次の方法で共有

チュートリアル: JIRA SAML SSO by Microsoft と Microsoft Entra SSO の統合

  • [アーティクル]

このチュートリアルでは、JIRA SAML SSO by Microsoft と Microsoft Entra ID を統合する方法について説明します。 JIRA SAML SSO by Microsoft と Microsoft Entra ID を統合すると、次のことができます。

  • JIRA SAML SSO by Microsoft にアクセスできるユーザーを Microsoft Entra ID で制御できます。
  • ユーザーが自分の Microsoft Entra アカウントを使用して JIRA SAML SSO by Microsoft に自動的にサインインできるように設定できます。
  • 1 つの場所でアカウントを管理します。

説明

Microsoft Entra アカウントを Atlassian JIRA サーバーで使用して、シングル サインオンを有効にします。 これにより、組織のすべてのユーザーが、Microsoft Entra の資格情報を使用して JIRA アプリケーションにサインインできます。 このプラグインは、フェデレーションに SAML 2.0 を使用します。

前提条件

JIRA SAML SSO by Microsoft と Microsoft Entra の統合を構成するには、次のものが必要です。

  • Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
  • JIRA Core と Software 6.4 から 9.10.0 または JIRA Service Desk 3.0 から 4.22.1 が Windows 64 ビット版にインストールおよび構成されている必要があります。
  • JIRA サーバーで HTTPS が有効になっている。
  • JIRA プラグインがサポートされているバージョンであること (下記のセクションをご覧ください)
  • JIRA サーバーが認証のためにインターネット、特に Microsoft Entra ログイン ページにアクセスでき、Microsoft Entra ID からトークンを受け取れること。
  • 管理者の資格情報が JIRA で設定されている。
  • WebSudo が JIRA で無効になっている。
  • テスト ユーザーが JIRA サーバー アプリケーションで作成されている。

注意

このチュートリアルの手順をテストする場合、JIRA の運用環境を使用しないことをお勧めします。 最初にアプリケーションの開発環境またはステージング環境で統合をテストし、そのあとに運用環境を使用してください。

開始するには、次が必要です。

  • 必要な場合を除き、運用環境は使用しないでください。
  • JIRA SAML SSO by Microsoft でのシングル サインオン (SSO) が有効なサブスクリプション。

Note

この統合は、Microsoft Entra 米国政府クラウド環境から利用することもできます。 このアプリケーションは、Microsoft Entra 米国政府クラウドのアプリケーション ギャラリーにあり、パブリック クラウドの場合と同じように構成できます。

サポートされている JIRA のバージョン

Note

JIRA プラグインは、Ubuntu Version 16.04 と Linux でも動作することに注意してください。

シナリオの説明

このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。

  • JIRA SAML SSO by Microsoft では、SP によって開始される SSO がサポートされます。

Microsoft Entra ID への JIRA SAML SSO by Microsoft の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に JIRA SAML SSO by Microsoft を追加する必要があります。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
  3. [ギャラリーから追加する] セクションで、検索ボックスに、「JIRA SAML SSO by Microsoft」と入力します。
  4. 結果のパネルから [JIRA SAML SSO by Microsoft] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。

JIRA SAML SSO by Microsoft の Microsoft Entra SSO の構成とテスト

B.Simon というテスト ユーザーを使用して、JIRA SAML SSO by Microsoft に対する Microsoft Entra SSO を構成してテストします。 SSO を機能させるために、Microsoft Entra ユーザーと JIRA SAML SSO by Microsoft の関連ユーザーの間で、リンク関係を確立する必要があります。

JIRA SAML SSO by Microsoft で Microsoft Entra シングル サインオンを構成するには、次の手順を実行します。

  1. Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
    1. Microsoft Entra のテスト ユーザーの作成 - B.Simon を使用して Microsoft Entra シングル サインオンをテストします。
    2. Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
  2. JIRA SAML SSO by Microsoft の SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
    1. JIRA SAML SSO by Microsoft テスト ユーザーの作成 - JIRA SAML SSO by Microsoft で B.Simon に対応するユーザーを作成し、Microsoft Entra の B.Simon にリンクさせます。
  3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

