アトラシアンのクラウド製品 (Jira Software Cloud、Jira Service Management Cloud、Jira Work Management Cloud、Confluence Cloud、Bitbucket Cloud、Trello、Opsgenie、Statuspage) の導入を検討する際、自社のセキュリティプラクティスの適用方法を検討するために製品の権限構造を把握されたい場合があるかと思います。
この記事ではこのような検討に利用していただけるよう、アトラシアンのクラウド製品の権限構造をご説明します。
アトラシアンでは、組織、サイト、製品で構成される3層構造を提供しており、ご契約単位となる製品は原則として一番下の階層に所属します。Jira、Confluence、Opsgenie製品の利用を新しく始めると、それに対応するサイトと組織が自動的に用意されます (詳細は後述します)。管理権限としては、組織管理者と製品管理者が存在します。
組織とサイト、サイトと製品はそれぞれ、1対多の関係です。ただし1サイト内の製品は一意である必要があります。たとえば xxxx.atlassian.net というサイトでJira Softwareを2インスタンス有効化することはできませんが、同じ組織で2つめのJira Softwareを新しいサイト (yyyy.atlassian.net) で開始することはできます。
組織にはadmin.atlassian.comのURLからアクセスできます。組織は自社製品管理と自社ユーザー管理の2つの側面を持ちます。
自社製品管理
組織に紐付けられた製品 (Jira Software、Jira Service Management、Jira Work Management)、Confluence、Opsgenie) の契約、請求等の管理
上記製品へのアクセス権を持つ全ユーザーの把握
自社ユーザー管理
自社ドメインのユーザーの一元管理 (ドメイン認証を行った場合のみ)
実際の画面をご紹介します。こちらはある組織の全製品の一覧です(Jira Product Discoveryは現在無料ベータ版提供中の製品です)。
サイトは1つのURL (xxxx.atlassian.net) です。1種類のURLで複数の一意の製品を持つことができます。ご参考までに、URLは次のようになります。
xxxx.atlassian.net: Jira Software、Jira Service Management、Jira Work Management
xxxx.atlassian.net/wiki: Confluence
xxxx.app.opsgenie.com: Opsgenie
これを先ほどの図で表すと次のようになります。
契約は製品単位です。
Jiraファミリー、Confluence、Opsgenieの課金はサイトごとに行われ、サイト内の製品の課金方法およびサイクルは一致されます。
Atlassian Accessは組織に1つのみ存在し、他の製品とは別の課金方法およびサイクルを利用できます。
管理権限を持つロールには、組織管理者と製品管理者の2種類 (従来のエクスペリエンスをご利用の場合は組織管理者、サイト管理者、製品管理者の3種類) のほか、各製品内で閉じた管理権限 (Jiraのプロジェクト管理者、Confluenceのスペース管理者など) が存在します。なお、原則として上位の管理権限には下位の管理権限が含まれます。
組織管理者は組織レベルでの操作を行えます。具体的には次のようなものです。★はドメイン認証後、☆はAtlassian Accessの契約後に利用可能な機能です。
自社製品管理
組織内の全製品にアクセス可能なユーザーの管理 (権限変更、サイト/製品へのアクセス停止等)
データレジデンシーの設定 (Standard、Premium、Enterpriseプラン)
リリーストラックの設定およびサンドボックスの作成 (Premium、Enterpriseプラン)
IP許可リストの設定 (Premium、Enterpriseプラン)
自社ユーザー管理
★ 自社ドメインの管理対象アカウントの管理 (変更、削除、パスワードリセット等)
★☆ 強制2段階認証
★ パスワードポリシー
★ セッション長
★☆ SAMLシングルサインオン、ユーザープロビジョニングのセットアップ
Google Workspace連携のセットアップ
全般的な管理
インサイト情報の把握 (Atlassian AccessまたはPremium、Enterpriseプラン)
製品管理者は管理権限を付与されている製品について、次のような操作を行えます。
製品内の管理画面へのアクセスおよびそれらの利用
製品へのユーザー招待
それではこれらの権限に対し、社内のどのような立場の人を割り当てていくのがよいでしょうか。
まずは組織管理者について考えてみます。組織管理者を誰が担当するかは、ドメイン認証の有無や組織内のサイトの数の予定に応じて異なってきます。
