ヘルス チェック: ユーザー アカウントの重複
プラットフォームについて: Server および Data Center のみ。この記事は、Server および Data Center プラットフォームのアトラシアン製品にのみ適用されます。
Support for Server* products ended on February 15th 2024. If you are running a Server product, you can visit the Atlassian Server end of support announcement to review your migration options.
*Fisheye および Crucible は除く
目的
重複したユーザー アカウントのヘルス チェックは週に 1 度実行され、Jira に接続されたすべてのユーザー ディレクトリをスキャンして重複したユーザー アカウントを探します。アカウントが重複と見なされる条件は、同じユーザー名を持つ別のアクティブなアカウントが別のユーザー ディレクトリに存在すること、または、1 人のユーザーが複数のアカウントを持っているが、そのユーザーの唯一のアクティブなアカウントが最高の優先度を割り当てられたディレクトリに存在しないことです。
複数の外部ディレクトリが接続されているときに、複数のアカウントを持つユーザーが認証を試みると、Jira は指定された順序でディレクトリを検索し、最初に見つかったアクティブなアカウントに対してログイン試行を検証します。
その人が組織を離れた場合、対象のアカウントに対する最高優先度のインスタンスを削除しても (それが非アクティブなものだったとしても)、そのユーザーによる Jira へのログインを完全に防ぐことはできません。ユーザーがログインを試行すると Jira は同じユーザー名を持つ別のアクティブなアカウントにフォールバックするため、これは潜在的なセキュリティ リスクです。
ヘルス チェックは重複アカウントが見つかるたびに失敗し、Jira にはシステムのセキュリティを維持するためにアクションが必要な可能性がある旨のリマインダー通知が表示されます。
ヘルス チェック結果
アイコン | 結果 | 意味 |
---|---|---|
すべてのユーザー アカウントが一意であるか、重複するアカウントが明示的に許可されています。 | 次の理由の 1 つ以上に該当するため、ヘルス チェックに成功しました。
| |
接続されたユーザー ディレクトリに、1 つ以上の重複したユーザー アカウントが見つかりました。 | 次の理由の 1 つまたはすべてに該当するため、ヘルス チェックに失敗しました。
|
ソリューション
重複アカウントによる問題を解決するには、重複としてマークされたアカウントを判断し、問題を解決するための、以降のいずれかの方法を選択します。
リリース 8.19.0 以降では、Jira Server プラットフォームの REST API の api/2/user/duplicated
リソースで、重複したユーザー アカウントの合計数やそのようなアカウントの一覧の取得に利用できる、追加の count
および list
メソッドが提供されます。
Please be mindful that even after deleting the duplicate user accounts, the health check will still show as failing as it runs only once a week. If you'd like a quicker update, please restart JIRA for a faster update.
- REST API requests have their cache holding information about the number of duplicate users and their detailed list valid for 10 minutes.
- Health check status stores its cache record only about the number of duplicated users, and it is valid for 7 days. So every time we check the health check status, we will see the same information until the mentioned 7 days have passed or until we restart the node.
- Nodes are not replicating changes to this cache between them.
重複アカウントの削除または無効化
1 人のユーザーが複数のユーザー ディレクトリを横断して複数のアクティブなアカウントを持っている場合、適切なディレクトリで重複を無効化または削除します。
Searching for users will only show the users in the top-level directory. Please change the order of directories if you need to delete users from the Jira internal user directory.
不要な重複ユーザー ディレクトリが Jira 内部のユーザー ディレクトリに存在する場合、[ユーザー管理] システム設定ページでアカウントを削除または無効化します。「ユーザーの作成、編集、削除」をご確認ください。
Jira の内部ユーザー ディレクトリが最上位のディレクトリである場合、削除したいアカウントを持つユーザーに、外部ディレクトリのパスワードの利用を開始する必要がある旨を伝えます。
- If an unwanted duplicate user account exists in a read-only external user directory, delete or deactivate the account in that external user directory. See Create edit or remove a user.
- You cannot delete a user from within Jira if you are using External User Management (However, you can deactivate the user).
- If your Jira instance is configured to use an external Atlassian Crowd user directory, the user will be deactivated in Jira if they are deactivated in Crowd.
- 外部の Microsoft Active Directory または LDAP ベースのユーザー ディレクトリで設定して非アクティブ/無効化されたユーザーを、Jira は非アクティブ化しません。ただし「委任 LDAP 認証」によって Jira ユーザーが設定されている場合を除きます。
For Delegated LDAP authentication, temporarily disable the option "Update User attributes on Login" if you are Unable to delete delegated directory user.
count
および list
メソッドによって返されるレスポンスは、重複ユーザー用のキャッシュに 10 分間保持されます。キャッシュは、ディレクトリが追加、削除、有効化、無効化、並べ替え、同期されるごとに自動的にフラッシュされます。
Jira システム管理者は、リソースの URL に flush=true
クエリ文字列パラメーターを追加することで、キャッシュを主導でフラッシュすることもできます。例:
curl -X GET "<BASE_URL>/rest/api/2/user/duplicated/list?flush=true" \
-u "<USERNAME>:<PASSWORD>"
The same can be achieved through the browser:
- Login to Jira as system administrator.
- Once logged in change the url to "<BASE_URL>/rest/api/2/user/duplicated/list?flush=true"
特定の重複アカウントを明示的に許可
アカウントによっては、意図的に重複されているものもあります。たとえば、外部ディレクトリが失敗したときの Jira への管理アクセスを維持するために、Jira の内部ユーザー ディレクトリに重複した Jira システム管理者アカウントが存在する可能性があります。
高度な設定である jira.security.duplicated.user.accounts
の配下にユーザー名を記載することで、ヘルス チェックが重複を無視するように構成できます。それぞれのエントリはアンパサンドで区切ります。例: jdoe&ssmith&fperez
詳細については「高度な設定の構成」をご確認ください。
- Login to Jira as a system administrator
- Go to ⚙️ → System → General Configuration → Advanced Settings → find jira.security.duplicated.user.accounts and add all the duplicate usernames, separate each entry with an ampersand(&). For example: Tuser&admin