リックソフトブログ

2024年07月10日

Atlassian Cloudで、同じドメインのユーザーを複数の組織で管理できるようになりました【Atlassian Guard新機能】

Author

大崎 健吾 Kengo Ohsaki

大崎 健吾</mt:Var>

  

<本ブログは、Jira CloudやConfluence Cloudの"Atlassian Cloud"を利用するにあたり、ドメイン認証で課題を抱えている組織向けの内容です>

先日、アトラシアン株式会社と共同でAtlassian製品のCloud移行をテーマにした「Data Center to Cloud 」イベントを開催しました。

Data Center版を利用している企業がAtlassian Cloud移行する上での障壁の1つとして「Atlassian Cloudのアカウント管理におけるドメイン認証問題」に触れましたが、この問題の解決策の1つとなる新機能 Multi org domain claims MODC)がリリースされていますのでご紹介します。

【開発の背景】Atlassian Cloud のアカウント管理する上での課題

まず、この機能が開発された経緯から説明します。

Atlassian Cloudは、組織>サイト>製品(Jira、Confluence等)の3階層で構成されています。

Atlassian Cloudのアカウント(Atlassian Account)を管理するには、組織の管理画面からドメイン認証とアカウント申請を実行して、Atlassian Accountを組織の管理下に置く必要があります。
Atlassian Account が組織で管理されていない状態だと、管理者によるアカウントの有効化/無効化、ログイン認証方式の指定などができないため、多くの企業がAtlassianCloudの導入においてドメイン認証とアカウント申請を必須と捉えています。

しかし、初期のAtlassian Cloudの仕様では下記の制限があり、複数のグループ会社や海外拠点を持つグローバル企業や大企業で全社的に共通のドメインメールを使用している場合、ドメイン認証とアカウント申請による影響が広範囲に及ぶため、関係各所との合意形成が非常に困難でした。

Atlassian Cloud を利用する上でのドメイン制限事項

  • ドメイン認証 :同じドメインを異なる組織で認証できない
  • アカウント申請:アカウント申請は一括申請のみ

例えば、example.com というドメインを使っている下記の構成の企業があったとします。

  • 日本(本社): 10000 人
  • 北米拠点の現地法人: 5000人
  • 欧州拠点の現地法人: 2000人

初期の仕様では、1つの組織で example.com をドメイン認証した場合、該当ドメインを使っているすべてのアカウントを一括で申請する必要がありました。
つまり、ドメイン認証をした1つの組織で日本、北米、欧州の社員が使用しているすべてのAtlassian Accountを申請して管理する必要がありました。
各グループ会社のAtlassian Accountを中央管理できる点については、メリットと考えることもできますが、会社間のアカウント管理方法の統一や会社・拠点を横断した情報連携など検討すべき課題が多数あります。
企業の規模や構成が複雑になるほどこれらの課題に関する調整は難航し、これが障壁となってAtlassian Cloudの導入を断念するケースもありました。

2022年末の新機能で、アカウント申請の制限解除はできるようになったけれど......

2022年末に選択的アカウント申請(Selective user claim)がリリースされました。
名前の通り 申請対象のAtlassian Accountを選択できる機能で、CSVファイル指定、またはIdPのSCIMプロビジョニングを使ってアカウント申請できます。
これにより、日本の社員が使っているAtlassian Accountのみ管理したい場合は、組織でexample.com をドメイン認証して、選択的アカウント申請(Selective user claim)で日本のアカウントのみ申請して管理できるようになりました。
しかし、異なる組織で同じドメインを認証できない制約は継続しており、日本、北米、欧州の社員が使用しているすべてのAtlassian Accountを管理したければ、ドメイン認証した組織ですべてのAtlassian Accountを申請して管理する必要があることに変わりはありませんでした。

MODCのリリースで、ドメイン認証の制限解除ができるようになりました

今回のMulti org domain claims(MODC)のリリースにより、複数の組織で同じドメインを認証し、Selective user claimで各組織に関係するAtlassian Accountを選択して申請できるようになりました。

例えば、以下のような構成でアカウントを管理できます。

  • 日本用の組織でexample.comを認証し、日本の従業員のAtlassain Accountを申請して管理
  • 北米用の組織でexample.comを認証し、北米の従業員のAtlassain Accountを申請して管理
  • 欧州用の組織でexample.comを認証し、欧州の従業員のAtlassain Accountを申請して管理

もちろん、同じAtlassain Accountを複数の組織で管理することはできないので、各組織で申請対象のAtlassain Accountが重複しないように運用する必要があります。
実務では、各拠点での業務兼任、子会社への出向といった様々なパターンが考えられるため、Atlassain Accountをどの組織でどう管理すべきか検討する必要がありますが、拠点毎にAtlassain Accountを管理できるので会社横断での調整が必要とされてた課題はおおよそ解消できたと言えます。

MODC利用時の注意事項

アカウント申請の方法は「CSV取り込み(メールアドレス指定)」、「SCIMプロビジョニング」のいずれかとなります。
構成上「JITプロビジョニング」によるアカウント申請は使えません。

MODCを使用して複数の組織でアカウントを申請する場合、アカウント申請は先勝ちとなります。
例えば、北米の組織で taro.yamada@example.com を申請した場合、
日本の組織では taro.yamada@example.comを申請できません。
日本の組織でtaro.yamadaを管理したい場合は、北米の組織でアカウント申請を解除した後、日本の組織でアカウント申請する必要があります。

