チュートリアル: Microsoft Entra シングル サインオン (SSO) と EasySSO for Jira の統合

  • [アーティクル]

このチュートリアルでは、EasySSO for Jira を Microsoft Entra ID と統合する方法について説明します。 EasySSO for Jira を Microsoft Entra ID と統合すると、次のことができます:

  • Jira にアクセスできるユーザー Microsoft Entra ID を制御します。
  • ユーザーが自分の Microsoft Entra アカウントを使って Jira に自動的にサインインできるようにする。
  • 1 つの場所でアカウントを管理します。

前提条件

開始するには、次が必要です。

  • Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
  • EasySSO for Jira でのシングル サインオン (SSO) が有効なサブスクリプション。

シナリオの説明

このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。

  • EasySSO for Jira では、SP および IDP Initiated SSO がサポートされます。
  • EasySSO for Jira では、Just In Time ユーザー プロビジョニングがサポートされます。

Microsoft Entra ID への EasySSO for Jira の統合を構成するには、ギャラリーからマネージド SaaS アプリの一覧に EasySSO for Jira を追加する必要があります。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
  3. [ギャラリーから追加する] セクションで、検索ボックスに「EasySSO for Jira」と入力します。
  4. 結果のパネルから [EasySSO for Jira] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。

EasySSO for Jira 用の Microsoft Entra SSO の構成とテスト

B.Simon というテスト ユーザーを使用して、EasySSO for Jira に対する Microsoft Entra SSO を構成してテストします。 SSO が機能するためには、Microsoft Entra ユーザーと EasySSO for Jira の関連ユーザーとの間にリンク関係を確立する必要があります。

EasySSO for Jira で Microsoft Entra SSO を構成してテストするには、次の手順を行います:

  1. Microsoft Entra SSO の構成 - ユーザーがこの機能を使用できるようにします。
    1. Microsoft Entra のテスト ユーザーの作成 - B.Simon を使用して Microsoft Entra シングル サインオンをテストします。
    2. Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
  2. EasySSO for Jira SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
    1. EasySSO for Jira テスト ユーザーの作成 - EasySSO for Jira で B.Simon に対応するユーザーを作成し、Azure AD のユーザー表現 にリンクさせます。
  3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

次の手順に従って Microsoft Entra SSO を有効にします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[EasySSO for Jira]>[シングル サインオン] の順に移動します。

  3. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。

  4. [SAML によるシングル サインオンのセットアップ] ページで、 [基本的な SAML 構成] の鉛筆アイコンをクリックして設定を編集します。

    Edit Basic SAML Configuration

  5. [基本的な SAML 構成] セクションで、アプリケーションを IDP 開始モードで構成する場合は、次の手順を実行します。

    a. [識別子] ボックスに、https://<server-base-url>/plugins/servlet/easysso/saml の形式で URL を入力します。

    b. [応答 URL] ボックスに、https://<server-base-url>/plugins/servlet/easysso/saml のパターンを使用して URL を入力します

  6. アプリケーションを SP 開始モードで構成する場合は、 [追加の URL を設定します] をクリックして次の手順を実行します。

    [サインオン URL] ボックスに、https://<server-base-url>/login.jsp という形式で URL を入力します。

    注意

    これらは実際の値ではありません。 実際の識別子、応答 URL、サインオン URL でこれらの値を更新します。 これらの値の取得方法がわからない場合には、EasySSO サポート チームにお問い合わせください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。

  7. EasySSO for Jira アプリケーションでは、特定の形式の SAML アサーションを使用するため、カスタム属性マッピングを SAML トークン属性の構成に追加する必要があります。 次のスクリーンショットには、既定の属性一覧が示されています。

    image

  8. その他に、EasySSO for Jira アプリケーションでは、いくつかの属性が SAML 応答で返されることが想定されています。それらの属性を次に示します。 これらの属性も値が事前に設定されますが、要件に従ってそれらの値を確認することができます。

    名前 ソース属性
    urn:oid:0.9.2342.19200300.100.1.1 user.userprincipalname
    urn:oid:0.9.2342.19200300.100.1.3 User.mail
    urn:oid:2.16.840.1.113730.3.1.241 user.displayname
    urn:oid:2.5.4.4 User.surname
    urn:oid:2.5.4.42 User.givenname

    Microsoft Entra ユーザーに対して既に sAMAccountName を構成済みの場合には、sAMAccountName 属性に urn:oid:0.9.2342.19200300.100.1.1 をマップする必要があります。

  9. [SAML によるシングル サインオンのセットアップ] ページの [SAML 署名証明書] セクションで [証明書 (Base64)] または [フェデレーション メタデータ XML] オプションの [ダウンロード] リンクをクリックし、そのいずれかまたは両方をコンピューターに保存します。 これは、後で Jira EasySSO を構成するために必要になります。

    The Certificate download link

    EasySSO for Jira の構成を証明書を使って手動で実施する予定の場合には、ほかにも以下のセクションからログイン URLMicrosoft Entra ID をコピーし、コンピューターに保存しておく必要があります。

Microsoft Entra テスト ユーザーを作成する

このセクションでは、B.Simon というテスト ユーザーを作成します。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  3. 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
  4. [ユーザー] プロパティで、以下の手順を実行します。
    1. "表示名" フィールドに「B.Simon」と入力します。
    2. [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、「 B.Simon@contoso.com 」のように入力します。
    3. [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
    4. [Review + create](レビュー + 作成) を選択します。
  5. [作成] を選択します。

