認証設定を構成する
TeamCity は、内部データベースを介してユーザーを認証することも、システムに統合して、Windows ドメイン、LDAP、Git ホスティングプロバイダーなどの外部認証ソースを使用することもできます。
認証モジュール
認証は管理 | 認証ページで構成されます。現在使用されている認証モジュールも表示されます。
TeamCity は、最も一般的な使用例をカバーするために、いくつかの事前構成された認証オプション(プリセット)を提供します。プリセットは、TeamCity でサポートされている認証モジュールの組み合わせです。
TeamCity に最初にサインインすると、組み込みおよび基本 HTTP 認証モジュールを含むデフォルトの認証が有効になります。
既存の設定を変更するには、有効な認証モジュールの説明の横にある編集をクリックします。
別の事前設定されたスキームに切り替えるには、プリセットを読み込むボタンを使用します。
プリセットの使用
事前設定されたモジュールのセットをロードするには、プリセットを読み込むボタンを使用し、必要なオプションを選択して、変更を適用します。次のプリセットを使用できます。
複数の認証モジュールの有効化
TeamCity を使用すると、複数の認証モジュールを同時に有効にできます。
ユーザーがサインインしようとすると、モジュールが 1 つずつ試行されます。それらの 1 つがユーザーを認証すると、ログインは成功します。それらすべてが失敗した場合、ユーザーは TeamCity にサインインできなくなります。
内部認証と外部認証を組み合わせて使用することができます。推奨されるアプローチは、最初に内部従業員用に LDAP の統合を構成してから、外部ユーザー用にビルトイン認証を追加することです。TeamCity 2020.2 以降、OAuth サービスを介した認証を有効にすることもできます。
モジュールを追加するには:
モジュールの追加をクリックし、ドロップダウンメニューからモジュールを選択します。
モジュールの追加ダイアログのチェックボックスを選択して、モジュールで使用可能なプロパティを使用します。
変更を適用および保存をクリックします。
一般的な認証設定
一般設定ブロックでは、次のことができます。
サーバーでゲストログインを有効にし、ゲストユーザー名を変更します。このオプションを有効にする前に、セキュリティに関する注意事項を参照してください。
ログインフォームの表示をカスタマイズします。紹介テキストを入力し、デフォルトのユーザー名 / パスワードフィールドを非表示にします(サードパーティサービスによる認証が必要な場合に便利です)。
プロジェクトごとの承認モードを有効にします。
二要素認証を有効にします。
すべての TeamCity ユーザーに対してメール検証を強制します。
現在サインインしているすべてのユーザーをログアウトし、すべてのパーソナルアクセストークンを削除します。
ユーザー認証設定
TeamCity サーバーがユーザーなし(および管理者なし)で起動するのは初めてなので、最初のユーザーは管理者アカウントの入力を求められます。管理者アカウントの入力を求められない場合は、管理者パスワードを取得する方法で解決策を確認してください。
TeamCity 管理者は、プロファイルページですべてのユーザーの認証設定を変更できます。
ユーザーと認証モジュールの TeamCity リストは、外部資格情報をユーザーにマップするだけです。これは、入力された資格情報が同じ TeamCity ユーザーにマップされている場合、単一の TeamCity ユーザーが異なるモジュールを使用して認証できることを意味します。認証モジュールには、外部ユーザーデータを TeamCity ユーザーにマップする方法に関する構成があり、一部のモジュールでは、TeamCity ユーザープロファイルのデータをリンクする外部ユーザーを編集できます。
バンドルされた認証モジュールによるユーザーマッピングの処理
組み込みの認証により、TeamCity が管理する各ユーザーのパスワードが保存されます。
Windows ドメイン認証では、デフォルトドメインを指定でき、ドメインアカウント名が TeamCity ユーザーと同じであると想定されます。ドメインアカウントは、ユーザープロファイルページで編集できます。
LDAP 統合により、LDAP プロパティを設定して、ユーザーの LDAP エントリから TeamCity ユーザー名を取得できます。
Git ホスティングプロバイダーに対応するモジュールを使用すると、管理者はユーザー名を使用してユーザーを外部アカウントにマッピングできます。各ユーザーは、自分のプロファイルをプロファイル | 一般 | 認証設定の外部 Git ホスティングアカウントに接続できます。
認証設定を変更するときは注意してください: 認証モジュールを変更した後、管理者がサインインできなくなる場合があります。
