Atlassian

このドキュメントでは、お客様がOkta Integration Network(Atlassian Jira Cloud、Jira(Atlassian)、およびAtlassian Confluence Cloud)の既存のConfluenceおよびJira Cloudプロビジョニング・アプリから新しいAtlassian Cloud OIN アプリに移行する手順について説明します。



要件

  • Atlassian Cloudアプリを利用してSAMLとSCIMの両方の機能を使用するには、Atlassian Accessのサブスクリプションが必要です。詳細については、 https://www.atlassian.com/software/accessを参照してください。
  • Oktaが構築したConfluence/Jiraアプリケーションを使用すると、サイト・レベルでユーザーを管理できます。Atlassianが構築したAtlassian Cloudアプリケーションを使用すると、組織レベルでユーザーを管理できます。Atlassianのドキュメントによると、Atlassian Organizationsは複数のサイトを持つことができ、顧客が製品とユーザーを管理するための場所です。以下の移行手順に進む前に、Jira/ConfluenceサイトをAtlassian Organizationに追加していることを確認してください(詳細については、 https://confluence.atlassian.com/cloud/set-up-an- atlassian-organization-938859734.html)。
  • 本番データに進む前に、サンプルのユーザー/グループを使用して移行フローをテストし、すべてが正しく機能していることを確認する必要があります。
  • ユーザーをAtlassian Cloudアプリケーションに割り当てる際に個別の割り当てを使用することはお勧めしません。以下の移行手順全体で説明するように、製品へのアクセス権がグループに付与されるため、ユーザーの割り当てはグループ割り当てによって実行する必要があります。これらのグループのメンバーには、属するグループに付与された製品へのアクセス権が自動的に付与されます。OktaでAtlassian Cloudアプリケーションを介してユーザーをプッシュするときに個別のユーザー割り当てを使用する場合、そのユーザーはグループに追加されるまで製品にアクセスできません。
  • Oktaで構築されたJiraアプリケーションを使用して以前にプッシュしたAtlassian Cloudアプリケーションを介してグループをプッシュする場合、グループは自動的にリンクされ、そのグループに付与した製品アクセスは変わりません。
  • Jira/Confluenceアプリケーション経由でプッシュしたユーザーを同じグループに所属させたい場合は、Atlassian Cloudアプリケーション経由でプッシュする前にOktaでユーザーをグループに割り当てる必要があります。

    :Oktaで構築されたJira/Confluenceアプリケーションとは異なり、Atlassian Cloudアプリでは新規ユーザーのプッシュがサポートされていません。

  • Atlassian Cloudアプリの場合、ユーザー・アカウントは、Atlassian Organizationを使用して検証されたドメインを使用している場合にのみプッシュできます。Atlassianの組織レベルで、ドメインを使用してアカウントをプッシュして管理できるようにするには、そのドメインの所有者であることを確認する必要があります。
  • Atlassianのドメインの検証

  • Atlassianのサイト・レベルでは、アクセス権を付与した任意のドメインのユーザーをサイトに追加できます。Atlassianの組織レベルでは、のようなドメインを所有していることを確認する必要はありません。

    Atlassianによるサイトへのアクセス

  • 移行の際は次の点に注意してください。 組織レベルで検証できないドメインを使用しているユーザーがサイト・レベルにいる場合、Atlassian Cloudアプリを使用してそのユーザーをプッシュすることはできません。

移行手順

Atlassian Cloudという新しいアトラシアン・アプリケーションがOkta Integration Network(OIN)に追加され、Oktaのお客様により優れたエクスペリエンスが提供されました。この新しいアプリケーションでは、Atlassianの新しいIDプラットフォームにライフサイクル管理のサポートが追加されています。

これらの更新を利用するには、Okta組織にAtlassian Cloudの新しいインスタンスを追加する必要があります。以前にOktaで構築されたJira/Confluence Cloudアプリケーションを追加した場合は、以下の手順に従ってこれらのアプリケーションから新しいAtlassian Cloudアプリケーションに移行します。

