション コンシューマ サービス URL およびオーディエンス URL (エンティティ URL)をアイデンティティ プロバイダの設定にコピーします。

ユーザーは、アイデンティティ プロバイダのサイトで認証してアプリケーションを選択することでログインできるようになりました。別の方法として、アドレス BASE-URL/plugins/servlet/external-login を使用することもできます。

ご希望の場合に、SAML 認証 > ログインモード設定から、組み込みのログインを完全に置き換えることができるようになりました。何かしら上手くいかず、アプリケーションからロック アウトされた場合は、REST 経由でネイティブ認証を復元することができます。

フェデレーション サービス付きの Microsoft Active Directory の使用

1. 要件

ユーザー ディレクトリ (Microsoft AD、または Microsoft Active Directory に委任された認証を使用した内部ディレクトリ) を、Atlassian アプリケーションでセットアップする必要があります。手順については以下のドキュメントを参照してください。

2. Active Directory Federation Services 3.0 のインストールと設定

手順については、公式のドキュメントを参照してください。

3. Atlassian アプリケーションの SAML の設定

以下のガイドラインを使用して、こちらで使用されているようにアプリケーションで SAML を構成します。ADFS に Atlassian アプリケーション用の証明書利用者信頼がない場合は、作成する必要があります。

Atlassian SAML パラメータ Microsoft ADFS 管理の場所
シングルサインオン発行者

AD FS > サービス > フェデレーション サービス プロパティの編集... > 一般 > フェデレーション サービス識別子からコピーします。

デフォルトでは、イシュアは https://<adfs hostname>/adfs/services/trust です。

アイデンティティ プロバイダー シングルサインオン URL

AD FS > サービス > エンドポイント > トークン発行 > タイプ 'SAML 2.0/WS-Federation' の行からコピーします。

デフォルトでは、URL は https://<adfs hostname>/adfs/ls です。

X.509 証明書 Base-64 エンコードされた X.509 形式でトークン署名証明書をエクスポートし、生成された .cer ファイルから内容をコピーします。
アサーション コンシューマー サービス URL AD FS > 信頼関係 > 証明書利用者信頼 > (ご利用のアプリケーション) >プロパティ > エンドポイントで、新しい SAML アサーション コンシューマポスト バインディングで追加します。URL に貼り付けます。
オーディエンス URL (エンティティ ID) AD FS > 信頼関係 > 証明書利用者信頼 > (ご利用のアプリケーション) > プロパティ > 識別子で、新しい識別子にペーストします。

注意

  • AD FS > 信頼関係 > 証明書利用者信頼 > (ご利用のアプリケーション) > 要求規則の編集.. > 発行変換規則 で、Atlassian アプリケーションのディレクトリ > 設定 > ユーザー名属性と同じ送信 Name ID 要求の LDAP 属性が使用されていることを確認します。存在しない場合はこの規則を作成する必要があります。

Atlassian Crowd の使用 

LDAP の場合

Active Directory フェデレーション サービスの場合

ユーザー管理に Atlassian Crowd を使用する場合、別のレイヤーを上記の設定のいずれかに追加します。唯一の違いは、外部ディレクトリが Atlassian Crowd と通信するときに、アプリケーションで SAML 認証がセットアップされるということです。

注:  Crowd 3.4 以降を使用している場合は、Server、Data Center、Cloud アプリケーションのための単一ソリューションを提供し、わずか数分でセットアップできる Crowd SSO 2.0 を使用できます。詳細はこちらをご覧ください。

アプリケーションの内部ディレクトリの使用

現在、内部ディレクトリと SAML アイデンティティ プロバイダ間でユーザーを自動で同期する方法はありません。LDAP ディレクトリをプロバイダと Atrassian アプリケーションのデータの共有元として使用することを選択することができます。

あるいは、ユーザーがプロバイダと内部ディレクトリの両方で作成されるようにする必要があります。これは手動でも実施できますし、自動でユーザーを作成する API を使用して実施することもできます。


最終更新日 2019 年 6 月 17 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.