管理者が「jsmith」という TeamCity ユーザー名を持ち、デフォルトの認証を使用しているとします。その後、認証モジュールが Windows ドメイン認証に変更されました (つまり、Windows ドメイン認証モジュールが追加され、デフォルトの認証モジュールが削除されました)。たとえば、その管理者の Windows ドメインユーザー名が「john.smith」の場合、その管理者はサインインできなくなります。デフォルトの認証は無効になっているため、Windows ドメイン認証も無効です。また、Windows ドメインユーザー名が TeamCity ユーザー名と一致しないため、Windows ドメイン認証も無効です。しかし、解決策は非常に簡単です。管理者はスーパーユーザーアカウントを使用してサインインし、自分のプロファイルページで TeamCity ユーザー名を変更したり、Windows ドメインユーザー名を指定したりできます。
特別なユーザーアカウント
デフォルトでは、TeamCity は最大権限を持つスーパーユーザーアカウントと最小権限を持つゲストユーザーアカウントを持っています。これらのアカウントは、特定の人物に関連するものではなく、特別な使用例を目的としているため、変更ページやプロファイル情報などの個人設定はありません。
認証情報認証モジュール
組み込み認証
デフォルトでは、TeamCity は組み込みの認証を使用し、ユーザーとそのパスワードを単独で維持します。
初めて TeamCity にサインインするとき、ユーザーは TeamCity のユーザー名とパスワードを作成するように求められます。これらは TeamCity に保存され、認証に使用されます。TeamCity をインストールしてサインインした場合、組み込み認証が有効になり、すべてのユーザーデータが TeamCity に保存されていることを意味します。
最初は、ユーザーデータベースは空です。新しいユーザーは、TeamCity 管理者によって追加されるか、認証モジュール設定で対応するオプションが有効になっている場合はユーザーが自分で登録します。新しく作成されたすべてのユーザーはすべてのユーザーグループに属し、このグループに割り当てられたすべてのロールを持ちます。新しく登録されたユーザーに特定のロールが必要な場合は、これらのロールをすべてのユーザーグループ経由で付与する必要があります。
デフォルトでは、ユーザーは自分のプロファイルページで自分のパスワードを変更できます。
トークンベース認証
トークンベースの認証モジュールを使用すると、ユーザーは自分で作成および無効化できるアクセストークンを使用して認証できます。この認証モジュールはデフォルトで有効になっています。
Windows ドメイン認証
ユーザーが Windows ドメイン名とパスワードを使用してサインインできるようにします。TeamCity は、これらの資格情報をチェックします。サーバーは、ユーザーがサインインに使用するドメインを認識している必要があります。ユーザー名でサポートされている構文は、DOMAIN\user.name または <username>@<domain> です。
ログインフォームを使用してサインインするだけでなく、NTLM HTTP 認証シングルサインオンを有効にすることもできます。
「Microsoft Windows ドメイン」プリセットを選択した場合、Windows ドメイン経由のログインに加えて、基本 HTTP および NTLM 認証モジュールがデフォルトで有効になります。
デフォルトドメインの指定
ユーザーがユーザー名の一部としてドメインを指定せずにログインフォームを使用してシステムに入ることができるようにするには、次の手順を実行します。
管理 | 認証に移動します。
Microsoft Windows ドメイン認証の説明の横にある編集をクリックします。
デフォルトドメインフィールドに名前を設定します。
変更を終了および保存をクリックします。
ログイン時に新規ユーザーを登録する
デフォルト設定では、ユーザーはログインページから登録できます。新規ユーザーの TeamCity ユーザー名は、Windows ドメインアカウントと同じになります。
新しく作成されたすべてのユーザーはすべてのユーザーグループに属し、このグループに割り当てられたすべてのロールを持ちます。新しく登録されたユーザーに特定のロールが必要な場合は、これらのロールをすべてのユーザーグループ経由で付与する必要があります。
ログイン時に新規ユーザー登録を無効にするには
管理 | 認証に移動します。
Microsoft Windows ドメイン認証の説明の横にある編集をクリックします。ログインページからユーザー登録を許可するボックスをクリアします。
NTLM HTTP 認証の説明の横にある編集をクリックします。ログインページからユーザー登録を許可するボックスをクリーンアップします。
Linux 固有の設定
TeamCity サーバーが Linux で実行されている場合、Windows ドメインログインには JCIFS ライブラリが使用されます。これは、SMB (SMBv1) が有効になっている Windows ドメインサーバーのみをサポートします。SMB2 はサポートされていません。
