Atlassian
このドキュメントでは、Okta Integration NetworkのConfluenceおよびJira Cloudプロビジョニングアプリ(Atlassian Jira Cloud、Atlassian Jira、およびAtlassian Confluence Cloud)からAtlassian Cloud OINアプリに移行する方法について説明します。
概要
Okta Integration Network(OIN)の、Security Assertion Markup Language(SAML)シングルサインオン(SSO)とSystem for Cross-domain Identity Management(SCIM)プロビジョニング機能をサポートするAtlassian Cloudアプリ統合のリリースにより、Oktaでは、次のアプリ統合からAtlassian Cloudへの移行を推奨しています。
- Atlassian Confluence Cloud:Confluence Cloudアプリで使用されているSOAP APIがAtlassianによって削除されたことに合わせて、プロビジョニング機能が廃止されました。プロビジョニングを継続して使用するには、Atlassian Cloudへの切り替えが必須です。
- Atlassian Jira Cloud:このアプリ統合のプロビジョニング機能は廃止されていないため、必要に応じてこの統合を引き続き使用できますが、新しいAtlassian Cloudアプリに移行することをお勧めします。
- Jira(Atlassian):このアプリ統合のプロビジョニング機能は廃止されていないため、必要に応じてこの統合を引き続き使用できますが、新しいAtlassian Cloudアプリに移行することをお勧めします。
記憶:orgでこれらのアプリを構成する際に、デフォルトの名前が変更されている可能性があります。
Atlassian Cloudアプリ統合を使用すると、上記のすべてのAtlassian Cloud製品(およびその他の製品)でSAMLを有効にし、SCIMプロビジョニングを介してユーザーを管理できます。OrganizationレベルでSAMLを設定し、グループとそのメンバーをAtlassian Cloudにプッシュできるようにすることで、機能が強化され、ユーザーエクスペリエンスが向上します。アプリ統合はAtlassianによって定期的に更新および管理されているため、できるだけ早くアップグレードすることをお勧めします。
注:これらのアプリ統合でConfluenceまたはJiraサーバーを使用している場合、何もする必要はありません。この移行は、クラウド製品を使用しているお客様にのみ適用されます。
移行の計画
- 計画、テスト、展開を含めて、プロジェクトに少なくとも1〜2週間の予算を割り当てます。
- 以下の移行ドキュメントを確認して、使用可能なSSOとSCIMの機能を理解してください。
- OINで利用可能な新しいAtlassian Cloud統合をセットアップしてテストします。
- サポート終了日までにすべてのユーザーを新しいAtlassian Cloud統合に移行してください。
Atlassian Confluence CloudとAtlassian Jira Cloudの統合のサポート終了に関するご質問は、support.okta.comにお問い合わせください。Atlassian製品、新しいAtlassian Cloudの統合または移行に関するご質問は、Atlassianサポートにお問い合わせください。
機能の比較
Atlassian Cloud | Atlassian Confluence Cloud | Atlassian Jira Cloud | Jira(Atlassian) | |
---|---|---|---|---|
SWA | ● | ● | ● | ● |
OMM | ● | ● | ● | ● |
SAML | ● | |||
ユーザーの非アクティブ化をプッシュ | ● | |||
ユーザーの再アクティブ化 | ● | |||
プロファイルのアップデートをプッシュ | ● | ● | ● | |
新規ユーザーをプッシュ | ● | ● | ● | |
グループをプッシュ | ● | ● | ● | |
新規ユーザーをインポート | ● | ● | ● | |
プロファイルのアップデートをインポート | ● | ● | ● | |
パスワードの更新をプッシュ |
Confluence Cloudアプリで使用されているSOAP APIがAtlassianによって削除されたため、廃止されました(「Confluence Cloud SOAP API移行ガイド」を参照してください)。
要件
- Atlassian Cloudアプリを利用してSAMLとSCIMの両方の機能を使用するには、Atlassian Accessのサブスクリプションが必要です。詳細については、「Atlassian Access」を参照してください。
- Oktaが構築したConfluenceまたはJiraアプリケーションを使用すると、サイトレベルでユーザーを管理できます。Atlassianが構築したAtlassian Cloudアプリケーションを使用すると、Organizationレベルでユーザーを管理できます。Atlassianのドキュメントによると、AtlassianのOrganizationは複数のサイトを使用しながら製品とユーザーの管理を一元化できます。以下の移行手順に進む前に、JiraまたはConfluenceサイトをAtlassian Organizationに追加していることを確認してください。詳細については、「Explore an Atlassian organization」を参照してください。
