チュートリアル: JIRA SAML SSO by Microsoft と Microsoft Entra SSO の統合
このチュートリアルでは、JIRA SAML SSO by Microsoft と Microsoft Entra ID を統合する方法について説明します。 JIRA SAML SSO by Microsoft と Microsoft Entra ID を統合すると、次のことができます。
- JIRA SAML SSO by Microsoft にアクセスできるユーザーを Microsoft Entra ID で制御できます。
- ユーザーが自分の Microsoft Entra アカウントを使用して JIRA SAML SSO by Microsoft に自動的にサインインできるように設定できます。
- 1 つの場所でアカウントを管理します。
説明
Microsoft Entra アカウントを Atlassian JIRA サーバーで使用して、シングル サインオンを有効にします。 これにより、組織のすべてのユーザーが、Microsoft Entra の資格情報を使用して JIRA アプリケーションにサインインできます。 このプラグインは、フェデレーションに SAML 2.0 を使用します。
前提条件
JIRA SAML SSO by Microsoft と Microsoft Entra の統合を構成するには、次のものが必要です。
- Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
- JIRA Core と Software 6.4 から 9.10.0 または JIRA Service Desk 3.0 から 4.22.1 が Windows 64 ビット版にインストールおよび構成されている必要があります。
- JIRA サーバーで HTTPS が有効になっている。
- JIRA プラグインがサポートされているバージョンであること (下記のセクションをご覧ください)
- JIRA サーバーが認証のためにインターネット、特に Microsoft Entra ログイン ページにアクセスでき、Microsoft Entra ID からトークンを受け取れること。
- 管理者の資格情報が JIRA で設定されている。
- WebSudo が JIRA で無効になっている。
- テスト ユーザーが JIRA サーバー アプリケーションで作成されている。
注意
このチュートリアルの手順をテストする場合、JIRA の運用環境を使用しないことをお勧めします。 最初にアプリケーションの開発環境またはステージング環境で統合をテストし、そのあとに運用環境を使用してください。
開始するには、次が必要です。
- 必要な場合を除き、運用環境は使用しないでください。
- JIRA SAML SSO by Microsoft でのシングル サインオン (SSO) が有効なサブスクリプション。
Note
この統合は、Microsoft Entra 米国政府クラウド環境から利用することもできます。 このアプリケーションは、Microsoft Entra 米国政府クラウドのアプリケーション ギャラリーにあり、パブリック クラウドの場合と同じように構成できます。
サポートされている JIRA のバージョン
- JIRA Core とソフトウェア: 6.4 から 9.10.0。
- JIRA Service Desk 3.0 から 4.22.1。
- JIRA は 5.2 もサポートします。 詳細については、JIRA 5.2 の Microsoft Entra シングル サインオンに関する記事を参照してください。
Note
JIRA プラグインは、Ubuntu Version 16.04 と Linux でも動作することに注意してください。
シナリオの説明
このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。
- JIRA SAML SSO by Microsoft では、SP によって開始される SSO がサポートされます。
ギャラリーからの JIRA SAML SSO by Microsoft の追加
Microsoft Entra ID への JIRA SAML SSO by Microsoft の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に JIRA SAML SSO by Microsoft を追加する必要があります。
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
- [ギャラリーから追加する] セクションで、検索ボックスに、「JIRA SAML SSO by Microsoft」と入力します。
- 結果のパネルから [JIRA SAML SSO by Microsoft] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。
または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。
JIRA SAML SSO by Microsoft の Microsoft Entra SSO の構成とテスト
B.Simon というテスト ユーザーを使用して、JIRA SAML SSO by Microsoft に対する Microsoft Entra SSO を構成してテストします。 SSO を機能させるために、Microsoft Entra ユーザーと JIRA SAML SSO by Microsoft の関連ユーザーの間で、リンク関係を確立する必要があります。
JIRA SAML SSO by Microsoft で Microsoft Entra シングル サインオンを構成するには、次の手順を実行します。
- Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
- Microsoft Entra のテスト ユーザーの作成 - B.Simon を使用して Microsoft Entra シングル サインオンをテストします。
- Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
- JIRA SAML SSO by Microsoft の SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
- JIRA SAML SSO by Microsoft テスト ユーザーの作成 - JIRA SAML SSO by Microsoft で B.Simon に対応するユーザーを作成し、Microsoft Entra の B.Simon にリンクさせます。
- SSO のテスト - 構成が機能するかどうかを確認します。
Microsoft Entra SSO の構成
次の手順に従って Microsoft Entra SSO を有効にします。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[JIRA SAML SSO by Microsoft]>[シングル サインオン] を参照します。
[シングル サインオン方式の選択] ページで、 [SAML] を選択します。
