次の方法で共有

Microsoft による Confluence SAML SSO を Microsoft Entra ID でシングルサインオンするために構成します。

この記事では、Confluence SAML SSO by Microsoft と Microsoft Entra ID を統合する方法について説明します。 Confluence SAML SSO by Microsoft と Microsoft Entra ID を統合すると、次のことができます。

  • Confluence SAML SSO by Microsoft にアクセスできるユーザーを Microsoft Entra ID で制御できます。
  • ユーザーが自分の Microsoft Entra アカウントを使用して Confluence SAML SSO by Microsoft に自動的にサインインできるように設定できます。
  • 1 つの場所でアカウントを管理します。

説明:

Microsoft Entra アカウントと Atlassian Confluence サーバーを使用して、シングル サインオンを有効にします。 これにより、組織のすべてのユーザーが、Microsoft Entra の資格情報を使用して Confluence アプリケーションにサインインできます。 このプラグインは、フェデレーションに SAML 2.0 を使用します。

前提条件

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

  • 64 ビットの Windows サーバー (オンプレミスまたはクラウド IaaS インフラストラクチャ) にインストールされている Confluence サーバー アプリケーション。
  • Confluence サーバーの HTTPS が有効になっていること。
  • Confluenceプラグインのサポートされているバージョンは下記のセクションに記載されていますので、ご確認ください。
  • Confluence サーバーが認証のためにインターネット、特に Microsoft Entra ログイン ページにアクセスでき、Microsoft Entra ID からトークンを受け取れること。
  • 管理者の資格情報が Confluence に設定されていること。
  • WebSudo が Confluence で無効になっていること。
  • テスト ユーザーが Confluence サーバー アプリケーションで作成されていること。

この記事の手順をテストするために、Confluence の運用環境を使用することはお勧めしません。 最初にアプリケーションの開発環境またはステージング環境で統合をテストし、そのあとに運用環境を使用してください。

この統合は、Microsoft Entra 米国政府クラウド環境から利用することもできます。 このアプリケーションは、Microsoft Entra 米国政府クラウドのアプリケーション ギャラリーにあり、パブリック クラウドの場合と同じように構成できます。

開始するには、次が必要です。

  • 必要な場合を除き、運用環境を使用しないでください。
  • Microsoft Entra サブスクリプション。 サブスクリプションをお持ちでない場合は、 無料アカウントを取得できます。
  • Confluence SAML SSO by Microsoft でのシングル サインオン (SSO) が有効なサブスクリプション。

Confluence のアプリケーション プロキシ構成については、 この 記事を参照してください。

サポートされている Confluence のバージョン

現時点では、次のバージョンの Confluence がサポートされています。

  • Confluence: 5.0 から 5.10
  • Confluence: 6.0.1 から 6.15.9
  • Confluence: 7.0.1 から 7.20.3
  • Confluence: 8.0.0 から 8.9.8
  • Confluence: 9.0.1 から 9.5.1

Confluence プラグインは 、サポートされなくなった Ubuntu 16.04 で最後にサポートされていることに注意してください。 このプラグインでは 、Windows のみがサポートされるようになりました。

シナリオの説明

この記事では、テスト環境で Microsoft Entra SSO を構成してテストします。

  • Confluence SAML SSO by Microsoft では、 SP Initiated SSO がサポートされています。

Microsoft Entra ID への Confluence SAML SSO by Microsoft の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に Confluence SAML SSO by Microsoft を追加する必要があります。

  1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
  2. Entra ID>のエンタープライズアプリ>に移動し、新しいアプリケーションを選択します。
  3. [ギャラリーからの追加] セクションで、検索ボックスに「Confluence SAML SSO by Microsoft」と入力します。
  4. 結果のパネルから Confluence SAML SSO by Microsoft を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、 エンタープライズ アプリ構成ウィザードを使用することもできます。 このウィザードでは、テナントにアプリケーションを追加したり、ユーザー/グループをアプリに追加したり、ロールを割り当てたり、SSO 構成を確認したりできます。 Microsoft 365 ウィザードの詳細を確認します

Confluence SAML SSO by Microsoft の Microsoft Entra SSO の構成とテスト

B.Simon というテスト ユーザーを使用して、Confluence SAML SSO by Microsoft に対する Microsoft Entra SSO を構成してテストします。 SSO を機能させるために、Microsoft Entra ユーザーと Confluence SAML SSO by Microsoft の関連ユーザーの間で、リンク関係を確立する必要があります。

Microsoft による Confluence SAML SSO と Microsoft Entra シングル サインオンを構成およびテストするには、次の手順を実行してください。

