Atlassian Cloud の各サービス、代表的なサービスとしてはJira Software・Confluence・Trello・Bitbucket などがありますが、OneLoginからこれらサービスへのシングルサインオン・ユーザプロビジョニングをご利用頂くには、各製品ごとではなくAtlassianの組織(貴社テナント全体)に対して一括のシングルサインオン設定・ユーザプロビジョニング設定が必要となります。
本記事では、OneLoginからAtlassian CloudへのSAML シングルサインオン(SSO)の設定手順をご案内します。
目次
事前準備
AtlassianのクラウドサービスとSAML2.0 シングルサインオン連携を実施するには、Atlassian の各サービスライセンス(例: Jira Software Standard / Premium など)とは別に、Atlassian Access ライセンスが必要です
Atlassian Access をまだご契約されていないお客様は、ライセンス費用や無料トライアルについてAtlassian ウェブサイトまたはAtlassian の販売代理店までご相談ください
https://www.atlassian.com/ja/software/access
前提条件
- OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- Atlassian Access のライセンスをお持ちであること
- Atlassian Cloud における管理者権限をお持ちであること
1. OneLogin側の設定
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
- アプリケーションを検索 の検索欄に、 Atlassian Cloud を入力しSAML2.0コネクタを選択します
- Add Atlassian Cloud ページのDisplay Nameで、OneLoginポータルでの表示名を設定します
例:Atlassian Cloud
次に[Save]をクリックしてアプリを追加します
- SSO > X.509 Certificate の[View Details]をクリックします
-
X.509 Certificate の内容をクリップボードへコピーします
-
SSOタブに戻り、SAML Signature Algorithm をSHA-256に変更し、[Save]をクリックします
-
Issuer URL, SAML2.0 Endpoint(HTTP) の内容をコピーします
-
Access タブへ移動し、Roles よりAtlassian Cloudへのアクセス権限を付与するロールを割り当て、[Save]をクリックします
2. Atlassian CloudのSAML認証の設定
2.1 ドメイン認証
ドメイン認証を行ったドメインのユーザーのみがシングルサインオンを利用することができます
(既にドメイン認証がお済みの方は、2-1. をスキップしていただいて問題ありません)
- Atlassian Cloudの管理者ページ( admin.atlassian.com )にログインします
[管理コンソール]>[設定]>[ドメイン]のページを開き、ページに記載してあるTXTレコードをコピーしておきます
- お使いのDNSホストにコピーしたTXTレコードを追加します
(以下は Amazon Web Services の Route 53 による設定になります)
- [ドメインを認証]をクリックし、ドメインの所有権の認証を行います
- 認証したドメイン用にアカウントを要求 と表示されますので、[後で]をクリックします
-
VERIFIED と表示されていれば、ドメイン認証は完了です
2.2 SAML認証の設定
- [セキュリティ]>[SAML シングルサインオン]のページを開きます
- [SAML 構成を追加]をクリックします
-
1. OneLoginの設定 の手順6、手順8でコピーした IdP の Entity ID、IdP の SSO URL、公開 x509 証明書 を入力し、[構成を保存]をクリックします
Atlassian Cloud側に設定する設定値一覧Atlassian Cloudの項目 OneLoginの値 IdP の Entity ID Issuer URL IdP の SSO URL SAML 2.0 Endpoint (HTTP) 公開 x509 証明書 SSO タブ >[View Details]でコピーした証明書を貼り付けます
-
設定した SAML 構成 が表示されますので、SP エンティティ ID のURLの末端にある SAML ID をコピーします
例:
SP エンディティ IDがhttps://auth.atlassian.com/saml/e7bf6618-f9da-4994-a7e4-8a8ceb3759d0の場合、https://auth.atlassian.com/saml/ 以降の
e7bf6618-f9da-4994-a7e4-8a8ceb3759d0の箇所のみをコピーします
- OneLoginの管理者画面へ移動します
[管理者画面]>[Applications]>[Applications]より先ほど設定したAtlassian Cloudのコネクタの設定画面へ移動します
-
Configurations タブへ移動し、 Atlassian SAML ID、Atlassian Site URL を入力し、[Save]をクリックします
OneLogin側に設定する設定値一覧OneLoginの項目 Atlassianの値 Atlassian SAML ID SAML 構成 でコピーした IDを貼り付けます Atlassian Site URL お使いのatlassianの環境のURLを入力します
( https://{サブドメイン}.atlassian.net)
2.3 認証ポリシーの設定
シングルサインオンを実現するためには、シングルサインオンを有効化した認証ポリシーをメンバーに適用する必要があります
- [認証ポリシー]>[ポリシーを追加]をクリックし、シングルサインオンを必須化する新しい認証ポリシーを設定します(既存の認証ポリシーをご利用になりたい場合は一覧から選んでクリックします)
- ポリシーに名前をつけ、[追加]をクリックします
- ポリシーの追加後、ポリシーに割り当てるメンバーの設定をしていきます
メンバー タブに移動し、[メンバーを追加]をクリックします
- シングルサインオンを必須化するメンバーを選択します
追加するメンバーが多い場合は、CSVによる一括入力も可能です
- ポリシーの設定画面へ移動します
[シングルサインオンを適用]にチェックを入れ、[更新]で設定を保存します
この時点で認証ポリシーが適用されたユーザーはOneLoginからのシングルサインオンが必須となります
以上でSAML認証の設定は完了です。
3. SAML認証の確認
- ユーザーはポータル画面を開き、ポータル画面から Atlassian Cloud をクリックします
- 以下のような画面が表示されると、SAML認証が成功です
4. SAML シングルサインオンの無効化
- Atlassian Cloudの管理者ページ( admin.atlassian.com )にログインします
[管理コンソール]>[セキュリティ]>[認証]のページへ移動し、適用している認証ポリシーをクリックします
- [シングルサインオンを適用]のチェックを外し、[更新]をクリックします
以上でSAML連携の解除は完了です。