既存のユーザー管理インフラストラクチャに SAML 統合を追加する
このページでは、SAML シングル サインオン (SSO) をインストール済みのアトラシアン アプリに統合するために必要な手順の概要を説明しています。
外部 LDAP ディレクトリの使用
1. 要件
ユーザー ディレクトリ (LDAP または LDAP 認証を使用した内部ディレクトリ) をアトラシアン アプリでセットアップする必要があります。手順については、次のドキュメントを参照してください。
- Jira Software Data Center: LDAP ディレクトリに接続する
- Jira Service Desk Data Center: LDAP ディレクトリに接続する
- Bitbucket Data Center: 外部ユーザー ディレクトリ
- Confluence Data Center: LDAP ディレクトリに接続する
また、SAML ID プロバイダー (IdP) も必要です。Atlassian SAML 認証でテストされているサードパーティ プロバイダーのリストについては、こちらを参照してください。
注: Microsoft Active Directory の場合、Active Directory Federation Services のローカル インストールをアイデンティティ プロバイダとして使用することもできます(以下の手順を参照してください)。
2. LDAP ディレクトリとアイデンティティ プロバイダの統合
アイデンティティ プロバイダを設定して、LDAP ディレクトリからユーザーをインポートします。詳細については、アイデンティティ プロバイダのドキュメントを確認する必要があります。
ID プロバイダーによって読み取られる username/NameID 属性は、アトラシアン アプリに設定されている [ディレクトリ] > [設定] > [ユーザー名の属性] と一致している必要があります。
3.アトラシアン アプリでの SAML の設定
このページで説明されているように、アプリケーションの SAML を設定します。アイデンティティ プロバイダは、シングル サインオン イシュア、アイデンティティ プロバイダ シングル サインオン URL、および X.509 証明書を提供します。Atlassian アプリケーションで表示されているアサーション コンシューマ サービス URL およびオーディエンス URL (エンティティ URL)をアイデンティティ プロバイダの設定にコピーします。
ユーザーは、アイデンティティ プロバイダのサイトで認証してアプリケーションを選択することでログインできるようになりました。別の方法として、アドレス BASE-URL/plugins/servlet/external-login を使用することもできます。
ご希望の場合に、SAML 認証 > ログインモード設定から、組み込みのログインを完全に置き換えることができるようになりました。何かしら上手くいかず、アプリケーションからロック アウトされた場合は、REST 経由でネイティブ認証を復元することができます。
フェデレーション サービス付きの Microsoft Active Directory の使用
1. 要件
ユーザー ディレクトリ (Microsoft AD、または認証を Microsoft Active Directory に委任した内部ディレクトリ) をアトラシアン アプリでセットアップする必要があります。手順については、次のドキュメントを参照してください。
2. Active Directory Federation Services 3.0 のインストールと設定
手順については、公式のドキュメントを参照してください。
3.アトラシアン アプリでの SAML の設定
次のガイドラインを使用して、こちらで説明されているようにアプリで SAML を設定します。ADFS にアトラシアン アプリ用の証明書利用者の信頼がない場合は、作成する必要があります。
| Atlassian SAML パラメーター | Microsoft ADFS 管理の場所 |
|---|---|
| シングルサインオン発行者 | AD FS > サービス > フェデレーション サービス プロパティの編集... > 一般 > フェデレーション サービス識別子からコピーします。 デフォルトでは、イシュアは https://<adfs hostname>/adfs/services/trust です。 |
| アイデンティティ プロバイダー シングルサインオン URL | AD FS > サービス > エンドポイント > トークン発行 > タイプ 'SAML 2.0/WS-Federation' の行からコピーします。 デフォルトでは、URL は https://<adfs hostname>/adfs/ls です。 |
| X.509 証明書 | Base-64 エンコードされた X.509 形式でトークン署名証明書をエクスポートし、生成された .cer ファイルから内容をコピーします。 |
| アサーション コンシューマー サービス URL | AD FS > 信頼関係 > 証明書利用者信頼 > (ご利用のアプリケーション) >プロパティ > エンドポイントで、新しい SAML アサーション コンシューマをポスト バインディングで追加します。URL に貼り付けます。 |
| オーディエンス URL (エンティティ ID) | AD FS > 信頼関係 > 証明書利用者信頼 > (ご利用のアプリケーション) > プロパティ > 識別子で、新しい識別子にペーストします。 |
注意
- [AD FS] > [Trust Relationships (信頼関係)] > [Relying Party Trusts (証明書利用者の信頼)] > (ご利用のアプリ) > [Edit Claim Rules..(要求ルールの編集..)] > [Issuance Transform Rules (発行変換ルール)] で、送信される名前 ID の LDAP 属性として、アトラシアン アプリの [ディレクトリ] > [設定] > [ユーザー名の属性] と同じものが使用されていることを確認します。このルールが存在しない場合は作成する必要があります。
Atlassian Crowd の使用
LDAP の場合
Active Directory フェデレーション サービスの場合
ユーザー管理に Atlassian Crowd サーバーを使用する場合、別のレイヤーを上記の設定のいずれかに追加します。唯一の違いは、外部ディレクトリが Atlassian Crowd と通信するときに、アプリで SAML 認証がセットアップされることです。
アプリケーションの内部ディレクトリの使用
現在、内部ディレクトリと SAML アイデンティティ プロバイダ間でユーザーを自動で同期する方法はありません。LDAP ディレクトリをプロバイダと Atrassian アプリケーションのデータの共有元として使用することを選択することができます。
あるいは、ユーザーがプロバイダと内部ディレクトリの両方で作成されるようにする必要があります。これは手動でも実施できますし、自動でユーザーを作成する API を使用して実施することもできます。