[SAML によるシングル サインオンのセットアップ] ページで、 [基本的な SAML 構成] の鉛筆アイコンをクリックして設定を編集します。
[基本的な SAML 構成] セクションで、次の手順を実行します。
a. [識別子] ボックスに、
https://<domain:port>/
という形式で URL を入力します。b. [応答 URL] ボックスに、
https://<domain:port>/plugins/servlet/saml/auth
のパターンを使用して URL を入力しますa. [サインオン URL] ボックスに、
https://<domain:port>/plugins/servlet/saml/auth
という形式で URL を入力します。注意
これらは実際の値ではありません。 実際の識別子、応答 URL、サインオン URL でこれらの値を更新します。 名前付き URL である場合は、ポートは省略できます。 これらの値は JIRA プラグインの構成中に受け取ります (これについてはこのチュートリアルの後半で説明します)。
[Set up single sign-on with SAML](SAML でシングル サインオンをセットアップします) ページの [SAML 署名証明書] セクションで、コピー ボタンをクリックして [アプリのフェデレーション メタデータ URL] をコピーして、お使いのコンピューターに保存します。
Microsoft Entra ID の名前 ID 属性は、[属性とクレーム] セクションを編集することで必要なあらゆるユーザー属性にマップできます。
a. [編集] をクリックした後、[一意のユーザー識別子 (名前 ID)] をクリックして、必要なあらゆるユーザー属性をマップできます。
b. 次の画面では、[ソース属性] ドロップダウン メニューから user.userprincipalname などの必要な属性名をオプションとして選択できます。
c. その後、上部にある [保存] ボタンをクリックして、選択内容を保存できます。
d. これで、Microsoft Entra ID の user.userprincipalname 属性ソースが Microsoft Entra の名前 ID 属性名にマップされ、SSO プラグインによって Atlassian のユーザー名属性と比較されます。
注意
Microsoft Azure によって提供される SSO サービスでは、名、姓、電子メール (電子メール アドレス)、ユーザー プリンシパル名 (ユーザー名) などのさまざまな属性を使用してユーザー識別を実行できる SAML 認証がサポートされています。 電子メール アドレスは Microsoft Entra ID によって常に検証されるとは限らないため、電子メールを認証属性として使用しないことをお勧めします。 このプラグインは、有効なユーザー認証を決定するために、Atlassian のユーザー名属性の値と Microsoft Entra ID の NameID 属性を比較します。
Azure テナントにゲスト ユーザーが存在している場合は、次の構成手順に従います。
a. 鉛筆アイコンをクリックして、[属性とクレーム] セクションに移動します。
b. [属性とクレーム] セクションの [NameID] をクリックします。
c. ユーザーの種類に基づいてクレーム条件を設定します。
Note
メンバーには
user.userprinciplename
、外部ゲストにはuser.mail
を NameID 値として指定します。d. 変更を [保存] して、外部ゲスト ユーザーの SSO を確認します。
Microsoft Entra テスト ユーザーを作成する
このセクションでは、B.Simon というテスト ユーザーを作成します。
- Microsoft Entra 管理センターにユーザー管理者以上でサインインしてください。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
- [ユーザー] プロパティで、以下の手順を実行します。
- "表示名" フィールドに「
B.Simon
」と入力します。 - [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、「
B.Simon@contoso.com
」のように入力します。 - [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
- [Review + create](レビュー + 作成) を選択します。
- "表示名" フィールドに「
- [作成] を選択します。
Microsoft Entra テスト ユーザーを割り当てる
このセクションでは、JIRA SAML SSO by Microsoft へのアクセスを許可することで、B.Simon が シングル サインオンを使用できるようにします。
- クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[JIRA SAML SSO by Microsoft] を参照します。
- アプリの概要ページで、[ユーザーとグループ] を選択します。
- [ユーザーまたはグループの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。
- [ユーザーとグループ] ダイアログの [ユーザー] の一覧から [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。
- ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
- [割り当ての追加] ダイアログで、 [割り当て] をクリックします。
JIRA SAML SSO by Microsoft の SSO の構成
別の Web ブラウザー ウィンドウで、JIRA インスタンスに管理者としてサインインします。
歯車をポイントし、 [Add-ons](アドオン) をクリックします。
Microsoft ダウンロード センターからプラグインをダウンロードします。 [Upload add-on](アドオンのアップロード) メニューを使用して、Microsoft が提供しているプラグインを手動でアップロードします。 プラグインのダウンロードは、Microsoft サービス規約の対象です。
JIRA のリバース プロキシ シナリオまたはロード バランサー シナリオを実行するには、次の手順を実行します。
注意
以下の手順に従って最初にサーバーを構成した後、プラグインをインストールする必要があります。
a. JIRA サーバー アプリケーションの server.xml ファイルの connector ポートに以下の属性を追加します。
scheme="https" proxyName="<subdomain.domain.com>" proxyPort="<proxy_port>" secure="true"
b. プロキシ/ロード バランサーに従って、 [システム設定] の [ベース URL] を変更します。
プラグインがインストールされると、 [アドオンの管理] セクションの [User Installed](ユーザー インストール) アドオン セクションに表示されます。 [Configure](構成) をクリックして、新しいプラグインを構成します。
