本ページでは、アトラシアン組織でドメイン認証を行う際のご留意事項についてまとめました。

【対象読者】

• Atlassian Accessを導入して、SSOや2段階認証の強制、IDプロバイダーと連携してユーザープロビジョニングを検討中の方
• 組織のユーザーを一元管理したい管理者の方

など

（※「組織」とはアトラシアン組織を指します。アトラシアン組織とは、JiraやConfluenceを構成する「クラウドサイト」を包括する、さらに上位の階層です。詳しくはこちら）

 

組織管理者は、自社メールアドレスのドメインを認証し、そのドメインを利用するユーザーを組織の管理対象アカウントにすると

1. 自社ドメインユーザーの情報の管理権限を得られる

2. 自社ドメインユーザーの無効化・削除の権限を得られる

3. Atlassian Access（2段階認証・SAML SSO）を導入できる

などの各種メリットを享受することができます。

 

ただし「ドメイン認証」は、自社ドメインならびに、そのドメインを使用するアカウントを「所有」していることを証明する重要な手続きです。

実際にドメイン認証を行う前には、下記の点にご留意いただいたうえで実行いただくことをお勧めいたします。

貴社内で他に、アトラシアン製品を利用している部署・チームはないか？他にも製品を利用しているチーム・部署がある場合、それらのチームはドメイン認証を検討していないか？

貴社内でアトラシアン製品を利用している部署やチームが複数ある場合、その部署・チームごとにそれぞれ「組織」を所有している可能性があります。

固有ドメインを認証できるのは、1つの組織のみとなります。

あなたの組織でドメインを認証すると、以降、他のどの組織もそのドメインを認証することはできません。ドメイン認証前に、貴社内でほかにドメイン認証を行いたい部署やチームがないか、もしくは「Atlassian Access」の導入検討をしていないか、事前にご確認いただくことをお勧めいたします。

なぜドメイン認証を検討中の組織がないか確認する必要があるのか？

ドメイン認証が完了すると、あなたの組織の管理者が、認証したドメインの全社レベルでの責任者になります。他の組織の管理者や、あるいはユーザーからのリクエストなどついては、全てあなたの組織の管理者が担うことになります。

自分の組織が、全社レベルでの責任者になることが難しい場合には？

貴社内のITやセキュリティを統括する部門などが、貴社のドメインをもつユーザーを一元管理する体制を構築されることをお勧めいたします。

ユーザー管理のみを行える部門がない場合や、他の組織に影響を与えることなく自分の組織だけでドメイン認証したい場合には？

ドメイン認証を行う過程で、組織の管理対象は

• 認証するドメインを利用する「全て」のユーザー

• 認証するドメインを利用する「一部」のユーザーに限定

のどちらか選択することができます。

管理対象としてあなたの組織の配下に置いたユーザーには、パスワード要件の設定・Atlassian Accessを利用して2段階認証やSSOの強制を行うことができます。

一方で管理対象としなかったユーザーには、あなたの組織でドメイン認証が完了しても、影響を与えることはありません。ただし、管理対象外のユーザーに対しては、パスワード要件の設定や2段階認証の強制を行うことはできません。

他の組織に影響を与えることなくドメイン認証ができるのに、問題が生じることがあるのか？

ドメイン認証において問題が生じるのは、あなたの組織以外の組織（仮に組織Bと称します）がドメイン認証を検討し始めたタイミング、もしくはAtlassian Accessの導入を検討し始めたタイミングです。前述の通り、あなたの組織でドメイン認証を行うと、組織Bではそのドメインを認証することができません。

組織Bの管理者が、希望するユーザー管理業務を行うためには、下記いずれかの方法が考えられます。

1. 組織B配下のユーザー管理業務を、あなたの組織の管理者が代理で行う

2. 組織Bの管理者を、あなたの組織の管理者として追加する

運用については、「誰が」ユーザー管理を担うのかが明確になれば比較的簡単に問題解決が可能です。
ただし、Atlassian Accessをすでに導入している場合には「費用の計上」や「IDプロバイダーとの接続」について、ご注意ください。（次項をご参照ください）

Atlassian Accessの契約では、サイトや認証ポリシー単位など、任意のグルーピングで請求を分けることはできるのか？

Atlassian Accessの費用は、Atlassian Accessを利用している組織で発生します。ですので例えば、あなたの組織で「組織B配下のユーザー」という名目でユーザー管理を行なっても、ご請求を組織ごとに分割することは、残念ながらできません。

このような場合には、組織や部署ごとのAtlassian Access 請求対象ユーザーをカウントしていただき、その人数によって費用を按分する処理を貴社内で行なっていただく方法を推奨しております。

自分の組織ではOktaを利用しているが、他の組織ではAzure ADを利用している。2つのIDプロバイダーを接続することは可能？

Atlassian Accessで連携できるIDプロバイダーは1つのみとなります。
（ただし、Atlassian Cloud Enterprise プランに同梱されるAtlassian Accessでは、複数のIDプロバイダーと接続いただくことができます）

 

ドメイン認証について不安がある

お気軽にアトラシアンサポートまでお問い合わせくださいませ。