Connecting to Crowd

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

You can configure Fisheye to use Atlassian Crowd for user and group management, and for authentication and authorization.

Atlassian Crowd は、Web ベース アプリケーションの認証と認可を処理するアプリケーション セキュリティ フレームワークです。Crowd を使用することによってシングル サインオン (SSO) と集中 ID 管理がサポートされ、複数の Web アプリケーションとユーザー ディレクトリを連携できます。Crowd 管理ガイドを参照してください。

Crowd を使用して複数のディレクトリ タイプで既存のユーザーおよびグループを管理する場合や、他の Web ベースのアプリケーションのユーザーが存在する場合は、Crowd に接続します。

Connecting Fisheye to your external directory is not sufficient to allow your users to log in to Fisheye. You must explicitly grant them access in the global permission screen.

このページの内容

To connect Fisheye to Crowd:

  1. "管理" 権限を持つユーザーとしてログインします。
  2. In the Fisheye administration area, click User Directories (under 'Security Settings').
  3. Click Add Directory and select Atlassian Crowd.
  4. 以下のように、設定を入力します。
  5. ディレクトリ設定をテストおよび保存します。
  6. Define the directory order, on the Directories tab, by clicking the blue up- and down-arrows next to each directory. The directory order has the following effects:
    • ディレクトリの順序は、ユーザーおよびグループの検索順序です。
    • ユーザーおよびグループへの変更は、アプリケーションが変更権限を持つ最初のディレクトリに対してのみ行われます。

サーバー設定

設定

説明

名前

ディレクトリ サーバーの一覧でこの Crowd サーバーを識別するのに役立つよう、わかりやすい名前にします。例:

  • Crowd Server
  • Example Company Crowd

サーバー URL

Crowd コンソール サーバーのWeb アドレス。例:

  • http://www.example.com:8095/crowd/
  • http://crowd.example.com

アプリケーション名

ご利用の Crowd サーバーが認識する、アプリケーションの名前。Crowd 管理コンソールを使用して、Crowd でもアプリケーションを定義する必要があります。アプリケーションの追加については、Crowd ドキュメントを参照してください。

アプリケーション パスワード

クライアントとして Crowd フレームワークとの認証を行う場合に、アプリケーションが使用するパスワード。これは、Crowd でこのアプリケーションに対して登録したパスワードと同じである必要があります。アプリケーションの追加については、Crowd ドキュメントを参照してください。

Crowd 権限

Fisheye offers Read Only permissions for Crowd directories. The users, groups and memberships in Crowd directories are retrieved from Crowd and can only be modified from Crowd. You cannot modify Crowd users, groups or memberships using the Fisheye administration screens.

高度な設定

設定

説明

Enable Nested Groups

入れ子グループのサポートを有効または無効にします。入れ子グループを有効にする前に、Crowd のユーザー ディレクトリで入れ子グループがサポートされているかどうかを確認します。入れ子グループが有効になっているときは、グループを別のグループのメンバーとして定義できます。グループを使用して権限を管理している場合、入れ子グループを作成して、1 つのグループからそのサブグループに権限を継承できます。

Enable Incremental Synchronizationインクリメンタル同期を有効または無効にします。ディレクトリの同期時には、前回の同期時以降の変更のみが取得されます。完全な同期はアプリケーションの再起動時に常に実行されます。

Synchronization Interval (minutes)

同期とは、アプリケーションがユーザー データの内部ストアをディレクトリ サーバ上のデータで更新するプロセスです。アプリケーションは x 分ごとにディレクトリ サーバーにリクエストを送信します。x はここで指定する数値です。既定値は60分です。

Crowd を使用したシングル サインオン (SSO)

Once the Crowd directory has been set up, you can enable or disable Crowd SSO integration by adding the following setting to your $FISHEYE_INST/config.xml file (you can create missing xml nodes if they don't exist yet). SSO is disabled by default, if not configured in config.xml.

config.xml
<config>
...
	<security allow-anon="false" allow-cru-anon="false">
        <built-in>
                <signup enabled="true"/>
        </built-in>
        <crowd sso-enabled="true"/>
        <admins>
                <system-admins>
                        <group>confluence-users</group>
                </system-admins>
        </admins>
        <avatar><disabled/></avatar>
        <emailVisibility/>
    </security>
...
</config>

Note that you will need to correctly set up the domains of the applications involved in SSO. See Crowd SSO Domain examples.

Configuring SSO Domain

  • If you want the SSO cookie to be set to the domain that requests are made from, no more configuration is needed. 
  • If the SSO cookie domain is configured in Crowd, Fisheye & Crucible will automatically retrieve this configuration. The following log in Fisheye & Crucible will show this:

    INFO [Crowd SSO] Received cookie configuration (cookie name: crowd.token_key, domain: .example.com) for directory: MyCrowd.