ライブラリは、 <TeamCity Data Directory> /config/ntlm-config.properties ファイルで指定されたプロパティを使用して構成されます。ファイルへの変更は、サーバーを再起動せずにすぐに有効になります。
実行時に変更できない JCIFS ライブラリ設定、または HTTP NTLM 設定に影響を与える設定は、-Djcifs.properties JVM オプションを介して渡されるプロパティのファイルを介してのみ設定できます。
デフォルト設定が環境で機能しない場合は、使用可能なすべての構成プロパティについては JCIFS(英語) を参照してください。
ライブラリが認証するドメインコントローラーを見つけられない場合は、WINS サーバーのアドレスを含む jcifs.netbios.wins プロパティを ntlm-config.properties ファイルに追加することを検討してください。その他のドメインサービスの検索プロパティについては、JCIFS(英語) を参照してください。
LDAP 認証
専用ページをご参照ください。
HTTP/SSO 認証モジュール
基本 HTTP 認証
基本 HTTP 認証の詳細については、HTTP によるサーバーへのアクセスを参照してください。
NTLM HTTP 認証
専用ページをご参照ください。
Bitbucket クラウド
ユーザーは、Bitbucket クラウドアカウントを使用して TeamCity にサインインできます。
このモジュールを有効にする前に、ルートプロジェクトの設定で Bitbucket クラウド接続を構成し、Bitbucket で専用アプリケーションを構成する必要があります。
サインインするには、ログインフォームの上にある Bitbucket アイコンをクリックし、リダイレクト後に TeamCity アプリケーションを承認します。Bitbucket のメールアドレスを持つユーザーが登録されており、このメールアドレスが TeamCity と Bitbucket の両方で確認されている場合、この Bitbucket アカウントはそれぞれの TeamCity ユーザーにマッピングされ、サインインできます。それ以外の場合、最初のログイン時に新しいユーザーの作成を許可するオプションが無効になっていない限り、TeamCity は新しいユーザープロファイルを作成します。既存の TeamCity ユーザーを Bitbucket クラウドプロファイルにマッピングすることもできます。
設定 | 説明 |
|---|---|
最初のログイン時に新しいユーザーの作成を許可する | デフォルトで有効になっています。このオプションが無効になっている場合、指定された外部メールが認識されない場合、TeamCity は新しいユーザーを作成しません。これは、公開されている TeamCity サーバーを使用しており、そのサーバーへのアクセスを制限したい場合に役立ちます。 |
すべての Bitbucket ユーザーにログインを許可する | デフォルトでは無効です。 このオプションが有効な場合、ユーザーはどのワークスペースからでも TeamCity サーバーにアクセスできます。特定のワークスペースへのアクセスを制限するには、代わりに認証を制限する設定を使用します。 |
認証を制限する | ワークスペース(英語)の ID のコンマ区切りのリスト。 このリストは、Bitbucket クラウドアカウントを使用して TeamCity に登録または認証できるユーザーのセットを、指定されたワークスペースに制限します。この設定を最初のログイン時に新しいユーザーの作成を許可するオプションと組み合わせると、指定されたワークスペースのいずれかにメールを持ち、TeamCity にユーザープロファイルを持たないユーザーを自動的に登録できます。 |
GitHub
ユーザーは、GitHub.com および GitHub Enterprise アカウントを使用して TeamCity にサインインできます。TeamCity は、このタスク用に 3 つの独立したモジュールを提供します。
GitHub.com モジュールでは、ルートプロジェクトの OAuth GitHub.com 接続を作成する必要があります。
GitHub エンタープライズモジュールでは、ルートプロジェクトの OAuth GitHub エンタープライズ接続を作成する必要があります。
GitHub アプリモジュールでは、ルートプロジェクトの GitHub アプリを作成する必要があります。この接続タイプは、GitHub.com と GitHub Enterprise の両方のユーザーが利用できます。
サインインするには、ユーザーはユーザー名フィールドの上にある GitHub アイコンをクリックする必要があります。この GitHub メールを持つユーザーがすでに登録されており、そのメールが TeamCity と GitHub の両方で検証されている場合、ユーザーの GitHub アカウントはそれぞれの TeamCity ユーザーにマッピングされ、このユーザーはサインインします。