次の手順に従って Microsoft Entra SSO を有効にします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[JIRA SAML SSO by Microsoft]>[シングル サインオン] を参照します。

  3. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。

  4. [SAML によるシングル サインオンのセットアップ] ページで、 [基本的な SAML 構成] の鉛筆アイコンをクリックして設定を編集します。

    基本的な SAML 構成を編集する方法を示すスクリーンショット。

  5. [基本的な SAML 構成] セクションで、次の手順を実行します。

    a. [識別子] ボックスに、https://<domain:port>/ という形式で URL を入力します。

    b. [応答 URL] ボックスに、https://<domain:port>/plugins/servlet/saml/auth のパターンを使用して URL を入力します

    a. [サインオン URL] ボックスに、https://<domain:port>/plugins/servlet/saml/auth という形式で URL を入力します。

    注意

    これらは実際の値ではありません。 実際の識別子、応答 URL、サインオン URL でこれらの値を更新します。 名前付き URL である場合は、ポートは省略できます。 これらの値は JIRA プラグインの構成中に受け取ります (これについてはこのチュートリアルの後半で説明します)。

  6. [Set up single sign-on with SAML](SAML でシングル サインオンをセットアップします) ページの [SAML 署名証明書] セクションで、コピー ボタンをクリックして [アプリのフェデレーション メタデータ URL] をコピーして、お使いのコンピューターに保存します。

    証明書のダウンロード リンクを示すスクリーンショット。

  7. Microsoft Entra ID の名前 ID 属性は、[属性とクレーム] セクションを編集することで必要なあらゆるユーザー属性にマップできます。

    [属性とクレーム] を編集する方法を示すスクリーンショット。

    a. [編集] をクリックした後、[一意のユーザー識別子 (名前 ID)] をクリックして、必要なあらゆるユーザー属性をマップできます。

    [属性とクレーム] の NameID を示すスクリーンショット。

    b. 次の画面では、[ソース属性] ドロップダウン メニューから user.userprincipalname などの必要な属性名をオプションとして選択できます。

    [属性とクレーム] を選択する方法を示すスクリーンショット。

    c. その後、上部にある [保存] ボタンをクリックして、選択内容を保存できます。

    [属性とクレーム] を保存する方法を示すスクリーンショット。

    d. これで、Microsoft Entra ID の user.userprincipalname 属性ソースが Microsoft Entra の名前 ID 属性名にマップされ、SSO プラグインによって Atlassian のユーザー名属性と比較されます。

    [属性とクレーム] を確認する方法を示すスクリーンショット。

    注意

    Microsoft Azure によって提供される SSO サービスでは、名、姓、電子メール (電子メール アドレス)、ユーザー プリンシパル名 (ユーザー名) などのさまざまな属性を使用してユーザー識別を実行できる SAML 認証がサポートされています。 電子メール アドレスは Microsoft Entra ID によって常に検証されるとは限らないため、電子メールを認証属性として使用しないことをお勧めします。 このプラグインは、有効なユーザー認証を決定するために、Atlassian のユーザー名属性の値と Microsoft Entra ID の NameID 属性を比較します。

  8. Azure テナントにゲスト ユーザーが存在している場合は、次の構成手順に従います。

    a. 鉛筆アイコンをクリックして、[属性とクレーム] セクションに移動します。

    [属性とクレーム] を編集する方法を示すスクリーンショット。

    b. [属性とクレーム] セクションの [NameID] をクリックします。

    [属性とクレーム] の NameID を示すスクリーンショット。

    c. ユーザーの種類に基づいてクレーム条件を設定します。

    クレーム条件のスクリーンショット。

    Note

    メンバーには user.userprinciplename、外部ゲストには user.mail を NameID 値として指定します。

    d. 変更を [保存] して、外部ゲスト ユーザーの SSO を確認します。

Microsoft Entra テスト ユーザーを作成する

このセクションでは、B.Simon というテスト ユーザーを作成します。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  3. 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
  4. [ユーザー] プロパティで、以下の手順を実行します。
    1. "表示名" フィールドに「B.Simon」と入力します。
    2. [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、「 B.Simon@contoso.com 」のように入力します。
    3. [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
    4. [Review + create](レビュー + 作成) を選択します。
  5. [作成] を選択します。