    , or when the value was changed (visible on next SSO user request, 60 seconds after the configuration change was done): 

    INFO [Crowd SSO] Updating cookie configuration for directory: MyCrowd. Domain changed from: .example.com to .internal.example.com.
  • If the SSO cookie domain has to be overridden on the Fisheye & Crucible side (multiple groups of SSO applications using a single Crowd) configure it by system properties or environment properties:
    1. System property:  crowd.property.cookie.domain

      -Dcrowd.property.cookie.domain=.internal.example.com
    2. Environment property:  CROWD_PROPERTY_COOKIE_DOMAIN

      CROWD_PROPERTY_COOKIE_DOMAIN=.internal.example.com

      together with system property enabling configuration via environment properties: atlassian.use.environment.variables

      -Datlassian.use.environment.variables=true

Note that the same applies to other Crowd properties.

Other Crowd properties

Directory properties are used when configuring the HTTP client accessing the directory.

Directory properties defined below can be overridden by system properties or environment variables.

When using environment properties the following system property should be set: 

-Datlassian.use.environment.variables=true
Directory propertySystem property nameEnvironment property name

applicationName

crowd.property. application.name

CROWD_PROPERTY_APPLICATION_NAME

applicationPassword

crowd.property.application.password
CROWD_PROPERTY_APPLICATION_PASSWORD

applicationAuthenticationURL

crowd.property.application.login.url            
CROWD_PROPERTY_APPLICATION_LOGIN_URL

cookieTokenKey

crowd.property.cookie.tokenkey
CROWD_PROPERTY_COOKIE_TOKENKEY

sessionTokenKey

crowd.property.session.tokenkey
CROWD_PROPERTY_SESSION_TOKENKEY

sessionLastValidation

crowd.property.session.lastvalidation        
CROWD_PROPERTY_SESSION_LASTVALIDATION

sessionValidationInterval

crowd.property.session.validationinterval
CROWD_PROPERTY_SESSION_VALIDATIONINTERVAL

httpProxyHost

crowd.property.http.proxy.host
 
CROWD_PROPERTY_HTTP_PROXY_HOST

httpProxyPort

crowd.property.http.proxy.port
CROWD_PROPERTY_HTTP_PROXY_PORT

httpProxyUsername

crowd.property.http.proxy.username
 
CROWD_PROPERTY_HTTP_PROXY_USERNAME

httpProxyPassword

crowd.property.http.proxy.password
CROWD_PROPERTY_HTTP_PROXY_PASSWORD

httpMaxConnections

crowd.property.http.max.connections
CROWD_PROPERTY_HTTP_MAX_CONNECTIONS

httpTimeout

crowd.property.http.timeout     
CROWD_PROPERTY_HTTP_TIMEOUT

socketTimeout

crowd.property.socket.timeout             
CROWD_PROPERTY_SOCKET_TIMEOUT

ssoCookieDomainName

crowd.property.cookie.domain
CROWD_PROPERTY_COOKIE_DOMAIN

複数のディレクトリの使用

When Fisheye is connected to Crowd you can map Fisheye to multiple user directories in Crowd.

For Crowd 2.8, and later versions, there are two different membership schemes that Crowd can use when multiple directories are mapped to an integrated application, and duplicate user names and group names are used across those directories. The schemes are called 'aggregating membership' and 'non-aggregating membership' and are used to determine the effective group memberships that Fisheye uses for authorization. See Effective memberships with multiple directories for more information about these two schemes in Crowd.

注意:

  • Authentication, for when Fisheye is mapped to multiple directories in Crowd, only depends on the mapped groups in those directories – the aggregation scheme is not involved at all. 
  • For inactive users, Fisheye only checks if the user is active in the first (highest priority) directory in which they are found to determine authentication. The membership schemes described above are not used when Crowd determines if a user should have access to Fisheye.
  • ユーザーがグループに追加されると、ユーザーは利用可能な最初の書き込み可能なディレクトリ (優先度順) にのみ追加されます。
  • ユーザーがグループから削除されると、non-aggregating が使用されている場合、ユーザーは検出された最初のディレクトリのグループからのみ削除されます。aggregating membership が使用されている場合、ユーザーが存在するすべてのディレクトリのグループから削除されます。

 

An administrator can set the aggregation scheme that Fisheye uses when integrated with Crowd. Go to the Directories tab for the Fisheye instance in Crowd, and check Aggregate group memberships across directories to use the 'aggregating membership' scheme. When the checkbox is clear 'non-aggregating membership' is used.

Note that changing the aggregation scheme can affect the authorization permissions for your Fisheye users, and how directory update operations are performed. 

最終更新日: 2018 年 10 月 25 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.