それ以外の場合、TeamCity は新しいユーザープロファイルを作成します。対応する認証モジュール設定でこの動作を無効にすることができます。この場合、すでに登録されているユーザーのみがサインインできます。既存の TeamCity ユーザーを GitHub.com プロファイルにマッピングすることもできます。
3 つのモジュールはすべて同じ設定になっています。
設定 | 説明 |
|---|---|
最初のログイン時に新しいユーザーの作成を許可する | デフォルトで有効になっています。 このオプションが無効になっている場合、指定された外部メールが認識されない場合、TeamCity は新しいユーザーを作成しません。これは、公開されている TeamCity サーバーを使用していて、そのサーバーへのアクセスを制限したい場合に役立ちます。 |
すべての GitHub ユーザーにログインを許可する | デフォルトでは無効です。 このオプションを有効にすると、どの組織のユーザーも TeamCity サーバーにアクセスできます。特定の組織へのアクセスを制限するには、代わりに認証を制限する設定を使用します。 |
認証を指定した組織のユーザーに制限する | 組織(英語)の ID のコンマ区切りのリスト。 このリストは、GitHub アカウントを使用して TeamCity に登録または認証できるユーザーのセットを、指定された組織に制限します。最初のログイン時に新しいユーザーの作成を許可するオプションと組み合わせると、この設定により、指定された組織のいずれかにメールを持ち、TeamCity にユーザープロファイルを持たないユーザーを自動的に登録できます。 |
GitLab.com
バージョン 2020.2 以降、ユーザーは GitLab.com アカウントで TeamCity にサインインできます。
このモジュールを有効にする前に、ルートプロジェクトの設定で GitLab.com 接続を構成し、GitLab で専用アプリケーションを構成する必要があります。
サインインするには、ログインフォームの上にある GitLab アイコンをクリックし、リダイレクト後に TeamCity アプリケーションを承認します。GitLab のメールアドレスを持つユーザーが登録されており、このメールアドレスが TeamCity と GitLab の両方で検証されている場合、この GitLab アカウントはそれぞれの TeamCity ユーザーにマッピングされ、サインインできます。それ以外の場合、最初のログイン時に新しいユーザーの作成を許可するオプションが無効になっていない限り、TeamCity は新しいユーザープロファイルを作成します。既存の TeamCity ユーザーを GitLab.com プロファイルにマッピングすることもできます。
設定 | 説明 |
|---|---|
最初のログイン時に新しいユーザーの作成を許可する | デフォルトで有効になっています。 このオプションが無効になっている場合、指定された外部メールが認識されない場合、TeamCity は新しいユーザーを作成しません。これは、公開されている TeamCity サーバーを使用していて、そのサーバーへのアクセスを制限したい場合に役立ちます。 |
すべての GitLab ユーザーにログインを許可する | デフォルトでは無効です。 このオプションを有効にすると、どのグループのユーザーも TeamCity サーバーにアクセスできます。特定のグループへのアクセスを制限するには、代わりに認証を制限する設定を使用します。 |
認証を制限する | グループ(英語)の ID のコンマ区切りのリスト。 このリストは、GitLab アカウントを使用して TeamCity に登録または認証できるユーザーのセットを、指定されたグループに制限します。最初のログイン時に新しいユーザーの作成を許可するオプションと組み合わせると、この設定により、指定されたグループのいずれかにメールを持ち、TeamCity にユーザープロファイルを持たないユーザーを自動的に登録できます。 |
GitLab CE/EE
ユーザーは GitLab CE/EE アカウントで TeamCity にサインインできます。
このモジュールを有効にする前に、ルートプロジェクトの設定で GitLab CE/EE 接続を構成し、GitLab で専用アプリケーションを構成する必要があります。
サインインするには、ログインフォームの上にある GitLab アイコンをクリックし、リダイレクト後に TeamCity アプリケーションを承認します。GitLab のメールアドレスを持つユーザーが登録されており、このメールアドレスが TeamCity と GitLab の両方で検証されている場合、この GitLab アカウントはそれぞれの TeamCity ユーザーにマッピングされ、サインインできます。それ以外の場合、最初のログイン時に新しいユーザーの作成を許可するオプションが無効になっていない限り、TeamCity は新しいユーザープロファイルを作成します。既存の TeamCity ユーザーを GitLab CE/EE プロファイルにマッピングすることもできます。