  1. Microsoft Entra SSO を構成 する - ユーザーがこの機能を使用できるようにします。
    1. Microsoft Entra テスト ユーザーの作成 - B.Simon で Microsoft Entra のシングル サインオンをテストします。
    2. Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
  2. Confluence SAML SSO by Microsoft SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
    1. Confluence SAML SSO by Microsoft テスト ユーザーの作成 - Confluence SAML SSO by Microsoft で B.Simon に対応するユーザーを作成し、Microsoft Entra の B.Simon にリンクさせます。
  3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

次の手順に従って Microsoft Entra SSO を有効にします。

  1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。

  2. [Entra ID]>[エンタープライズ アプリ]>[Confluence SAML SSO by Microsoft]>[シングル サイン オン] の順に移動します。

  3. [ シングル サインオン方法の選択 ] ページで、[SAML] を選択 します

  4. [ SAML でのシングル サインオンの設定 ] ページで、[ 基本的な SAML 構成 ] の鉛筆アイコンを選択して設定を編集します。

    基本的な SAML 構成を編集する方法を示すスクリーンショット。

  5. [ 基本的な SAML 構成] セクションで、次の手順を実行します。

    a. [ 識別子 ] ボックスに、次のパターンを使用して URL を入力します。 https://<DOMAIN:PORT>/

    b。 [ 応答 URL ] テキスト ボックスに、次のパターンを使用して URL を入力します。 https://<DOMAIN:PORT>/plugins/servlet/saml/auth

    c. [ サインオン URL ] テキスト ボックスに、次のパターンを使用して URL を入力します。 https://<DOMAIN:PORT>/plugins/servlet/saml/auth

    これらの値は実際の値ではありません。 実際の識別子、応答 URL、サインオン URL でこれらの値を更新します。 名前付き URL である場合は、ポートは省略できます。 これらの値は Confluence プラグインの構成中に受け取られます。これについては、この記事の後半で説明します。

  6. [ SAML でのシングル サインオンの設定 ] ページの [ SAML 署名証明書 ] セクションで、[コピー] ボタンを選択して アプリのフェデレーション メタデータ URL を コピーし、コンピューターに保存します。

    [証明書のダウンロード] リンクを示すスクリーンショット。

Microsoft Entra テスト ユーザーの作成と割り当て

ユーザー アカウントの作成と割り当ての クイックスタートのガイドラインに従って、B.Simon というテスト ユーザー アカウントを作成します。

Microsoft による Confluence SAML SSO の SSO 構成

  1. 別の Web ブラウザー ウィンドウで、Confluence インスタンスに管理者としてサインインします。

  2. 歯車アイコンをポイントして、アドオンを選択します。

    [歯車] アイコンが選択され、ドロップダウン メニューで [アドオン] が強調表示されているスクリーンショット。

  3. Microsoft ダウンロード センターからプラグインをダウンロードします。 [アドオンのアップロード] メニューを使用して、Microsoft が提供するプラグインを手動 でアップロード します。 プラグインのダウンロードは、 Microsoft サービス契約の対象となります。

    [アドオンのアップロード] アクションが選択されている [Manage add-ons]\(アドオンの管理\) ページを示すスクリーンショット。

  4. Confluence のリバース プロキシ シナリオまたはロード バランサー シナリオを実行するには、次の手順を実行します。

    以下の手順に従って最初にサーバーを構成した後、プラグインをインストールする必要があります。

    a. JIRA サーバー アプリケーションのserver.xml ファイルの コネクタ ポートに次の属性を追加します。

    scheme="https" proxyName="<subdomain.domain.com>" proxyPort="<proxy_port>" secure="true"

    b。 プロキシ/ロード バランサーに従って、システム設定ベース URL を変更します。

    [管理 - 設定] ページを示すスクリーンショット。[ベース URL] が強調表示されています。

  5. プラグインがインストールされると、[アドオンの管理] セクションの [ ユーザーがインストールした アドオン] セクション 表示されます。 [ 構成] を 選択して新しいプラグインを構成します。

  6. 構成ページで次の手順を実行します。

    ヒント

    メタデータの解決でエラーが発生しないように、アプリに対してマップされている証明書が 1 つしかないようにします。 証明書が複数ある場合は、メタデータの解決の際に管理者に対してエラーが表示されます。

    シングル サインオン構成ページを示すスクリーンショット。

    1. [ メタデータ URL ] ボックスに、コピーした アプリのフェデレーション メタデータ URL の値を貼り付け、[ 解決 ] ボタンを選択します。 IdP メタデータ URL が読み取られ、すべてのフィールド情報が設定されます。

    2. [識別子]、[応答 URL]、[サインオン URL] の各値をコピーし、[基本的な SAML 構成] セクションの [識別子]、[応答 URL]、および [サインオン URL] ボックスにそれぞれ貼り付けます。

    3. [ ログイン ボタン名] に、組織がユーザーにログイン画面で表示するボタンの名前を入力します。

    4. [ ログイン ボタンの説明] に、組織がユーザーにログイン画面で表示するボタンの説明を入力します。

    5. [既定のグループ] で、新しいユーザーに割り当てる組織の既定のグループを選択します (既定のグループは、新しいユーザー アカウントへの整理されたアクセス権を容易にします)。