  1. Okta orgに管理者としてサインオンします。

  2. アドミンコンソールを開く。

  3. [アプリケーションの追加]をクリックします。

    アプリケーションの追加

  4. Atlassian Cloudの新しいインスタンスを追加します。

    Oktaで新しいAtlassianインスタンスを追加する

  5. 使用する機能(SWA、OMM、SAML、プロビジョニング)に応じてアプリケーションを構成します。

    1. SWA[サインオン ]タブでサインオン方法としてSWAを選択し、ユーザー認証情報を保存するオプションを選択して、[保存]をクリックします。

      サインオン方法としてSWAを選択

      1. 古いJira/Confluence CloudアプリケーションにSWAサインオン・モードを使用していた場合、新しいAtlassian Cloudアプリケーションに割り当てるすべてのユーザーの認証情報を再入力する必要があります。:ユーザーがパスワードを取得する必要がある場合、以下の手順を実行します。

        • Oktaのホームページで、古いJira/Confluence Cloudアプリケーションにカーソルを合わせ、歯車アイコンをクリックします。

          Confluenceの歯車アイコンをクリックします

        • [パスワードを参照 ]タブで、[パスワードを表示]をクリックします。ユーザーは認証情報を表示するために再認証を求められます。

          [パスワードを表示]をタップします。

        • 古いJira/Confluence Cloudアプリ・インスタンスを非アクティブ化/削除する前に、Jira/Confluence Cloud経由でパスワードを再設定しないように、パスワードの取得が必要であることを確認してください。

      2. 既存のJira/Confluenceアプリと同じ[アプリケーション ユーザー名の形式]が選択/追加されていることを確認します。

        アプリケーションのユーザー名のフォーマットを選択

      3. [Sign On Policy(サインオン ポリシー)]セクションを下方にスクロールします。旧いアプリで設定した方法で、すべてのサインオン・ポリシーを新しいアプリにコピーします(詳細については、 [アプリケーションのサインオン・ポリシーを追加する]を参照してください)。

        古いアプリからサインオン・ポリシーをコピーする

    2. OMMモバイルタブで、ユーザーがOkta Mobile App Storeでダウンロードできるようにする必要があるすべてのモバイル・アプリケーションを有効にします。

      [モバイル]タブで、Oktaモバイル・ストアでAtlassianモバイル・アプリを有効にします

      :旧いJira/Confluence CloudアプリケーションでJira/Confluence Cloud OMMアプリケーションをアクティブ化した場合は、新しいAtlassian Cloudアプリケーションを追加した後に再度アクティブ化する必要があります。

    3. SAML[サインオン]タブで、サインオン方法として SAMLを選択します。 「設定手順を表示」をクリックし、以下のすべての手順に従ってAtlassian Cloudアプリ用にSAMLを構成します。

      SAMLサインオン方法の場合は、[設定手順を表示]を選択します

    4. SCIM「 Atlassian Cloud SCIM構成ガイド」に記載されている手順に従います。Atlassian Cloud SCIMアプリを介したユーザー・プロビジョニングは、グループの割り当てによって実行する必要があることに注意してください。ユーザーの製品アクセスはグループを介して割り当てられます。

      Atlassian構成ガイドに記載されていない一般的なプロビジョニング・シナリオ

      • Oktaで構築されたJiraアプリを使用してプッシュされた既存のグループ

        セクションで述べたように、Oktaで構築されたJiraアプリを使用して以前にプッシュされたグループをAtlassian Cloudアプリにプッシュする必要があります。これらのグループに許可されている製品アクセスは変わりません。同じグループをプッシュするために特別な手順は必要ありません。

      • ルールを使用したグループのプッシュ

        Oktaで作成したJira/Confluenceアプリでグループを自動的にプッシュするルールを以前に設定した場合は、Atlassian Cloudアプリのインスタンスにも同じルールを追加してください。

        新しいアプリにプッシュ・グループ・ルールを追加する

        これは、外部ソース(Active Directory、LDAPなど)からグループをインポートして、それらのソースから作成されたグループが引き続き自動的にプッシュされるようにする場合に重要です