Microsoft Entra テスト ユーザーを割り当てる

このセクションでは、JIRA SAML SSO by Microsoft へのアクセスを許可することで、B.Simon が シングル サインオンを使用できるようにします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[JIRA SAML SSO by Microsoft] を参照します。
  3. アプリの概要ページで、[ユーザーとグループ] を選択します。
  4. [ユーザーまたはグループの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。
    1. [ユーザーとグループ] ダイアログの [ユーザー] の一覧から [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。
    2. ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
    3. [割り当ての追加] ダイアログで、 [割り当て] をクリックします。

JIRA SAML SSO by Microsoft の SSO の構成

  1. 別の Web ブラウザー ウィンドウで、JIRA インスタンスに管理者としてサインインします。

  2. 歯車をポイントし、 [Add-ons](アドオン) をクリックします。

    [Settings]\(設定\) メニューの [Add-ons]\(アドオン\) が選択されているスクリーンショット。

  3. Microsoft ダウンロード センターからプラグインをダウンロードします。 [Upload add-on](アドオンのアップロード) メニューを使用して、Microsoft が提供しているプラグインを手動でアップロードします。 プラグインのダウンロードは、Microsoft サービス規約の対象です。

    [Upload add-on]\(アドオンのアップロード\) リンクが強調表示されている [Manage add-ons]\(アドオンの管理\) を示すスクリーンショット。

  4. JIRA のリバース プロキシ シナリオまたはロード バランサー シナリオを実行するには、次の手順を実行します。

    注意

    以下の手順に従って最初にサーバーを構成した後、プラグインをインストールする必要があります。

    a. JIRA サーバー アプリケーションの server.xml ファイルの connector ポートに以下の属性を追加します。

    scheme="https" proxyName="<subdomain.domain.com>" proxyPort="<proxy_port>" secure="true"

    新しい行が追加された、エディター内の server ドット x m l ファイルを示すスクリーンショット。

    b. プロキシ/ロード バランサーに従って、 [システム設定][ベース URL] を変更します。

    ベース U R L を変更できる [Administration Settings]\(管理設定\) を示すスクリーンショット。

  5. プラグインがインストールされると、 [アドオンの管理] セクションの [User Installed](ユーザー インストール) アドオン セクションに表示されます。 [Configure](構成) をクリックして、新しいプラグインを構成します。

    [構成] が選択されている [Microsoft Entra SAML Single Sign-on for Jira] (Jira 用の Microsoft Entra SAML シングル サインオン) セクションを示すスクリーンショット。

  6. 構成ページで次の手順を実行します。

    Jira の Microsoft Entra シングル サインオン構成ページを示すスクリーンショット。

    ヒント

    メタデータの解決でエラーが発生しないように、アプリに対してマップされている証明書が 1 つしかないようにします。 証明書が複数ある場合は、メタデータの解決の際に管理者に対してエラーが表示されます。

    a. [メタデータ URL] テキスト ボックスに、コピーした [アプリのフェデレーション メタデータ URL] 値を貼り付け、[解決] ボタンをクリックします。 IdP メタデータ URL が読み取られ、すべてのフィールド情報が設定されます。

    b. 識別子、応答 URL、サインオン URL の値をコピーして、Azure Portal の [JIRA SAML SSO by Microsoft Domain and URLs]/(JIRA SAML SSO by Microsoft のドメインと URL\) セクションにある 識別子、応答 URL、サインオン URL ボックスにそれぞれ貼り付けます。

    c. ユーザーのログイン画面に表示するボタン名を [Login Button Name](ログイン ボタン名) に入力します。

    d. ユーザーのログイン画面に表示するボタンの説明を [Login Button Description](ログイン ボタンの説明) に入力します。

    e. [SAML User ID Locations](SAML ユーザー ID の場所) で、 [User ID is in the NameIdentifier element of the Subject statement](Subject ステートメントの NameIdentifier 要素内のユーザー ID) 、または [User ID is in an Attribute element](Attribute 要素内のユーザー ID) を選択します。 この ID は JIRA ユーザー ID である必要があります。 ユーザー ID が一致しない場合、システムはユーザーのサインインを許可しません。