    6. 自動作成ユーザー機能 (JIT ユーザー プロビジョニング): 承認された Web アプリケーションでのユーザー アカウントの作成を自動化します。手動プロビジョニングは必要ありません。 これにより、管理ワークロードが削減され、生産性が向上します。 JIT は Azure AD からのログイン応答に依存するため、ユーザーのメールアドレス、姓、名を含む SAML 応答属性値を入力します。

    7. SAML ユーザー ID の場所で、ユーザー ID が Subject ステートメントの NameIdentifier 要素に含まれているか、ユーザー ID が Attribute 要素内にあるかどうかを選択します。 この ID は Confluence ユーザー ID である必要があります。 ユーザー ID が一致しない場合、システムはユーザーのサインインを許可しません。

      既定の SAML ユーザー ID の場所は、名前識別子です。 属性オプションでこれを変更して、適切な属性名を入力できます。

    8. [ 属性要素] オプションで [ユーザー ID] を選択した場合は、[ 属性名 ] ボックスに、ユーザー ID が必要な属性の名前を入力します。

    9. Microsoft Entra ID でフェデレーション ドメイン (ADFS など) を使用している場合は、[ ホーム領域検出を有効にする ] オプションを選択し 、ドメイン名を構成します。

    10. [ ドメイン名] に、ADFS ベースのログインの場合は、ここでドメイン名を入力します。

    11. ユーザーが Confluence からサインアウトするときに Microsoft Entra ID からサインアウトする場合は、[ シングル サインアウトを有効にする] をオンにします

    12. Microsoft Entra 資格情報のみを使用してサインインする場合は、[ Azure ログインの強制 ] チェック ボックスをオンにします。

      Azure ログインの強制を有効にしたときにログイン ページで管理ログインの既定のログイン フォームを有効にするには、ブラウザー URL にクエリ パラメーターを追加します。 https://<DOMAIN:PORT>/login.action?force_azure_login=false

    13. アプリケーション プロキシの セットアップでオンプレミスの atlassian アプリケーションを構成している場合は、[アプリケーション プロキシの使用] チェック ボックスをオンにします。 アプリ プロキシのセットアップについては、 Microsoft Entra アプリケーション プロキシのドキュメントの手順に従います。

    14. [ 保存] ボタンを選択して設定を保存します。

      インストールとトラブルシューティングの詳細については、 MS Confluence SSO Connector 管理者ガイドを参照してください。 サポートに関する FAQ もあります。

Confluence SAML SSO by Microsoft のテスト ユーザーの作成

オンプレミス サーバーで Microsoft Entra ユーザーの Confluence へのサインインを有効にするには、そのユーザーを Confluence SAML SSO by Microsoft にプロビジョニングする必要があります。 Confluence SAML SSO by Microsoft では、手動でプロビジョニングします。

ユーザー アカウントをプロビジョニングするには、次の手順に従います。

  1. 管理者として、オンプレミス サーバーの Confluence にサインインします。

  2. 歯車アイコンをポイントし、[ ユーザー管理] を選択します。

    従業員の追加

  3. [ユーザー] セクションで、[ ユーザーの追加 ] タブを選択します。[ ユーザーの追加 ] ダイアログ ページで、次の手順を実行します。

    [ユーザーの追加] タブが選択され、[ユーザーの追加] 情報が入力された [Confluence administration]\(Confluence 管理\) を示すスクリーンショット。

    a. [Username]\( ユーザー名 \) テキストボックスに、B.Simon のようなユーザーの電子メールを入力します。

    b。 [Full Name]\( フル ネーム \) ボックスに、B.Simon などのユーザーのフル ネームを入力します。

    c. [ 電子メール ] ボックスに、ユーザーのメール アドレス ( B.Simon@contoso.comなど) を入力します。

    d. [ パスワード ] ボックスに、B.Simon のパスワードを入力します。

    e. [ パスワードの確認] を選択して、パスワードを再入力します。

    f. [ 追加] ボタンを 選択します。

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。

  • [ このアプリケーションをテストする] を選択すると、このオプションは、ログイン フローを開始できる Confluence SAML SSO by Microsoft サインオン URL にリダイレクトされます。

  • Confluence SAML SSO by Microsoft のサインオン URL に直接移動し、そこからログイン フローを開始します。

  • Microsoft マイ アプリを使用することができます。 マイ アプリで [Confluence SAML SSO by Microsoft] タイルを選択すると、このオプションは Confluence SAML SSO by Microsoft のサインオン URL にリダイレクトされます。 マイ アプリの詳細については、「マイ アプリの 概要」を参照してください。

関連コンテンツ

Confluence SAML SSO by Microsoft を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用できます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を適用する方法について説明します