構成ページで次の手順を実行します。
ヒント
メタデータの解決でエラーが発生しないように、アプリに対してマップされている証明書が 1 つしかないようにします。 証明書が複数ある場合は、メタデータの解決の際に管理者に対してエラーが表示されます。
a. [メタデータ URL] テキスト ボックスに、コピーした [アプリのフェデレーション メタデータ URL] 値を貼り付け、[解決] ボタンをクリックします。 IdP メタデータ URL が読み取られ、すべてのフィールド情報が設定されます。
b. 識別子、応答 URL、サインオン URL の値をコピーして、Azure Portal の [JIRA SAML SSO by Microsoft Domain and URLs]/(JIRA SAML SSO by Microsoft のドメインと URL\) セクションにある 識別子、応答 URL、サインオン URL ボックスにそれぞれ貼り付けます。
c. ユーザーのログイン画面に表示するボタン名を [Login Button Name](ログイン ボタン名) に入力します。
d. ユーザーのログイン画面に表示するボタンの説明を [Login Button Description](ログイン ボタンの説明) に入力します。
e. [SAML User ID Locations](SAML ユーザー ID の場所) で、 [User ID is in the NameIdentifier element of the Subject statement](Subject ステートメントの NameIdentifier 要素内のユーザー ID) 、または [User ID is in an Attribute element](Attribute 要素内のユーザー ID) を選択します。 この ID は JIRA ユーザー ID である必要があります。 ユーザー ID が一致しない場合、システムはユーザーのサインインを許可しません。
注意
既定の SAML ユーザー ID の場所は、名前識別子です。 属性オプションでこれを変更して、適切な属性名を入力できます。
f. [User ID is in an Attribute element](Attribute 要素内のユーザー ID) を選択する場合は、ユーザー ID が格納されている属性の名前を [Attribute name](属性名) ボックスに入力します。
g. Microsoft Entra ID でフェデレーション ドメイン (ADFS など) を使用している場合は、[ホーム領域の検出を有効にする] オプションをクリックして [ドメイン名] を構成します。
h. ADFS ベースでログインする場合は、 [Domain Name](ドメイン名) にドメイン名を入力します。
i. ユーザーが JIRA からサインアウトしたときに Microsoft Entra ID からもサインアウトさせる場合は、[Enable Single Sign out](シングル サインアウトを有効にする) をオンにします。
j. Microsoft Entra 資格情報でのみサインインする場合は、[Force Azure Login] (Azure ログインを強制する) チェックボックスをオンにします。
Note
Azure ログインの強制を有効にしたときにログイン ページで管理ログインの既定のログイン フォームを有効にするには、ブラウザー URL にクエリ パラメーターを追加します。
https://<domain:port>/login.jsp?force_azure_login=false
k. アプリケーション プロキシのセットアップでオンプレミス atlassian アプリケーションを構成した場合、[アプリケーション プロキシの使用] チェックボックスを有効にします。
- アプリ プロキシのセットアップについては、Microsoft Entra アプリケーション プロキシのドキュメントの手順に従ってください。
l. [Save (保存)] ボタンをクリックして、設定を保存します。
注意
インストールとトラブルシューティングについて詳しくは、MS JIRA SSO コネクタ管理者ガイドのページをご覧ください。 FAQ もご利用いただけます。
JIRA SAML SSO by Microsoft テスト ユーザーの作成
オンプレミス サーバーで Microsoft Entra ユーザーの JIRA へのサインインを有効にするには、そのユーザーを JIRA SAML SSO by Microsoft にプロビジョニングする必要があります。 JIRA SAML SSO by Microsoft では、手動でプロビジョニングします。
ユーザー アカウントをプロビジョニングするには、次の手順に従います。
管理者として、オンプレミス サーバーの JIRA にサインインします。
歯車をポイントし、 [User management](ユーザー管理) をクリックします。
[Administrator Access](管理者アクセス) のページにリダイレクトされるので、パスワードを入力し、 [Confirm](確認) ボタンをクリックします。
[User management](ユーザー管理) タブ セクションで、 [create user](ユーザーの作成) をクリックします。
[Create new user](新しいユーザーの作成) ダイアログ ページで、以下の手順を実行します。
a. [Email address](メール アドレス) ボックスに、ユーザーのメール アドレス (B.simon@contoso.com など) を入力します。
b. [Full Name](フル ネーム) ボックスに、ユーザーのフル ネーム (B.Simon など) を入力します。
c. [Username](ユーザー名) ボックスに、ユーザーの電子メール (B.simon@contoso.com など) を入力します。
d. [Password](パスワード) ボックスに、ユーザーのパスワードを入力します。
e. [Create user](ユーザーの作成) をクリックします。
SSO のテスト
このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。
[このアプリケーションをテスト] をクリックし、ログイン フローを開始できる JIRA SAML SSO by Microsoft のサインオン URL にリダイレクトされます。
JIRA SAML SSO by Microsoft のサインオン URL に直接移動し、そこからログイン フローを開始します。
Microsoft マイ アプリを使用することができます。 マイ アプリの [JIRA SAML SSO by Microsoft] タイルをクリックすると、JIRA SAML SSO by Microsoft のサインオン URL にリダイレクトされます。 マイ アプリの詳細については、マイ アプリの概要に関するページを参照してください。
次のステップ
JIRA SAML SSO by Microsoft を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用できます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。