設定 | 説明 |
|---|---|
最初のログイン時に新しいユーザーの作成を許可する | デフォルトで有効になっています。 このオプションが無効になっている場合、指定された外部メールが認識されない場合、TeamCity は新しいユーザーを作成しません。これは、公開されている TeamCity サーバーを使用していて、そのサーバーへのアクセスを制限したい場合に役立ちます。 |
すべての GitLab ユーザーにログインを許可する | デフォルトでは無効です。 このオプションを有効にすると、どのグループのユーザーも TeamCity サーバーにアクセスできます。特定のグループへのアクセスを制限するには、代わりに認証を制限する設定を使用します。 |
認証を制限する | グループ(英語)の ID のコンマ区切りのリスト。 このリストは、GitLab アカウントを使用して TeamCity に登録または認証できるユーザーのセットを、指定されたグループに制限します。最初のログイン時に新しいユーザーの作成を許可するオプションと組み合わせると、この設定により、指定されたグループのいずれかにメールを持ち、TeamCity にユーザープロファイルを持たないユーザーを自動的に登録できます。 |
バージョン 2022.10 以降、ユーザーは Google アカウントで TeamCity にサインインできます。
このモジュールを有効にする前に、ルートプロジェクトの設定で Google 接続を構成する必要があります。
サインインするには、ログインフォームの上にある Google アイコンをクリックし、リダイレクト後に TeamCity アプリケーションを承認します。Google メールを持つユーザーが登録されており、このメールが TeamCity で検証されると、この Google アカウントがそれぞれの TeamCity ユーザーにマッピングされ、サインインできます。それ以外の場合は、最初のログイン時に新しいユーザーの作成を許可するオプションが無効になっていない限り、TeamCity によって新しいユーザープロファイルが作成されます。既存の TeamCity ユーザーを Google プロファイルにマッピングすることもできます。
設定 | 説明 |
|---|---|
最初のログイン時に新しいユーザーの作成を許可する | デフォルトで有効になっています。 このオプションが無効になっている場合、指定された外部メールが認識されない場合、TeamCity は新しいユーザーを作成しません。これは、公開されている TeamCity サーバーを使用していて、そのサーバーへのアクセスを制限したい場合に役立ちます。 |
二要素認証をスキップする | 組織がユーザーの Google アカウントへのログインに 2FA をすでに要求している場合は、冗長な検証を減らすために、このオプションをオンにします。 ユーザーに追加の検証に合格してもらいたい場合は、この設定をオフにします。 詳細: 過剰な認証リクエストの削減。 |
gmail.com を含むすべてのドメインのユーザーがログインできるようにする | デフォルトでは無効です。 このオプションを有効にすると、どのドメインのユーザーも TeamCity サーバーにアクセスできます。特定のドメインへのアクセスを制限するには、代わりに認証を制限する設定を使用します。 |
認証を制限する | 組織のドメインのコンマ区切りリスト。例: このリストは、Google アカウントを使用して TeamCity に登録または認証できる一連のユーザーを、指定されたドメインのユーザーに制限します。 この設定を最初のログイン時に新しいユーザーの作成を許可するオプションと組み合わせると、指定されたドメインのいずれかにメールを持ち、TeamCity にユーザープロファイルを持たないユーザーを自動的に登録できます。 |
JetBrains Space
このモジュールを有効にする前に、ここで説明されているように、JetBrains Space で専用のアプリケーションを作成し、ルートプロジェクトの設定でそのアプリケーションへの接続を構成する必要があります。
接続が構成されたら、管理 | 認証に移動して次のことを行います。
モジュールの追加をクリックし、JetBrains Space タイプを選択します。
最初のログイン時に新しいユーザーの作成を許可するかどうかを選択します。これは、公開されている TeamCity サーバーを使用していて、そのサーバーへのアクセスを制限したい場合に役立ちます。
ユーザーがログイン時に追加の 2FA 検証に合格するようにするには (Space へのログイン時に合格した場合でも)、二要素認証をスキップする設定のチェックを外します。詳細: 過剰な認証リクエストの削減。
モジュールを保存します。