    注意

    既定の SAML ユーザー ID の場所は、名前識別子です。 属性オプションでこれを変更して、適切な属性名を入力できます。

    f. [User ID is in an Attribute element](Attribute 要素内のユーザー ID) を選択する場合は、ユーザー ID が格納されている属性の名前を [Attribute name](属性名) ボックスに入力します。

    g. Microsoft Entra ID でフェデレーション ドメイン (ADFS など) を使用している場合は、[ホーム領域の検出を有効にする] オプションをクリックして [ドメイン名] を構成します。

    h. ADFS ベースでログインする場合は、 [Domain Name](ドメイン名) にドメイン名を入力します。

    i. ユーザーが JIRA からサインアウトしたときに Microsoft Entra ID からもサインアウトさせる場合は、[Enable Single Sign out](シングル サインアウトを有効にする) をオンにします。

    j. Microsoft Entra 資格情報でのみサインインする場合は、[Force Azure Login] (Azure ログインを強制する) チェックボックスをオンにします。

    Note

    Azure ログインの強制を有効にしたときにログイン ページで管理ログインの既定のログイン フォームを有効にするには、ブラウザー URL にクエリ パラメーターを追加します。 https://<domain:port>/login.jsp?force_azure_login=false

    k. アプリケーション プロキシのセットアップでオンプレミス atlassian アプリケーションを構成した場合、[アプリケーション プロキシの使用] チェックボックスを有効にします。

    l. [Save (保存)] ボタンをクリックして、設定を保存します。

    注意

    インストールとトラブルシューティングについて詳しくは、MS JIRA SSO コネクタ管理者ガイドのページをご覧ください。 FAQ もご利用いただけます。

JIRA SAML SSO by Microsoft テスト ユーザーの作成

オンプレミス サーバーで Microsoft Entra ユーザーの JIRA へのサインインを有効にするには、そのユーザーを JIRA SAML SSO by Microsoft にプロビジョニングする必要があります。 JIRA SAML SSO by Microsoft では、手動でプロビジョニングします。

ユーザー アカウントをプロビジョニングするには、次の手順に従います。

  1. 管理者として、オンプレミス サーバーの JIRA にサインインします。

  2. 歯車をポイントし、 [User management](ユーザー管理) をクリックします。

    [Settings]\(設定\) メニューの [User management]\(ユーザー管理\) が選択されているスクリーンショット。

  3. [Administrator Access](管理者アクセス) のページにリダイレクトされるので、パスワードを入力し、 [Confirm](確認) ボタンをクリックします。

    資格情報を入力する [Administrator Access]\(管理者アクセス\) ページを示すスクリーンショット。

  4. [User management](ユーザー管理) タブ セクションで、 [create user](ユーザーの作成) をクリックします。

    ユーザーを作成する [User management]\(ユーザー管理\) タブを示すスクリーンショット。

  5. [Create new user](新しいユーザーの作成) ダイアログ ページで、以下の手順を実行します。

    この手順の情報を入力できる [Create new user]\(新しいユーザーの作成\) ダイアログ ボックスを示すスクリーンショット。

    a. [Email address](メール アドレス) ボックスに、ユーザーのメール アドレス (B.simon@contoso.com など) を入力します。

    b. [Full Name](フル ネーム) ボックスに、ユーザーのフル ネーム (B.Simon など) を入力します。

    c. [Username](ユーザー名) ボックスに、ユーザーの電子メール (B.simon@contoso.com など) を入力します。

    d. [Password](パスワード) ボックスに、ユーザーのパスワードを入力します。

    e. [Create user](ユーザーの作成) をクリックします。

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。

  • [このアプリケーションをテスト] をクリックし、ログイン フローを開始できる JIRA SAML SSO by Microsoft のサインオン URL にリダイレクトされます。

  • JIRA SAML SSO by Microsoft のサインオン URL に直接移動し、そこからログイン フローを開始します。

  • Microsoft マイ アプリを使用することができます。 マイ アプリの [JIRA SAML SSO by Microsoft] タイルをクリックすると、JIRA SAML SSO by Microsoft のサインオン URL にリダイレクトされます。 マイ アプリの詳細については、マイ アプリの概要に関するページを参照してください。

次のステップ

JIRA SAML SSO by Microsoft を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用できます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。