Atlassian SSO アプリのインストールや更新

Jira Data Center では、SSO 機能が Marketplace アプリとして提供されます。このアプリが Jira にバンドルされている可能性もありますが、セキュリティ バグからアプリを保護して最新の機能改善を活用できるよう、ご利用の Jira リリースでサポートされている最新バージョンにアプリを更新することをおすすめします。

サポート対象の Jira バージョンの詳細やリリース ノートについては Atlassian SSO アプリのバージョン履歴をご確認ください。

この例では Jira Software 8.20.6 と Atlassian SSO アプリ 4.2.1 を利用します。このドキュメントの作成時点で提供されている最新のアプリケーション バージョンは 4.2.11 です。

「アプリの更新」では、Universal Plugin Manager (UPM) でアプリを更新するオプションを説明しています。UPM がインターネットに接続されている場合は、利用可能なアップデートがあることが通知され、アップデートするオプションが提供されます。

Okta でのアプリケーションの作成

アトラシアンは Okta アプリケーションを提供していないため、ユーザーのために Okta で新しいアプリケーションを作成する必要があります。

1. Okta 管理者として [Applications] に移動し、[Create App Integration] をクリックします。
   
   
   
   
2. Create New Application Integration 画面で次の内容を選択し、[SAML 2.0] をクリックします。
   
   
   
3. Create SAML Integration ページの [General Settings] で以下の情報を追加して [Next] をクリックします。

   • App Name: ユーザーに表示したい任意の名前を指定します。この例では「My Company Jira」を利用しています。

   • Application logo: ユーザーに表示したいロゴです。アトラシアンのロゴを利用したい場合は Atlassian Design System のサイトをご参照ください。
     
     

4. Configure SAML 画面で以下の情報を追加して [Next] をクリックします。
   
   • Single sign-on URL: 任意の URL を追加します。後ほど Jira を設定したあとに、Jira Assertion Consumer Service URL に編集します (https://<jira>:8443/plugins/servlet/samlconsumer のような形式)
   • Audience URI (SP Entity ID): 任意の URL を追加します。後ほど Jira を設定したあとに、Jira Assertion Consumer Service URL に編集します (https://<jira>:8443 のような形式) 
   • Name ID format: ユーザーが自身のメール アドレスを利用して Jira で認証することを考慮し、EmailAddress にします。
     • これは Jira のユーザー ディレクトリのユーザー名属性に一致する必要があるため、意図する構成や利用されている構成に応じた変更が必要な可能性があります。
   • Application username: ユーザーが自身のメール アドレスを利用して Jira で認証することを考慮し、Email にします。異なる方法を利用している場合はそれに従って変更します。
     
     • これは Jira のユーザー ディレクトリのユーザー名属性に一致する必要があるため、意図する構成や利用されている構成に応じた変更が必要な可能性があります。
       
       
5. Feedback 画面で自社に関連するオプションを選択し、[Finish] をクリックします。
   
   
   
   
6. Okta でアプリケーションが作成され、[Sign On] タブが表示されます。
7. アプリケーションの [Sign-On Settings] 配下で [View Setup Instructions] をクリックすると、新しいウィンドウが開き、次のセクションで利用する情報が表示されます。
   
   

Okta 連携アプリが作成されたら、How to Configure SAML 2.0 for My Company Jira Application ウィンドウは開いたままにして、Jira で SAML SSO を構成するために次のセクションに進みます。
あとで Okta の管理画面に戻り、アプリの設定を完了します。

Jira で SAML 2.0 を構成

Atlassian SSO アプリを利用して Jira で SAML 2.0 を連携するには、Jira が HTTPS で実行されている必要があります。まだ設定されていない場合は「Jira アプリケーションを SSL または HTTPS で実行する」をご確認ください。

1. Jira に管理者としてログインし、歯車アイコン > [システム] に移動します。
2. [認証方法] をクリックします。
   1. SSO for Atlassian Server and Data Center App のバージョンが 4.2 未満の場合、[セキュリティ] セクションで [SSO 2.0] をクリックします。
3. 連携に名前を付けます。
4. SAML SSO 2.0 設定を構成するには、[認証方法] で [SAML シングル サインオン] を選択します。
5. [シングル サインオン発行者] 属性では、前のセクションの Okta 構成から Identity Provider Issuer の値を利用します。
6. [ID プロバイダーのシングル サインオン URL] 属性では、前のセクションの Okta 構成から Identity Provider Single Sign-On URL の値を利用します。
7. [X.509 証明書] 属性では、前のセクションの Okta 構成から X.509 Certificate の値を利用します。
8. [ユーザー名のマッピング] 属性では、${NameID} を利用します。
   • この値は、前のステップで Okta で行われた設定内容に基づいて使用されます。設定内容によっては変更が必要な場合があります。
9. 設定が次のサンプル画像のようになっていることを確認します。
   