      • ユーザーのプッシュ時のカスタム・マッピングの使用

        Atlassian Cloudアプリは現在、第2のメール属性と携帯電話属性をサポートしていません。この2つの属性は、Oktaで構築されたJira/Confluenceアプリでサポートされていました。ほかのすべての属性がサポートされています。Atlassian Cloud SCIMアプリのデフォルトの属性とマッピングの完全なリストについては、「Atlassian Cloud SCIM構成ガイド」を参照してください。SCIMアプリで属性を追加/削除し、古いJira/Confluenceの属性マッピングと一致するようにマッピングを更新する必要がある場合は、次のガイドに従うことができます。 「アプリケーションの属性と対応するマッピングを確認」

        :組織レベルでユーザーをプッシュすると、Atlassian Cloudアプリを使用して設定された属性マッピングが、Oktaで作成されたJira/Confluenceアプリを使用して設定されたものを上書きします。

  6. 必要な機能をすべて有効にしたら、新しいAtlassian Cloudアプリケーションの「割り当て」タブに移動します。 [割り当て]をクリックして、旧いJira/Confluence Cloudアプリケーションに割り当てられているのと同じユーザー/グループの割り当てを開始します。

    重要

    1. 誤ってプロビジョニングが解除されたり、ユーザーのアクセスが失われたりしないように、すべてのユーザーを新しいAtlassian Cloudインスタンスに割り当ててください。

    2. プロビジョニングを有効にする場合は、アプリケーションにユーザーを割り当てる前に、Atlassian Cloud SCIM構成ガイドに目を通すことが重要です。ユーザーに適切な製品アクセス権限をプロビジョニングするには、グループの割り当てによってユーザーを割り当てる必要があります(これらのグループは割り当ての前にプッシュされる必要があります)。

    新しいアプリを同じユーザー/グループに割り当てる

  7. 管理コンソールに戻ります。

  8. Jira/Confluence Cloudアプリケーションを開きます。

    :これは手順4で新しいアプリケーションを追加する前に追加したものです。

  9. オプション:以前にJira/Confluence Cloudアプリのプロビジョニングを使用したことがある場合:

    1. [プロビジョニング)]タブをクリックします。

    2. [設定]で、 [API統合]を選択します。

    3. [編集]をクリックし、[API統合を有効にする]のチェックを外します。

    4. [Save(保存)]をクリックします。

    5.  [プロビジョニング] > [API]に移動し、[API統合を有効にする]のチェックを外します。

  10. これで、旧いJira/Confluence Cloudアプリケーションを非アクティブ化または削除して、追加した新しいAtlassian Cloudアプリケーションを引き続き使用できます。ただし、旧いJira/Confluenceアプリを非アクティブ化する前に、アプリを短期間(1〜2週間)非表示にして、ユーザーに新しいアプリケーションでテストしてもらうことをお勧めします。以下の手順に従います。

    1. 旧いJira/Confluenceアプリを非表示にするには:

      • 旧Jira/Confluenceアプリに進み、[General(一般)]タブを選択します。

      • [Do not display application icon to users(アプリケーションのアイコンをユーザーに表示しない)]チェックボックスをオンにします。

      • アプリがモバイルアクセス用にセットアップされている場合、[Do not display application icon in the okta mobile app(アプリケーションのアイコンをOktaモバイルアプリに表示しない)]チェックボックスもオンにします。

      • [Save(保存)]をクリックします。

      • これで、旧Jira/Confluenceアプリがエンドユーザーに非表示になりました。

      +ダッシュボードの旧いアイコンを非表示にする

    2. 旧いJira/Confluence Cloudアプリケーションを非アクティブ化するには:

      • Jira/Confluence Cloudアプリケーション・ラベルの下にあるステータス・ドロップダウン・メニューをクリックし非アクティブ化をクリックします。

      旧いアプリを非アクティブ化

    3. 旧いJira/Confluence Cloudアプリケーションを削除するには:

      • 上記の手順bの説明に従って、古いアプリを非アクティブ化します。アプリが非アクティブ化された後の 非アクティブステータス。アプリをアクティブ化 または削除するオプションが表示されます。 削除を選択します。アプリケーションを本当に削除するかどうかの確認を求められます。アプリを削除をクリックする。

      旧いアプリを削除する