Atlassian Cloud の各サービス、代表的なサービスとしてはJira Software・Confluence・Trello・Bitbucket などがありますが、OneLoginからこれらサービスへのシングルサインオン・ユーザプロビジョニングをご利用頂くには、各製品ごとではなくAtlassianの組織(貴社テナント全体)に対して一括のシングルサインオン設定・ユーザプロビジョニング設定が必要となります。
本記事では、OneLogin から Atlassian Cloud へのSAML シングルサインオン(SSO)の設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスプラン が SSO, Advanced, Professional または旧ライセンスプラン Starter, Enterprise, Unlimited のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- Atlassian Cloudのライセンスが Atlassian Guard Standard であること
- Atlassian CloudにおけるRoleが Organization admin であること
OneLogin側の設定
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
- アプリケーションを検索 の検索欄に、 Atlassian Cloud を入力しSAML2.0コネクタを選択します
- [Save]をクリックします
-
SSO タブに移動し、SAML Signature Algorithm を SHA-256 に変更します
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択後、[Save]をクリックします
-
SSO タブに移動し、Issuer URL と SAML2.0 Endpoint(HTTP) をクリップボードへコピーします
-
View Details をクリックします
-
X.509 Certificate の内容をクリップボードへコピーします
Atlassian Cloud側の設定
1. ドメイン認証
ドメイン認証を行ったドメインのユーザーのみがシングルサインオンを利用することができます
(既にドメイン認証がお済みの方は、2-1. をスキップしていただいて問題ありません)
- Atlassian Cloudの管理者ページ( admin.atlassian.com )にログインします
[管理コンソール]>[設定]>[ドメイン]のページを開き、ページに記載してあるTXTレコードをコピーしておきます
- お使いのDNSホストにコピーしたTXTレコードを追加します
(以下は Amazon Web Services の Route 53 による設定になります)
- [ドメインを認証]をクリックします
- ドメインの所有権を認証します
- 認証したドメイン用にアカウントを要求 と表示されますので、[後で]をクリックします
-
VERIFIED と表示されていれば、ドメイン認証は完了です
2. SAML認証の設定
- セキュリティ > SAML シングルサインオン に移動します
- [SAML 構成を追加]をクリックします
-
1. OneLoginの設定 で取得した内容を以下の通りに設定し、[構成を保存]をクリックします
項目 入力値 IdP の Entity ID Issuer URL IdP の SSO URL SAML 2.0 Endpoint (HTTP) 公開 x509 証明書 onelogin.pem
-
SP エンティティ ID の末尾の文字列をクリップボードへコピーします
例)SP エンディティ ID がhttps://auth.atlassian.com/saml/e7bf6618-f9da-4994-a7e4-8a8ceb3759d0の場合、e7bf6618-f9da-4994-a7e4-8a8ceb3759d0のみをクリップボードへコピーします。
-
1. OneLogin側の設定 のコネクタ編集画面から Configurations タブへ移動し、 Atlassian SAML ID と Atlassian Site URL を入力し、[Save]をクリックします
項目 入力値 Atlassian SAML ID SAML 構成 でコピーした IDを貼り付けます Atlassian Site URL お使いのatlassianの環境のURLを入力します
( https://{サブドメイン}.atlassian.net)
3. 認証ポリシーの設定
シングルサインオンを実現するためには、シングルサインオンを有効化した認証ポリシーをメンバーに適用する必要があります
- [認証ポリシー]>[ポリシーを追加]をクリックし、シングルサインオンを必須化する新しい認証ポリシーを設定します(既存の認証ポリシーをご利用になりたい場合は一覧から選んでクリックします)
- ポリシーに名前をつけ、[追加]をクリックします
- ポリシーの追加後、ポリシーに割り当てるメンバーの設定をしていきます
メンバー タブに移動し、[メンバーを追加]をクリックします
- シングルサインオンを必須化するメンバーを選択します
追加するメンバーが多い場合は、CSVによる一括入力も可能です
- ポリシーの設定画面へ移動します
[シングルサインオンを適用]にチェックを入れ、[更新]で設定を保存します
この時点で認証ポリシーが適用されたユーザーはOneLoginからのシングルサインオンが必須となります
SAML連携の設定は以上です。
SAML SSOの動作確認
- OneLoginに対象ユーザーでログインし、設定した Atlassian Cloud を選択します
- SAML認証が完了し、Atlassian CloudにSSOされることを確認します
SAML SSOの動作確認は以上です。
SAML SSOの無効化
- Atlassian Cloudの管理者ページ( admin.atlassian.com )にログインします
セキュリティ > 認証ポリシー に移動し、適用している認証ポリシーをクリックします
-
シングルサインオンを適用 のチェックを外します
- [更新]をクリックします
SAML SSOの無効化は以上です。