Atlassian Data Center アプリケーション向け SAML シングルサインオン

セキュリティ アサーション マークアップ言語 (SAML) は、サービスに対し、アイデンティティ プロバイダー (IdP) との認証データの交換を許可する XML ベースのデータ形式です。最も一般的な使用事例は、ユーザーに対し、同じ認証情報 (通常はユーザー名とパスワード) を使用して、複数のソフトウェア アプリケーションへのサインインを許可することです。これを、シングルサインオン (SSO) と言います。

Atlassian provides the SSO 2.0 app that allows the following applications to connect to an IdP to provide SSO for your users:

  • Jira Software Data Center 7.2
  • Jira Service Desk Data Center 7.2
  • Bitbucket Data Center 4.10
  • Confluence Data Center 6.1  

SSO 2.0 is built in to Jira 7.3, Confluence 6.1 and Bitbucket 4.13 and newer.  These versions no longer need to install it from Marketplace.

SSO 2.0 only handles authentication. Application access and any required authorizations, such as ensuring that users belong to the appropriate groups/roles and have the necessary permissions, should be configured in the user directory and/or the application itself.

サポートされるアイデンティティ プロバイダー

Once you have installed the SAML SSO 2.0, the solution should work with any identity provider implementing the SAML 2.0 Web Browser SSO Profile, using the HTTP POST binding. Alternatively it allows you to delegate authentication to Crowd.

現在、次のアイデンティティ プロバイダー (IdP) でテストを実行しています。

シングルサインオンのセットアップ

Once you've installed SSO 2.0, you need to decide if you want your users to log in to JIRA using Crowd or an identity provider of your choice. Then you'll need to configure your Data Center  and your IdP to provide single sign-on (SSO) for your users.

アイデンティティ プロバイダーのセットアップ

アプリケーションで SSO を提供する場合は、そのアプリケーションを IdP に追加する必要があります。正確なプロセスは IdP に応じて異なりますが、通常は以下が必要です。

  • IdP で「アプリケーション」を定義する
  • アプリケーションに関する情報 (アプリケーションの「認証」画面でアクセスできる情報を含む) を提供する
  • IdP のユーザーの NameID 属性が、アトラシアン アプリケーションでユーザー名に設定されていることを確認する
  • アプリケーションを使用する適切なユーザー パーミッションを提供する

セットアップ プロセスの最後に、IdP から、アトラシアン アプリケーションの構成に必要なデータ セットが提供されます。

Configuring SSO 2.0 in your Atlassian application

  1. Navigate to the SSO screen: 
    • For Jira applications, select  > System > SSO 2.0 Authentication
    • For Bitbucket, select  > Accounts > SSO 2.0 Authentication
  2. Decide if you want your user to log in using Crowd or your IdP. 
  3. If you want to use your IdP, select SAML single sign-on.

    次の設定を構成する:

    設定 注意

    シングルサインオン発行者

    この値は、SAML 設定の一部として、IdP によって提供されます。「エンティティ ID」と呼ばれることもあります。

    発行者は、アプリケーションが認証リクエストを承認することになる IdP です。

    アイデンティティ プロバイダー シングルサインオン URL

    この値は、SAML 設定の一部として、IdP によって提供されます。

    ログイン時にユーザーがリダイレクトされる URL を定義します。

    X.509 証明書

    この値は、SAML 設定の一部として、IdP によって提供されます。「サインイン証明書」と表されることもあります。キーは通常 '-----BEGIN CERTIFICATE-----' で開始します。

    これには、受信したすべての SAML 認証リクエストの発行元がお使いの IdP であることを検証するために使用するパブリック キーが含まれます。

    ログイン モード

    ユーザーによるシングルサインオンの使用方法を定義します。オプション:

    • セカンダリ認証として SAML を使用する – 既定のログイン方法は、標準アプリケーション ログイン フォームとなります。お使いの IdP へ移動してアプリケーションを選択するか、URL: BASE-URL/plugins/servlet/external-login を使用してログインすることができます。すべてが正しく構成され、ユーザーが SSO を使用してログインできることをテストするため、この方法をお勧めします。
    • SAML をプライマリ認証として使用する – このモードでは、すべてのブラウザ ベース ユーザーはログインするため、アプリケーションのログイン画面から IdP にリダイレクトされます。引き続き以下を使用して認証することもできます:
      • Basic Auth
      • 専用 REST エンドポイントを介したフォーム ベースの認証
      • 既存の「ログイン情報を記憶する」トークン
      • Git HTTP(S) (for Bitbucket Server)
      • Git SSH (for Bitbucket Server)
      このモードは、SAML 認証が期待どおり作業していることを検証した後にのみ有効化できます。
    ユーザーのログイン情報を記録する If selected, users will be logged in automatically as their login will be remembered.

    (Jira Service Desk のみ)

    オンにした場合、カスタマー ポータルを使用した Service Desk の顧客からのすべてのログインは、構成済 IdP へリダイレクトされます。オフにした場合、顧客はカスタマー ポータルからログインする必要があります。
  4. 次の情報は「認証」画面で提供され、IdP の構成に必要となります。

    設定名 注意
    アサーション コンシューマー サービス URL

    IdP が SAML 認証リクエストを返す先となる URL です。

    オーディエンス URL (エンティティ ID)

    IdP が SAML 認証リクエストを準備する URL です。

  5. 構成の保存をクリックします。

アプリケーションと IdP の両方を構成したら、SSO を使用する準備が整います。

べストプラクティス

  • 認証プロセスのセキュリティとプライバシーを確保するため、アトラシアン アプリケーションと IdP の両方が互いの通信に HTTPS プロトコルを使用しており、構成されたアプリケーション ベースの URL が HTTPS になっていることを確認する必要があります。
  • SAML 認証リクエストは、限られた回数のみ有効です。アトラシアン アプリケーションを実行しているサーバーの時刻が IdP と同期化されていることを確認する必要があります。
  • お使いのアトラシアン アプリケーションのユーザーやグループが User Directories を使用して構成されている場合は通常、IdP とアトラシアン アプリケーションの両方で、同じ LDAP ディレクトリをユーザーのソースとして使用することになります。ユーザーは、SSO を使用してログインする前にユーザー ディレクトリ内に存在する必要があります。

トラブルシューティング

  • SAML 認証の構成で失敗したり、IdP を使用してログインできない場合は、DELETE リクエストを発行して (ユーザー ディレクトリで構成された管理者にユーザー名とパスワードを使用する)、ログイン フォーム認証を復元することができます。

    curl -u admin_user:admin_password -X DELETE http://base-url/*ContextPathIfAny*/rest/authconfig/1.0/saml
  • 認証エラーが発生した場合、ユーザーには、うまくいかなかった点に関する基本的な詳細のみが表示されます。セキュリティ上の理由から、元となる問題に関する詳細は表示されません。アプリケーション ログで問題の原因を確認する必要があります。 
  • IdP によってエラーが表示される場合があります。これらの場合、アトラシアン サポートではなく、IdP によって提供されたサポートやツールを使用する必要があります。
  • SAML をプライマリ認証として使用しており、アプリケーションで CAPTCHA が有効になっている場合、HTTP 基本認証を使用しているユーザーは (たとえば、REST リソース コールや、Bitbucket で Git HTTPS を使用している場合)、間違ったパスワードを既定回数を超えて入力すると、ロックアウトされる場合があります。このような場合、ユーザー リスト画面でユーザーの CAPTCHA をリセットする必要があります。
  • To display stack trace information in the error pages, use the following flag:

    -Datlassian.darkfeature.atlassian.authentication.include.stacktrace.in.error.messages=true
最終更新日 2019 年 6 月 17 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.