- 本番データに進む前に、サンプルのユーザーまたはグループを使用して移行フローをテストし、すべてが正しく機能していることを確認します。
- ユーザーをAtlassian Cloudアプリケーションに割り当てる際に個別の割り当てを使用することはお勧めしません。以下の移行手順全体で説明するように、製品へのアクセス権がグループに付与されるため、ユーザーの割り当てはグループ割り当てによって実行する必要があります。これらのグループのメンバーには、属するグループに付与された製品へのアクセス権が自動的に付与されます。OktaでAtlassian Cloudアプリケーションを介してユーザーをプッシュするときに個別のユーザー割り当てを使用する場合、そのユーザーはグループに追加されるまで製品にアクセスできません。
- Oktaで構築されたJiraアプリケーションを使用して以前にプッシュしたAtlassian Cloudアプリケーションを介してグループをプッシュする場合、グループは自動的にリンクされ、そのグループに付与した製品アクセスは変わりません。
-
JiraまたはConfluenceアプリケーション経由でプッシュしたユーザーを同じグループに所属させたい場合は、Atlassian Cloudアプリケーション経由でプッシュする前にOktaでユーザーをグループに割り当てる必要があります。
注:Oktaで構築されたJiraまたはConfluenceアプリケーションとは異なり、Atlassian Cloudアプリでは新規ユーザーのプッシュ時にグループの検出がサポートされていません。
- Atlassian Cloudアプリの場合、ユーザーアカウントは、Atlassian Organizationを使用して検証されたドメインを使用している場合にのみプッシュできます。AtlassianのOrganizationレベルで、ドメインを使用してアカウントをプッシュおよび管理できるようにするには、そのドメインの所有者であることを確認する必要があります。
- Atlassianのサイトレベルでは、アクセス権を付与した任意のドメインのユーザーをサイトに追加できます。AtlassianのOrganizationレベルでドメインを所有していることを確認する必要はありません。
- 移行の際、Organizationレベルで検証できないドメインを使用しているユーザーがサイトレベルにいる場合は、Atlassian Cloudアプリを使用してそのユーザーをプッシュすることができないことに注意してください。
移行手順
Atlassian CloudアプリがOkta Integration Network(OIN)に追加され、操作性が向上しました。このアプリケーションでは、AtlassianのIDプラットフォームにLifecycle Managementのサポートが追加されています。
これらの更新を利用するには、Okta orgにAtlassian Cloudの新しいインスタンスを追加します。以前にOktaで構築されたJiraまたはConfluence Cloudアプリケーションを追加した場合は、以下の手順に従ってこれらのアプリケーションから新しいAtlassian Cloudアプリケーションに移行します。
- Okta orgに管理者としてサインオンします。
-
Admin Consoleで、 に移動します。
- [Add Applications(アプリケーションの追加)]をクリックします。
- Atlassian Cloudの新しいインスタンスを追加します。
- 使用する機能(SWA、OMM、SAML、プロビジョニング)に応じてアプリケーションを構成します。
- SWA :[Sign On(サインオン)]タブでサインオン方法としてSWAを選択し、ユーザー資格情報を保存するオプションを選択して、[Save(保存)]をクリックします。
古いJiraまたはConfluence CloudアプリケーションにSWAサインオンモードを使用していた場合、新しいAtlassian Cloudアプリケーションに割り当てるすべてのユーザーの資格情報を再入力する必要があります。注:ユーザーがパスワードを取得する必要がある場合、以下の手順を実行します。
- 既存のJiraまたはConfluenceアプリと同じ[Application Username Format(アプリケーションユーザー名の形式)]が選択または追加されていることを確認します。
- 下にスクロールして[Sign On Policy(サインオンポリシー)]セクションに移動します。古いアプリ用に構成した方法で、すべてのサインオンポリシーを新しいアプリにコピーします。
- OMM:Mobileタブで、ユーザーが利用できるようにしたいすべてのモバイルアプリをOkta Mobile App Storeでダウンロードできるようにします。注:古いJiraまたはConfluence CloudアプリでJiraまたはConfluence Cloud OMMアプリをアクティベートした場合は、新しいAtlassian Cloudアプリを追加した後、これらを再度有効にする必要があります。
- SAML:[Sign On(サインオン)]タブで、サインオン方法としてSAMLを選択します。[View Setup Instructions(設定手順を表示)]をクリックし、以下のすべての手順に従ってAtlassian Cloudアプリ用にSAMLを構成します。
- SCIM:「Atlassian Cloud SCIM構成ガイド」に記載されている手順に従います。Atlassian Cloud SCIMアプリを介したユーザープロビジョニングは、グループの割り当てによって実行する必要があることに注意してください。ユーザーの製品アクセスはグループを介して割り当てられます。
Atlassian構成ガイドに記載されていない一般的なプロビジョニングシナリオ
Oktaで構築されたJiraアプリを使用してプッシュされた既存のグループ