   
   
10. [設定を保存] をクリックし、確認ポップアップで [保存] をクリックします。

これで、Jira 側はすべて設定されました。

Okta アプリケーションの構成を官僚

Okta の管理画面に戻り、前のセクションで Jira から収集した情報に基づいて引き続き設定を完了する必要があります。

1. Okta で Jira アプリケーションに移動し、作成した連携をクリックします。
   
   
   
2. [General Settings] で、SAML Settings の [Edit] をクリックします
   
3. SAML Settings 画面で次の変更を行い、[Next] をクリックします。
   

   • [Single sign-on URL]: 前のセクションで Jira から収集したアサーション コンシューマー サービス URL の値を利用します。

   • Audience URI (SP Entity ID): 前のセクションで Jira から収集したオーディエンス URL (エンティティ ID) の値を利用します。
     
     

4. Feedback 画面で、何も変更せずに [Finish] をクリックします。

SSO 連携のテスト

この時点で、Jira の認証で Okta の SSO を利用するよう設定されています。ユーザー プロビジョニングは引き続き、過去の設定内容に応じて、内部ユーザー ディレクトリまたは外部 LDAP から通常の方法で行われています。

このため、この連携をテストするために Okta でユーザーやグループが作成されると見なします。たとえば、ユーザー 'oktauser' が Okta と Jira に次のように追加されました。

• Okta
  

• Jira
  

Okta がユーザーにアクセスを付与できるよう、Okta 内のターゲット グループを Jira アプリケーションに関連付けます。

1. Okta 管理で [Directory] > [Groups] に移動してターゲット グループをクリックします。
2. グループ管理画面で [Applications] をクリックします。
3. Jira アプリケーションの横にある [Assign applications] ボタンをクリックし、[Done] をクリックします。
   

これにより、対象のグループに追加されたすべてのユーザーが連携機能経由で Jira にアクセスできるようになります。

連携をテストするには、歯車アイコン > [システム] > [認証方法] > [サインインのテスト] を、作成した連携に対して選択します。

すべてが適切に設定されていると Okta ログインに転送され、そこで SAML の認証フローとして有効なユーザーでテストが行なえます。

備考と設定

未認証のユーザーを IdP に自動リダイレクト

ユーザーが Jira のベース URL にアクセスすると、ブラウザがシステム ダッシュボードにリダイレクトされます。これはデフォルトでは公開のダッシュボードで、ユーザーが認証のために IdP (Okta) にリダイレクトされることはありません。
また、(SAML が主要な認証方法として構成されているため) ログイン フォームのガジェットは表示されず、ユーザーは上部のバーの [ログイン] アイコンをクリックする必要があります。

Jira で公開ページを無効化する機能リクエストがあります。 JRASERVER-65521 - Getting issue details... STATUS
この機能はまだ解決されていませんが、推奨される回避策では、システム ダッシュボードを非公開にし、未認証のユーザーを IdP に自動的にリダイレクトすることができます。

• 管理者としてログインして次の URL にアクセスします。<Jira のベース URL>/secure/SiteDarkFeatures!default.jspa
• [ダーク機能の有効化] テキスト フィールドで public.access.disabled を追加します。

上記の回避策を使用しても、非公開ダッシュボードの URL にアクセスしたときなど、リダイレクトが自動的に行われないページがほかにあります。

これは次の機能として扱われており、 JRASERVER-66554 - Getting issue details... STATUS 回避策はありません。

セキュアな管理者セッション (websudo)

Jira ではデフォルトでセキュアな管理者セッションが有効化されているため、管理ページにアクセスしようとすると次のように再認証が要求されます。

この認証チャレンジは IdP に送信されないため、構成されたユーザー ディレクトリを使用します。

IdP を利用するよう変更する機能リクエストがあります。 JRASERVER-69311 - Getting issue details... STATUS .
これは解決されていませんが、「セキュアな管理者セッションの構成」の説明にあるように、無効化することができます。

Still having problems?

アトラシアン サポートにお問い合わせください。喜んでお手伝いします。可能な限り詳細な情報をご提供ください。

• 影響を受けているアプリケーションのログ (該当する場合)
• エラー メッセージのスクリーンショット (ログに含まれていない場合)
• 過去に行った手順についての情報