~はじめに~
情報:
ベータ機能となります。詳細は、以下の利用約款をご確認ください。
「Gluegent」シリーズ サービス利用約款
本マニュアルは、Atlassian と Gluegent Gate の連携を、最小限の設定で行う方法をご紹介しています。
本マニュアルの通りに設定を行うことで Atlassian へのログインが Gluegent Gate を通して行われます。
ご用意いただくものは、Gluegent Gate の管理者ID / パスワードと、連携する Atlassian の管理者情報です。
重要:
Gluegent Gate との連携は 「Atlassian Guard」でご利用いただけます。
ステップ1:Gluegent Gate で「IdP証明書」の取得
ステップ2:Atlassian で「シングルサインオン」の設定
ステップ3:Atlassian でID同期の設定
ステップ4:Gluegent Gate で「シングルサインオン」の設定
ステップ5:Gluegent Gateで「ユーザー」の新規登録
ステップ6:Gluegent Gateで「操作ログ」を確認
ステップ7:Gluegent Gateで「認証」の設定
ステップ8:Gluegent Gateで「アクセス権限」の設定
ステップ9:シングルサインオン(SSO)でのログインの確認
ステップ1:Gluegent Gate で「IdP証明書」の取得
シングルサインオンの設定に必要な「IdP証明書」を取得します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「システム」 > 「IdP証明書」の順にクリックします。
状態が「使用中」となっている証明書の「DL」アイコンをクリックします。
証明書ファイルがダウンロードされます。後ほど使用しますので、任意の場所に保存してください。
ステップ2:Atlassian で「シングルサインオン」の設定
Atlassian にアクセスし、管理者権限を持つユーザーでログインします。
左メニュー 「 ディレクトリ」 >「 ドメイン」 をクリックします。
「ドメインを追加」をクリックし、SAML認証を行うユーザーのドメインを追加します。
情報:
ドメインが1つも登録されていない場合、以下の画面が表示されます。
「貴社のドメインを認証する」をクリックし、ドメインの追加を行ってください。
詳細は公式ページの「組織のドメインを認証する」をご参照ください。
左メニュー 「セキュリティ」 > 「ユーザーセキュリティ」 >「 IDプロバイダー」をクリックします。
「その他のプロバイダー」のChooseをクリックします。
任意のディレクトリ名入力し、「追加」をクリックします。
「SAML シングル サインオンをセットアップする」をクリックします。
「次へ」をクリックします。
以下の項目を入力し、「次へ」をクリックします。
- ID プロバイダーのエンティティ ID
Gluegent Gate 側テナントの 「シングルサインオン」 > 「SAML」 > 設定タブの「エンティティID」に表示されている値を入力します。
- ID プロバイダーのシングル サインオン URL
-
https://auth.gluegent.net/saml/saml2/idp/SSOService.php/<テナントID>
※例えば Gluegent Gate のテナントIDが example.com の場合は以下のURLとなります。
https://auth.gluegent.net/saml/saml2/idp/SSOService.php/example.com
- 公開 x509 証明書
ステップ1 でダウンロードした IdP証明書ファイルに記載されている文字列を入力します。
「サービス プロバイダーのエンティティ ID の URL」、「サービス プロバイダーのアサーション コンシューマー サービス URL」が表示されますので値をコピーし、テキストエディタ等に控えておきます。
※ Gluegent Gate の設定で使用します。
追加したドメインを選択し、「保存」をクリックします。
認証ポリシーで SAML シングルサインオンを強制する設定を行います。
「認証ポリシーに移動」をクリックします。
※ 画面を閉じてしまった場合は、左メニュー 「セキュリティ」 > 「ユーザーセキュリティ」 > 「認証ポリシー」から設定が可能です。
割り当てるポリシーの「編集」をクリックします。
※ デフォルトは 「Users in [作成したディレクトリ名]」が表示されています。
「シングルサインオンを適用」にチェックを入れて「更新」をクリックします。
ステップ3:Atlassian でID同期の設定
左メニュー 「セキュリティ」 > 「ユーザーセキュリティ」 > 「IDプロバイダー」をクリックします。
ステップ3 で作成したディレクトリをクリックします。
「プロビジョニングをセットアップする」をクリックします。
「次へ」をクリックします。
「SCIM ベース URL」、「API キー」が表示されますので値をコピーし、テキストエディタ等に控えておきます。
※ Gluegent Gate の設定で使用します。
情報:
APIキーの有効期限が切れた際には、「セキュリティ」>「ユーザーセキュリティ」>「ID プロバイダー」の設定画面から「APIキーを再生成」をクリックして再発行してください。
「SCIM 設定を保存」をクリックします。
ステップ4:Gluegent Gate で「シングルサインオン」の設定
Gluegent Gate 側に Atlassian とのシングルサインオンの設定を行います。
Gluegent Gate の管理画面にアクセスします。
左メニューの「シングルサインオン」→「クラウドサービス」の順にクリックします。
画面右上の「登録」をクリックします。
一覧から「Atlassian」の編集アイコンをクリックします。