このような手間を回避できるよう、SCIMプロビジョニングによるアカウント申請をおすすめしております。
IdPにアカウントが登録されたタイミングで、アカウントの属性(所属企業)などの情報を元に管理対象となる組織に対してSCIMプロビジョニングでアカウントを同期(=アカウント申請)する構成にしておくと良いと思います。

組織とアカウント管理の構成ケース

Atlassian Cloudの組織とアカウント管理の構成をパターン毎に図式化してみました。

MODC利用なし

1つの組織でドメイン認証&アカウント申請を実施し、Atlassian Accountを集中管理します。
Atlasian Accountを管理する組織では、Atlassian Cloudのログイン時にSSOなどの指定したログイン認証方式が使用きるように設定します。
複数の組織がある場合、組織のセキュリティ設定、および組織内のユーザーと製品の管理は各組織の管理者に委ねることができます。

この構成のポイントは下記の通りです。

  • 組織1でexample.comドメインを認証し、 すべてのexample.comアカウントを申請してSSOを強制できます。
  • 組織1で請求対象アカウント分のAtlassian Guard の請求が発生します。
  • 組織2ではexample.comドメインを認証できません。
  • 組織2では管理対象外アカウントとして、IDプロバイダーから組織のユーザーディレクトリにグループとグループメンバーシップを同期できます。
  • 組織2ではAtlassian Guardの請求が発生しません。
    組織2では「外部ユーザセキュリティ」機能が利用できません。

    ※ Atlassian Guardの契約していなくてもライセンス費用0円で使用できます。
    ※ 外部ユーザセキュリティは、管理対象外アカウントが組織内の製品にアクセスした際、メールベースの2段階認証を強制する機能です。
     Q3 2024にSSO機能をリリースする計画があります。

MODC利用あり

複数の組織で同一ドメインのドメイン認証とアカウント申請を実施して、Atlassian Accountを管理できます。

この構成のポイント

  • 組織1、組織2で@example.comドメインを認証できます。
  • 組織1、組織2で、プロビジョニング(=アカウント申請)されたユーザにSSOを強制できます。
  • 組織1、組織2でそれぞれ請求対象アカウント分のAtlassian Guardの請求が発生します。

<注意> SCIMプロビジョニング設定時のアカウント申請解除について

組織1でアカウント申請済のユーザを組織2でアカウント申請したい場合、組織1でアカウント申請を取り消した後、組織2でアカウント申請する必要がありますが、現行の仕様では、対象ユーザがプロビジョニングされている場合、REST APIでプロビジョニング情報を無効化しないとアカウント申請が解除できません。

本仕様については、下記の改善要望があがっています。

改善要望:ACCESS-1478 Domain unclaim should work with provisioned accounts

参考情報

本機能に関する公式アナウンスは下記にてご確認いただけます。

参考:[Atlassian Guard] 近日提供: 複数の組織で同じドメインを認証し、ユーザーを要求 (原文Multiple orgs can verify, and claim users from, the same domain) 

Atlassian Cloudのドメイン認証とアカウント申請の仕組みについては下記のブログ記事で紹介しております。
参考:Atlassianのクラウド環境のユーザ管理とは?〜アカウント要求とAtlassian Accessの利用について〜

管理対象外アカウントのセキュリティ強化がCloud導入の課題となっておりましたが、管理対象外アカウントに製品アクセス時に2段階認証を要求する機能がリリースされました。
参考:管理対象外のユーザー セキュリティ(Unmanaged user security)

管理対象外アカウントのセキュリティ強化の課題としては、SSO強制が残っております。
管理対象外のアカウントに対して、製品アクセス時にSSOを強制する機能(Enforce SSO for external users)については、Q3 2024のリリース予定となっております。

参考:Atlassian Cloud Roadmaps|Enforce SSO for external users - GA

              
                                                 

本情報はブログを公開した時点の情報となります。
ご不明な点はお問い合わせください。

        

お問い合わせ         

  
本ブログのカテゴリ: Atlassian Cloud

« 

研修ページ

サポートブラス

お問い合わせ

最近の記事

  

アトラシアン製品の導入と活用を
成功させたいなら
リックソフトのサポートが
必要です。

サードパーティ製のアドオンもサポート

サードパーティ製のアドオンもサポート

サポート

アトラシアン社ではサポート範囲外となっているサードパーティ製のアドオンをリックソフトのサポートではサポートします。

  • アトラシアン製品とサードパーティ製のアドオンとの事象の切り分け
  • 海外のアドオンベンダーとのやり取りを代行(日→英/英→日)

リックソフトのサポートは開発元が提供するサポート以上の価値があります。

サポートについて

ツールの活用を促進するアイテム

ツールの活用を促進するアイテム

各種ガイドブック

ツールを導入しただけでは成功とはいえません。利用者が効果を感じていただくことが大切です。独自で制作した各種ガイドブックはツール活用を促進します。

リックソフトからライセンス購入を頂いたお客様にはガイドブックを無料進呈いたします。

ガイドブックについて

価値あるツールの使い方

価値あるツールの使い方

研修・トレーニング

ツール操作の研修だけでなく「ウォータフォール型開発」「アジャイル型開発」のシミュレーション研修も提供。

日本随一の生産性向上にも効果のある研修サービスです。

リックソフトからライセンス購入を頂いたお客様には無料招待や割引特典がございます。

研修について

資料ダウンロード お問い合わせ PAGE TOP
資料ダウンロード お問い合わせ