組織では、自社ドメインの認証を行い、そのドメインのメールアドレスを持つすべてのユーザーを管理下に含める機能を利用できます (注: この機能はドメイン単位でのユーザー管理のみを目的としており、組織内の製品とは独立します。自社ドメインのユーザーが他社製品にのみアクセスしている場合であってもそのユーザーは自社の管理対象になります)。ユーザーを管理対象にすると、ユーザー情報の編集や無効化、パスワードポリシーなどを中央から適用できます。また、別途Atlassian Accessを契約することで、強制SSO (要IdP)、強制2段階認証、セキュリティポリシーの適用、ユーザープロビジョニングなども行えます。
ドメイン認証を行うにあたっては貴社社内のwebサーバーまたはDNSサーバーへのアクセスが必要になります。また、この機能では、ドメイン認証を行ったユーザーの社内での所属先にかかわらず当該ドメインのすべてのユーザーが管理下になります。このため、ドメイン認証機能の利用予定がある場合は組織管理者に社内のID管理者を設定することをおすすめします。
ドメイン認証機能の利用予定がない場合は、組織内に含めるサイトの数を検討することをおすすめします。
組織管理者はサイト内の全製品の管理権限を自動的に持ちます。このため、たとえば1つの組織内に複数のサイトが存在する場合は、それら両方の管理、閲覧、請求情報の確認を行っても差し支えない立場の方を組織管理者に設定するのが望ましいかと思います。
1つの組織に1つのサイトのみが存在するようでしたら、組織管理者と製品管理者を同じにしてしまっても差し支えないかもしれません。
なお、予期せぬ事態 (組織管理者の不在、SSOの設定ミスなど) に備え、組織管理者には管理対象外のドメインを含む複数のユーザーを設定していただくことをおすすめします。
製品管理者は製品内で閉じた管理権限を持ちます。製品の管理機能はすべて利用できますが、組織画面にアクセスすることはできず、請求情報の確認やユーザー管理機能の利用はできません。このため、個々の製品の導入単位での管理層を割り当てていただくことをおすすめします。
サイト内の製品の請求は同じ期間と支払い方法が適用されます (Cloud Enterpriseを除く)。このため、社内で予算の権限を持つ単位 (部門やチーム) ごとにサイトをご利用いただくことがもっとも一般的です。
準備が整ったらいよいよ利用を開始しましょう!クラウド製品の利用は基本的に製品レベルで開始されます (例外としてAtlassian Accessは組織から開始します)。こちらから利用を開始していただけます。
https://www.atlassian.com/ja/try
クラウド製品の利用を初めて開始する場合、ご希望の製品を選んでURLを入力すると、製品の有効化とともに、対応するサイトと組織が自動的に作成されます。このときの操作者が最初の組織管理者になります。組織管理者は製品の有効化後、組織の画面から他の組織管理者を追加できます。
すでに他のクラウド製品を利用している場合、新しく開始する製品を既存のサイトに紐付けるか新しいサイトで開始するかを選んでいただけます。既存のサイトに紐付けるには、操作者が、対象のサイトが所属する組織の組織管理者である必要があります。
製品はサインアップ時にお選びいただいだプランの無料トライアルで開始されます。トライアル以降の手続きについてはこちらのページをご確認ください。
こちらのページもご確認ください。
1社で複数の組織を利用することはできますか?
はい。
1つの組織で複数のドメインを認証することはできますか?
はい。
複数の組織で1つのドメインを認証することはできますか?
いいえ。1つのドメインの認証は1つの組織でのみ可能で、複数の組織で同じドメインを認証することはできません (つまり、管理対象ユーザーは1つの組織でのみ管理されます)。
ドメイン認証に費用は発生しますか?
いいえ。
組織管理者を追加するにはどうすればよいですか?
こちらのページをご確認ください。
複数の組織を統合することはできますか?
現時点ではできません。組織間での製品の転送機能の利用をご検討ください。なお、本機能は2023年1-3月に実装予定です。
既存の組織に新しいサイト (URL) を追加するにはどうすればよいですか?
組織の製品メニューにある [製品を追加] ボタンをクリックし、プロンプトに従ってください。
新しく組織を追加するにはどうすればよいですか?
新しいURLで製品の利用を開始していただくことをおすすめしていますが、管理対象になるユーザーがBitbucketやTrelloのみを利用している場合はhttps://admin.atlassian.com/o/create をご利用いただけます。
組織を削除するにはどうすればよいですか?
恐縮ながら現時点で組織を削除することはできませんが、本機能は近日中に実装予定です。
Ai Hirama
Technical Support Manager
61 accepted answers
0 comments