サインインするには、TeamCity ログインフォームの上にある JetBrains Space アイコンをクリックし、リダイレクト後に TeamCity アプリケーションを承認します。
Azure DevOps サービス
このモジュールを有効にする前に、ルートプロジェクトの設定で Azure DevOps Services インスタンスへの専用接続を作成する必要があります。
設定 | 説明 |
|---|---|
二要素認証をスキップする | 組織でユーザーが Azure DevOps アカウントにログインする際に 2FA がすでに必要な場合は、冗長な検証を減らすために、このオプションをオンにします。 ユーザーに追加の検証に合格してもらいたい場合は、この設定をオフにします。 詳細: 過剰な認証リクエストの削減。 |
最初のログイン時に新しいユーザーの作成を許可する | デフォルトで有効になっています。 このオプションが無効になっている場合、指定された外部メールが認識されない場合、TeamCity は新しいユーザーを作成しません。これは、公開されている TeamCity サーバーを使用していて、そのサーバーへのアクセスを制限したい場合に役立ちます。 |
すべての Azure ユーザーにログインを許可する | デフォルトでは無効です。 このオプションを有効にすると、どの組織のユーザーも TeamCity サーバーにアクセスできます。特定の組織へのアクセスを制限するには、代わりに認証を制限する設定を使用します。 |
認証を制限する | Azure DevOps 組織のコンマ区切りのリスト。 このリストは、Azure アカウントを使用して TeamCity に登録または認証できる一連のユーザーを、指定された組織のユーザーに制限します。 この設定を最初のログイン時に新しいユーザーの作成を許可するオプションと組み合わせると、指定された組織のいずれかにアカウントを持ち、TeamCity にユーザープロファイルを持たないユーザーを自動的に登録できます。 |
サインインするには、TeamCity ログインフォームの上にある Azure DevOps アイコンをクリックし、リダイレクト後、TeamCity アプリケーションを承認します。
HTTP SAML 2.0
このモジュールは、SAML 2.0(英語) を介した TeamCity でのシングルサインオン認証を有効にします。Okta(英語)、OneLogin(英語)、AWS SSO(英語)、AD FS、その他の SSO プロバイダーをサポートすることが確認されています。
モジュールを有効にするには、管理 | 認証で:
モジュールの追加をクリックし、HTTP-SAML.v2 タイプを選択します。
設定を保存して、管理 | SAML 設定に移動します。
サービスプロバイダーの構成セクションのシングルサインオン URL (受取人) 値をコピーします。これは、以下で説明するように、SSO アプリケーションの設定に入力する必要があります。
TeamCity で SAML 設定を行う前に、SSO プロバイダ側で専用のアプリケーションを作成する必要があります。Okta の場合の簡単な手順例を以下に示します。
Okta ダッシュボードで、アプリケーションを開きます。
アプリ統合を作成するをクリックし、SAML 2.0 タイプを選択します。
アプリに名前を付け、SAML を構成するタブで、上記の手順の手順 3 でコピーした TeamCity サーバーのシングルサインオン URL を入力します。
アプリを保存します。
アプリの設定の代入タブで、割り当てをクリックし、TeamCity サーバーへのアクセスを許可する Okta グループのすべてのユーザーを選択します。
一般タブで、セットアップ手順を表示をクリックします。TeamCity にコピーする必要のある構成値が表示されます。
Okta の詳細な使い方はプラグインのリポジトリ(英語)にあります。他の SSO プロバイダーの設定は異なる場合がありますが、主要なアクションは同じです。
アプリの設定に TeamCity シングルサインオン URL を入力します。
必要なすべての SSO ユーザープロファイルがアプリに関連付けられていることを確認します。
アプリの SSOURL、発行者 URL、証明書の値をコピーします。
アプリが作成されたら、TeamCity で SAML 設定の構成に進みます。
設定 | 説明 |
|---|---|
ID プロバイダーの構成 | アプリの設定からコピーした SSOURL、発行者 URL、証明書の値を入力します。 オプションで、SSO プロバイダー側で証明書を更新しようとしているときはいつでも、追加の証明書をアップロードできます。TeamCity に新しい証明書をプリロードすると、更新中および更新後にプロバイダーとの信頼できる接続が中断されることはありません。 |
