How to control anonymous user access in a public Jira instance
プラットフォームについて: Server および Data Center のみ。この記事は、Server および Data Center プラットフォームのアトラシアン製品にのみ適用されます。
Support for Server* products ended on February 15th 2024. If you are running a Server product, you can visit the Atlassian Server end of support announcement to review your migration options.
*Fisheye および Crucible は除く
The content of this page is applicable for all Jira / Jira Software versions of 7.2.2 and up.
次のセクションにジャンプ:
目的
Configure Jira to restrict anonymous user access.
適切な構成では、次のことが可能になります。
- prevent Jira filters, dashboards, project and user information from being shared unintentionally with the public by their owners (e.g. Anonymous users able to see shared filters dashboards or project issues)
- 検索エンジンのクローラーに提供されるコンテンツを制御します。
自身のインスタンスに公開コンテンツが含まれているかどうかを確認したい
1. Check whether Public sharing is ON.
In order to identify if your instance has content that is open for the public you first need to confirm if the Public sharing functionality is ON.
Since Jira 7.2.2, Jira administrators can disable the ability of Jira users to share dashboards and filters publicly via a new global setting "Public sharing". This setting is available from Administration Menu > System > General Configuration > Edit Settings.
If your Jira instance is private and not to be used by users without logging in you should turn this feature OFF. This way users will no longer be able to share any dashboards or filters with anonymous users.
この機能をオフにしても、既存のフィルターやダッシュボードへの影響はありません。既存のフィルターとダッシュボードが既に公開されていた場合、この設定の変更後にそれらを引き続き更新する必要があります。
2. 既存の公開フィルターとダッシュボードの一覧の取得
公開の共有を無効にした場合も、既存のフィルターとダッシュボードは更新されません。公開共有されているフィルターまたはダッシュボードがあるかどうかを確認するために、以下の SQL クエリを実行できます。
3. ユーザー参照グローバル権限の監視
Jira のユーザー ピッカー機能を通じて、匿名ユーザーにユーザー ベース情報が提供される可能性があります。ユーザー参照グローバル権限を使用すると、ユーザーは Jira のすべてのユーザー名とグループ名を一覧表示し、課題を共有し、課題でユーザーを @メンションすることができます。これはポップアップ画面でのユーザーやグループの選択で使用され、ほとんどの [ユーザー ピッカー] メニューおよびポップアップ画面でユーザー名のオートコンプリートを有効化します。
If you grant this permission to the Anyone group , you will be allowing anonymous users access to the endpoints that provide a list of users
Ensure that this permission is restricted to specific groups that require it. You can restrict it in Administration > System > Global Permissions.
すべての公開コンテンツを制限したい
1. 既存の公開フィルターとダッシュボードの更新
公開フィルターおよびダッシュボードを制限するには、フィルターの共有構成を手動で変更します。フィルターを一括で変更するには、DB クエリで更新を実行する必要があります。
まず、公開共有をオフにし、現在公開共有されているコンテンツを特定していることを確認します。
2. ユーザー参照グローバル権限の確認
この権限が、権限を必要とする特定のグループに制限されていることを確認します。
Go to Administration > System > Global Permissions.
[Jira 権限] の [ユーザーの参照] 権限に移動します。
こちらの説明に従い、この権限から "すべてのユーザー" グループを削除します。
3. 検索エンジンのクローラーのアクセスの確認
検索エンジンからのアクセスを制御する方法については、「robots.txt を使用して検索エンジンから隠す」ドキュメントを参照してください。
検索エンジンのクローラーから特定のページを制限した後、検索エンジンによってキャッシュ済みの情報が利用できなくなるまでに、数日かかる場合があります。キャッシュされたすべての情報を検索エンジンから即座に削除する唯一の方法は、サービス プロバイダー (例: Google) に直接連絡することです。削除をリクエストしているコンテンツの所有者である証拠を提示する必要があります。
4. すべての匿名アクセスをブロック
このセクションの回避策を適用する前に、ロード バランサー / リバース プロキシのヘルス チェックが GET /status
を送信するよう適切に構成されていることを確認してください。
ヘルス チェックのターゲットが GET /
のみである場合、機能フラグの適用後、ロード バランサーによってノードが不健全であると報告されます。
Refer to Load balancer configuration options for further details on configuring the health check.
Since Jira 7.2.10, a dark feature to disable site-wide anonymous access was introduced.
ダーク機能を有効にしてパブリック アクセスを無効にするには、次の手順を実行します。
- 管理者としてログインし、<ベース URL>/secure/SiteDarkFeatures!default.jspa に移動します。
- [ダーク機能を有効にする] テキスト フィールドに「public.access.disabled」を追加します。
You can follow this feature request: - JRASERVER-65521Getting issue details... STATUS .