「要件」セクションで述べたように、Oktaで構築されたJiraアプリを使用して以前にプッシュされたグループをAtlassian Cloudアプリにプッシュして、グループを正しくリンクする必要があります。これらのグループに許可されている製品アクセスは変わりません。同じグループをプッシュするために特別な手順は必要ありません。
ルールを使用してグループをプッシュする
Oktaで構築されたJiraまたはConfluenceアプリでグループを自動的にプッシュするルールを以前に設定した場合は、Atlassian Cloudアプリインスタンスに同じルールを追加してください。
これは、外部ソース(Active Directory、LDAPなど)からグループをインポートして、それらのソースから作成されたグループが引き続き自動的にプッシュされるようにする場合に重要です
ユーザーのプッシュ時のカスタムマッピングの使用
Atlassian Cloudアプリは現在、第2のメール属性と携帯電話属性をサポートしていません。この2つの属性は、Oktaで構築されたJiraまたはConfluenceアプリでサポートされていました。ほかのすべての属性がサポートされています。Atlassian Cloud SCIMアプリのデフォルトの属性とマッピングの完全なリストについては、「Atlassian Cloud SCIM構成ガイド」を参照してください。SCIMアプリで属性を追加または削除する必要がある場合、古いJiraまたはConfluenceの属性マッピングと一致するように、属性に応じてマッピングを更新します。
注:orgレベルでユーザーをプッシュすると、Atlassian Cloudアプリを使用して設定された属性マッピングによって、Oktaで作成されたJiraまたはConfluenceアプリを使用して設定された属性マッピングが上書きされます。
- SWA :[Sign On(サインオン)]タブでサインオン方法としてSWAを選択し、ユーザー資格情報を保存するオプションを選択して、[Save(保存)]をクリックします。
-
必要な機能をすべて有効にしたら、新しいAtlassian Cloudアプリケーションの[Assignments(割り当て)]タブに移動します。[Assign(割り当て)]をクリックして、古いJiraまたはConfluence Cloudアプリケーションに割り当てられているのと同じユーザーまたはグループの割り当てを開始します。
重要
- 誤ってデプロビジョニングされたり、ユーザーのアクセスが失われたりしないように、すべてのユーザーを新しいAtlassian Cloudインスタンスに割り当ててください。
- プロビジョニングを有効にする場合は、アプリケーションにユーザーを割り当てる前に、Atlassian Cloud SCIM構成ガイドに目を通すことが重要です。ユーザーに適切な製品アクセス権限をプロビジョニングするには、グループの割り当てによってユーザーを割り当てる必要があります(これらのグループは割り当ての前にプッシュされる必要があります)。
- Okta Admin Consoleに戻ります。
- JiraまたはConfluence Cloudアプリケーションを開きます。
注:これはステップ4で新しいアプリケーションを追加する前に追加したものです。
- 任意:以前にJiraまたはConfluence Cloudアプリのプロビジョニングを使用したことがある場合:
- これで、古いJiraまたはConfluence Cloudアプリケーションを非アクティブ化または削除して、追加した新しいAtlassian Cloudアプリケーションを引き続き使用できるようになりました。ただし、古いJiraまたはConfluenceアプリを非アクティブ化する前に、アプリを短期間(1〜2週間)非表示にして、以下の手順で、ユーザーに新しいアプリケーションでテストしてもらうことをお勧めします。
- 古いJiraまたはConfluenceアプリを非表示にします。
- 古いJiraまたはConfluenceアプリに移動し、[General(一般)]タブを選択します。
- [Do not display application icon to users(アプリケーションのアイコンをユーザーに表示しない)]を選択します。
- アプリがモバイルアクセス用にセットアップされている場合、[Do not display application icon in the okta mobile app(アプリケーションのアイコンをOkta Mobileアプリに表示しない)]チェックボックスもオンにします。
- [Save(保存)]をクリックします。
これで、古いJiraまたはConfluenceアプリがエンドユーザーに表示されなくなりました。
-
古いJiraまたはConfluence Cloudアプリケーションを非アクティブ化します。
JiraまたはConfluence Cloudアプリケーションラベルの下にある[Active(アクティブ)]ステータスドロップダウンメニューをクリックし、[Deactivate(非アクティブ化)]をクリックします。
-
古いJiraまたはConfluence Cloudアプリケーションを削除します。
上記の手順bの説明に従って、古いアプリをディアクティベートします。以下は、アプリがディアクティベートされた後の[Inactive(非アクティブ)]ステータスドロップダウンです。アプリを[Activate(アクティベート)]または[Delete(削除)]するオプションが表示されます。[Delete(削除)]を選択します。アプリケーションを本当に削除するかどうかの確認を求められます。[Delete Application:(アプリを削除:)]をクリックします。
- 古いJiraまたはConfluenceアプリを非表示にします。