サービスプロバイダーの構成 | 受信者サーバーの自動生成された SSOURL、つまり TeamCity が含まれます。この URL は、SSO プロバイダー側でこの統合を構成するときに入力する必要があります。 SAML 設定を初めて保存した後、TeamCity はそれらを SP メタデータ XML ファイルにエクスポートします。このファイルへのダウンロードリンクは、この設定セクションにあります。このファイルを SSO プロバイダー側にアップロードして、TeamCity 構成を自動的に適用できます。 |
ユーザーを自動的に作成する | TeamCity は、SAML を介してサインインしているユーザーのメールがすでに TeamCity ユーザープロファイルに属していることを検出すると、このユーザーとして認証します。 メールが認識されない場合、動作はこのオプションの値によって異なります。
|
ログインボタンラベル | ログインフォームの SSO ログインボタンの名前を定義します。 |
SAML 厳密モード | リクエスト URL が予想されるコールバック URL(Teamcity ルート URL として設定)に準拠していることを確認します。追加のセキュリティチェックとして、本番環境でこのオプションを有効のままにしておくことを強くお勧めします。 |
SAML コールバック CORS ファイラー例外 | Teamcity CORS フィルターに例外を追加します。 |
ログインフォームを非表示にする | TeamCity の内部ユーザー名とパスワードを使用して通常のログインフォームを非表示にして、ユーザーが気を散らさないようにします。 |
関連ページ:
LDAP の統合
TeamCity の LDAP 統合には 2 つのレベルがあります: 認証(ログイン)とユーザーの同期: 認証により、LDAP サーバーの資格情報を使用して TeamCity にログインできます。LDAP 認証が設定されると、LDAP 同期を有効にして、TeamCity ユーザーセットに LDAP からのユーザーデータが自動的に入力されるようにすることができます。LDAP 統合は汎用的であり、Active Directory またはその他の LDAP サーバー用に構成できます。LDAP 統合の構成...
TeamCity データディレクトリ
TeamCity データディレクトリは、TeamCity サーバーが構成、ビルド結果、現在の操作ファイルを保存するために使用するファイルシステム上のディレクトリです。このディレクトリは、すべての構成設定の 1 次ストレージであり、TeamCity のインストールに不可欠なデータを保持します。ビルド履歴、ユーザーとそのデータ、その他のデータはデータベースに保存されます。ディレクトリとデータベースに保存されるデータの説明については、バックアップに関する注意事項を参照してください。このドキュメントや他...
ロールと権限の管理
TeamCity のユーザーアクセスレベルは、ユーザーに異なるロールを割り当てて、それぞれの権限を付与することによって処理されます。権限とは、ビルドを実行したり、ビルド構成設定を変更したりするなど、特定の操作を実行するための承認です。ロールとは、1 つまたはすべてのプロジェクトでユーザーに付与できる権限のセットであり、プロジェクトや UI のさまざまな機能へのアクセスを制御します。認証モード:TeamCity 認証は、シンプルモードと per-project モードの 2 つのモードをサポートしま...
二要素認証の管理
TeamCity サーバーで 2 要素ユーザー認証 (2FA) を有効にすると、セキュリティレベルがさらに強化されます。ユーザーは、通常の認証情報の提供と、個人のモバイルデバイスで生成された使い捨てキーの送信という 2 つの手順で ID を確認する必要があります。必要な 2FA 認証モードを選択するには、管理 | 認証ページに移動し、一般設定セクションまで下にスクロールします。認証設定を変更できるのはシステム管理者だけであることに注意してください。オプションユーザーは自分のアカウントに対して 2...
ユーザープロファイルの構成
ユーザープロファイル設定にアクセスするには、ヘッダーのアバターをクリックし、ドロップダウンメニューからプロファイルを選択します。パスワードを変更する:組み込み認証が設定されている場合、TeamCity サーバーはユーザー認証用のパスワードを保持します。プロファイル | 一般 | 組み込み認証でパスワードを変更できます。既存のパスワードと新しいパスワードを入力し、変更を保存をクリックします。パスワードは、組み込みの認証でのみ変更できます。これらのフィールドが表示されない場合は、TeamCity...
ユーザーの作成と管理
TeamCity のユーザーアカウントとは:ユーザーアカウントは、ユーザー名とパスワードの組み合わせで、TeamCity ユーザーがサーバーにサインインしてその機能を使用できるようにします。ユーザーアカウントは、使用される認証スキームに応じて手動で作成することも、サインイン時に自動的に作成することもできます (詳細については、認証モジュールセクションを参照してください)。各ユーザーアカウント: 対応する権限を通じてすべてまたは特定の TeamCity 機能へのアクセスを保証する関連するロールがあ...