各種設定項目を入力します。
- シングルサインオンの設定
「有効」のチェックをオンにします。
- エンティティID
ステップ2 で控えた「サービス プロバイダーのエンティティ ID の URL」の URL を入力します。
- Assertion Consumer Service
ステップ2 で控えた「サービス プロバイダーのアサーション コンシューマー サービス URL」の URL を入力します。
- ID同期
有効にした場合、Atlassian とのID同期を行います。
- API URL
ステップ3 で控えた「SCIM ベース URL」のURL を入力します。
- アクセストークン
ステップ3 で控えた「API キー」の文字列を入力します。
「保存」をクリックします。
ステップ5:Gluegent Gateで「ユーザー」の新規登録
Gluegent Gate でユーザーを新規登録します。Atlassian にも登録されます。
情報:
ユーザーの同期項目はユーザーID、姓名、別名、メールアドレス、ユーザー状態、組織、役職、部署です。
ユーザーグループは、グループ名、表示名、グループメンバーとなります。※グループ名、表示名は更新できませんので、ご注意ください。
Gluegent Gate の管理画面にアクセスします。
左メニューの「ユーザー」→「新規登録」の順にクリックします。
ユーザーの新規登録画面に遷移します。必要事項を入力します。
- ユーザーID(必須)
-
Gluegent Gate のログイン画面で使用するIDを入力します。
- 氏名(必須)
-
氏名を入力します。
- 別名
-
別名を入力します。※別名が無い場合、「氏名」が設定されます。
- メールアドレス(必須)
-
メールアドレスを入力します。
- 組織
-
組織を選択します。
※ 組織の詳細は「組織の管理 - 1. 組織の作成」をご参照ください。
- パスワード(必須)
-
ログインのためのパスワードを入力します。
- 許可するサービス
-
「Atlassian」のチェックをオンにします。
情報:
「役職」、「部署」に関しては、登録後に「連絡先情報」タブから同期可能です。
詳しくは「ユーザーの管理 - 3. ユーザーの編集」の連絡先情報 をご参照ください。
「登録」をクリックします。
ステップ6:Gluegent Gateで「操作ログ」を確認
登録後、ログで正しくユーザーが作成されたかを確認します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「ログ」→「システムログ」の順にクリックします。
ログ一覧で「操作ログ」を選択し、「適用」をクリックします。
その他の検索項目は必要に応じて設定します。
Gluegent Gate への追加ログと Atlassian への追加ログが表示されます。
「(Atlassian)」が付いているものが Atlassian への追加ログです。
成功した処理は黒いテキスト、失敗した処理は赤いテキストで表示されます。
ステップ7:Gluegent Gateで「認証」の設定
認証ルール(本人確認のための処理)を作成します。
※ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「認証」→「新規登録」の順にクリックします。
認証ルールの新規登録画面に遷移します。必要事項を入力します。
- ID
-
任意の値を入力します。(例:rule_web)
- 認証方式
-
「ID/パスワード認証」のチェックをオンにします。
- クライアント
-
以下の 3 つのチェックをオンにします。
- ブラウザー PC
- ブラウザー スマートフォン
- ブラウザー タブレット
「登録」をクリックします。
ステップ8:Gluegent Gateで「アクセス権限」の設定
アクセス権限ルール(各種サービスへの認可の付与)を作成します。
※ここでは、一般的なユーザーIDとパスワードによる認証方式のルールを作成します。
Gluegent Gate の管理画面にアクセスします。
左メニューの「アクセス権限」→「新規登録」の順にクリックします。
アクセス権限ルールの新規登録画面に遷移します。必要事項を入力します。
- ID
-
任意の値を入力します。(例:for_web)
- アクセス先のサービス
-
「Atlassian」のチェックをオンにします。
- 要求される認証方式
-
「ID/パスワード認証」のチェックをオンにします。
- クライアント
-
以下 3 つのチェックをオンにします。
- ブラウザー PC
- ブラウザー スマートフォン
- ブラウザー タブレット
「登録」をクリックします。
ステップ9:シングルサインオン(SSO)でのログインの確認
作成したユーザーにて、Gluegent Gate を経由したログインができることを確認します。
※ Atlassian の管理者でログインしている場合は、別のブラウザを使用するか、ログアウトしてからユーザーによるログインをご確認ください。
Atlassian にアクセスします。ステップ5 で同期した「メールアドレス」を入力し、「続ける」をクリックします。
Gluegent Gate のログイン画面が表示されます。
以下を入力して「ログイン」をクリックします。
- ユーザー名
「ステップ5」 Gluegent Gate の「ユーザー」の新規登録で指定したユーザー名(ユーザーID の @ より前の部分)
- パスワード
新規登録時に設定したパスワード
初回ログイン時のみパスワードの変更画面が表示されます。
新しいパスワードを入力し、「更新」をクリックします。
パスワード変更後、画面上の「次へ」をクリックしてください。
Gluegent Gate が Atlassian にアクセス可能かを確認し、アクセス可能と判断されれば、Atlassian へのログインに成功します。