Microsoft Entra テスト ユーザーを割り当てる

このセクションでは、EasySSO for Jira へのアクセスを許可することで、B.Simon がシングル サインオンを使用できるようにします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[EasySSO for Jira] の順に移動します。
  3. アプリの概要ページで、[ユーザーとグループ] を選択します。
  4. [ユーザーまたはグループの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。
    1. [ユーザーとグループ] ダイアログの [ユーザー] の一覧から [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。
    2. ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
    3. [割り当ての追加] ダイアログで、 [割り当て] をクリックします。

EasySSO for Jira SSO の構成

  1. 管理者権限で Atlassian Jira インスタンスにサインインし、 [Manage Apps](アプリの管理) セクションに移動します。

    Manage Apps

  2. 左側で EasySSO を探し、クリックします。

    Easy SSO

  3. [SAML] オプションを選択します。 これにより、SAML の構成セクションが表示されます。

    SAML

  4. 上部の [Certificates](証明書) タブを選択すると、次の画面が表示されます。

    Metadata URL

  5. Microsoft Entra SSO の構成手順で保存した証明書 (Base64) またはメタデータ ファイルを探します。 続行する方法として、次の選択肢があります。

    a. 自分のコンピューター上のローカル ファイルとしてダウンロードした、アプリのフェデレーション メタデータ ファイルを使用します。 [Upload](アップロード) をクリックし、ご使用のオペレーティング システムに固有のファイルのアップロード ダイアログに従います。

    OR

    b. (任意のプレーンテキスト エディターで) アプリのフェデレーション メタデータ ファイルを開き、ファイルの内容を確認してクリップボードにコピーします。 [Input](入力) オプションを選択し、クリップボードの内容をテキスト フィールドに貼り付けます。

    OR

    c. すべて手動で構成します。 (任意のプレーンテキスト エディターで) アプリのフェデレーション証明書 (Base64) を開き、ファイルの内容を確認してクリップボードにコピーします。 [IdP Token Signing Certificates](IdP トークン署名証明書) テキスト フィールドに貼り付けます。 次に、[全般] タブに移動し、[POST Binding URL] および [Entity ID] フィールドに、前に保存した [ログイン URL][Microsoft Entra 識別子] の値をそれぞれ入力します。

  6. ページの下部にある [Save](保存) ボタンをクリックします。 メタデータ ファイルまたは証明書ファイルの内容が構成フィールドで解析されていることを確認できます。 これで、EasySSO for Jira の構成は完了しました。

  7. 最適なテスト エクスペリエンスを得るには、[Look & Feel]\(外観\) タブに移動し、[SAML Login Button]\(SAML ログイン ボタン\) オプションをオンにします。 これにより、Jira ログイン画面の独立したボタンが有効になりMicrosoft Entra SAML 統合をエンド ツー エンドでテストできるようになります。 このボタンをオンのままにすることで、運用モードでの配置、色、および翻訳を構成することもできます。

    Look & Feel

    Note

    問題が発生した場合は、EasySSO サポート チームにお問い合わせください。

EasySSO for Jira テスト ユーザーの作成

このセクションでは、Britta Simon というユーザーを Jira に作成します。 EasySSO for Jira では Just-In-Time ユーザー プロビジョニングがサポートされており、既定では無効になっています。 ユーザー プロビジョニングを有効にするには、EasySSO プラグイン構成の [General](全般) セクションで、 [Create user on successful login](ログイン成功時にユーザーを作成する) オプションを明示的にオンにする必要があります。 Jira にユーザーがまだ存在していない場合は、認証後に新しく作成されます。

ただし、ユーザーが初めてログインした時点での自動ユーザー プロビジョニングを有効にしない場合は、Jira インスタンスで使用するバックエンド ユーザー ディレクトリ (LDAP や Atlassian Crowd など) にユーザーが存在する必要があります。

User provisioning

SSO のテスト

IdP-Initiated ワークフロー

このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。

  • [このアプリケーションをテストします] をクリックすると、SSO を設定した EasySSO for Jira に自動的にサインインされるはずです。

また、Microsoft マイ アプリを使用して、任意のモードでアプリケーションをテストすることもできます。 マイ アプリで [EasySSO for Jira] タイルをクリックすると、SP モードで構成されている場合は、ログイン フローを開始するためのアプリケーション サインオン ページにリダイレクトされます。IDP モードで構成されている場合は、SSO を設定した EasySSO for Jira に自動的にサインインされます。 マイ アプリの詳細については、マイ アプリの概要に関するページを参照してください。

SP-Initiated ワークフロー

このセクションでは、Jira の [SAML ログイン] ボタンを使用して Microsoft Entra のシングル サインオン構成をテストします。

User SAML login

このシナリオは、Jira EasySSO の構成ページ (上記を参照) の [Look & Feel]\(外観\)[SAML Login Button]\(SAML ログイン ボタン\) を有効にしていることが前提になっています。 既存のセッションとの干渉を避けるために、シークレット モードにしたブラウザーで Jira のログイン URL を開きます。 [SAML ログイン] をクリックすると、Microsoft Entra のユーザー認証フローにリダイレクトされます。 正常に完了すると、認証済みユーザーとして SAML を介して元の Jira インスタンスにリダイレクトされます。

Microsoft Entra ID からのリダイレクト後に、次の画面が表示される可能性があります。

EasySSO failure screen

このような場合には、こちらのページの手順に従って atlassian-jira.log ファイルにアクセスする必要があります。 EasySSO エラー ページにある参照 ID を使って、エラーの詳細を確認できます。

ログ メッセージの内容について疑問がある場合には、EasySSO サポート チームにお問い合わせください。

次のステップ

EasySSO for Jira を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用することができます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。