YouTrack サーバー 2024.2 ヘルプ

Microsoft Entra ID 認証モジュール

Microsoft Entra ID 認証モジュールは、ユーザーが Microsoft Entra ID アカウントを使用して YouTrack にログインできるようにする事前構成された認証モジュールです。

カスタムテナント設定

この設定に従うと、ログインは、Microsoft Entra ID インスタンスに保存されているアカウントを持つユーザーに制限されます。Azure Active Directory (AD) テナントからのログイン要求を受け入れる場合は、共通テナントの手順に従ってください。

カスタムテナントの Microsoft Entra ID モジュールを作成する場合、認証モジュールの作成時にカスタムテナントのテナント ID を指定します。これにより、Azure テナント ID が、認証モジュールで使用される認証エンドポイントとトークンエンドポイントに自動的に追加されます。

新しいテナントの設定方法については、Microsoft Azure ドキュメントを参照してください。

Microsoft Entra ID モジュールを作成するには:

  1. 管理メニューから、アクセス管理> 認証モジュールを選択します。

  2. 新規モジュールドロップダウンリストから Microsoft エントラ ID を選択します。

    • 新しい Microsoft Entra ID モジュールダイアログが開きます。

      The dialog for creating a new Microsoft Entra ID auth module.

  3. 名前フィールドにモジュールの名前を入力します。

  4. Microsoft Azure のテナント ID フィールドの値をテナントフィールドに貼り付けます。

  5. ダイアログの作成ボタンをクリックしてください。

    • Auth モジュールページには、新しい Microsoft Entra ID 認証モジュールの設定が表示されます。

    • YouTrack は、承認サービスで使用するためのリダイレクト URI を生成します。

      The redirect URI for setting up the connection with the Microsoft Entra ID service.

  6. この機能がご使用のブラウザーでサポートされている場合は、コピーボタンを使用してリダイレクト URI をクリップボードにコピーしてください。

次の手順では、YouTrack の承認されたリダイレクト URI を Microsoft Azure ポータルに登録します。これにより、Microsoft Entra ID 認証モジュールを有効にするために必要なクライアント ID とシークレットにアクセスできるようになります。

このセットアップの実行方法については、Microsoft Azure の製品ドキュメント(英語)の指示に従ってください。

次の表に、この認証モジュールに必要な主要な構成オプションを示します。

設定

説明

サポートされているアカウントタイプ

これにより、サインインオーディエンスと呼ばれることもあるアプリケーションを誰が使用できるかが決まります。

この設定では、この組織ディレクトリ内のアカウントのみ(シングルテナント)オプションを選択します。

リダイレクト URI

YouTrack からのリダイレクト URI を入力フィールドに貼り付けます。タイプには、Web オプションを選択します。

アプリケーション(クライアント)ID

この値は、Azure ポータルにアプリケーションを登録するときに自動的に生成されます。

このフィールドの値を YouTrack のクライアント ID 設定として使用します。

クライアントシークレット | 値

この値は、アプリ登録エクスペリエンスの証明書とシークレットセクションで生成されます。

アプリケーションのクライアントシークレットを追加したら、クライアントシークレットの値を YouTrack のクライアントシークレットとして使用します。

API 権限

Microsoft Entra ID サービスの既存のグループメンバーシップを YouTrack のグループにマップするには、マイクロソフトグラフ API を操作するための次のアクセス許可をアプリケーションに付与する必要があります。

  • User.ReadAll

  • GroupMember.Read.All

両方のアクセス許可は、委譲されたアクセス許可として付与する必要があります。

アプリで現在使用できる権限の完全なリストは、API 権限ページに記載されています。

認証サービスに接続するために必要な値を取得したら、YouTrack で Microsoft Entra ID 認証モジュールを有効にすることができます。

Microsoft Entra ID 認証モジュールを有効にするには:

  1. Microsoft Azure からアプリケーション(クライアント)ID をコピーし、YouTrack 認証モジュールのクライアント ID 入力フィールドに貼り付けます。

  2. Microsoft Azure からクライアントシークレットの値をコピーし、YouTrack のクライアントシークレット入力フィールドに貼り付けます。

  3. 認証モジュールのオプション設定を構成します。詳しくは、追加設定を参照してください。

  4. ページの下部にある保存ボタンをクリックします。

  5. ヘッダーのモジュールを有効にするボタンをクリックしてください。

    • Microsoft Entra ID 認証モジュールが有効になっています。

    • ボタンイメージ設定に保存されているアイコンがログインダイアログウィンドウに追加されます。ユーザーはこのアイコンをクリックして、自分の Microsoft アカウントで YouTrack にログインできます。

共通テナント設定

共通テナントのエンドポイントを使用する Microsoft Entra ID モジュールは、OAuth 2.0 認証モジュールの標準セットアップに従います。このセットアップは、組織のメンバーではないユーザーを含む、任意の Azure Active Directory (AD) テナントからのログイン要求を受け入れます。会社の Microsoft Entra ID インスタンスに登録されているユーザーにログインを制限する場合は、カスタムテナントの手順に従ってください。

最初のステップは、auth モジュールを作成し、YouTrack にリダイレクト URI を生成することです。

YouTrack でリダイレクト URI を生成するには:

  1. 管理メニューからアクセス管理> 認証モジュールを選択します。

  2. 新規モジュールドロップダウンリストから Microsoft エントラ ID を選択します。

    • 新しい Microsoft Entra ID モジュールダイアログが開きます。

      The dialog for creating a new Microsoft Entra ID auth module.

  3. 名前フィールドにモジュールの名前を入力します。

  4. テナント ID フィールドは空のままにします。

  5. ダイアログの作成ボタンをクリックしてください。

    • Auth モジュールページには、新しい Microsoft Entra ID 認証モジュールの設定が表示されます。

    • YouTrack は、承認サービスで使用するためのリダイレクト URI を生成します。

      The redirect URI for setting up a connection with the Microsoft Entra ID service.

  6. この機能がご使用のブラウザーでサポートされている場合は、コピーボタンを使用してリダイレクト URI をクリップボードにコピーしてください。

次の手順では、YouTrack の承認されたリダイレクト URI を Microsoft Azure ポータルに登録します。これにより、Microsoft Entra ID 認証モジュールを有効にするために必要なクライアント ID とシークレットにアクセスできるようになります。

このセットアップの実行方法については、Microsoft Azure の製品ドキュメント(英語)の指示に従ってください。

次の表に、この認証モジュールに必要な主要な構成オプションを示します。

設定

説明

サポートされているアカウントタイプ

これにより、サインインオーディエンスと呼ばれることもあるアプリケーションを誰が使用できるかが決まります。

YouTrack の対象読者に最適なオプションを選択してください。

リダイレクト URI

YouTrack からのリダイレクト URI を入力フィールドに貼り付けます。タイプには、Web オプションを選択します。

アプリケーション(クライアント)ID

この値は、Azure ポータルにアプリケーションを登録するときに自動的に生成されます。

このフィールドの値を YouTrack のクライアント ID 設定として使用します。

クライアントシークレット | 値

この値は、アプリ登録エクスペリエンスの証明書とシークレットセクションで生成されます。

アプリケーションのクライアントシークレットを追加したら、クライアントシークレットの値を YouTrack のクライアントシークレットとして使用します。

API 権限

Microsoft Entra ID サービスの既存のグループメンバーシップを YouTrack のグループにマップするには、マイクロソフトグラフ API を操作するための次のアクセス許可をアプリケーションに付与する必要があります。

  • User.ReadAll

  • GroupMember.Read.All

両方のアクセス許可は、委譲されたアクセス許可として付与する必要があります。

アプリで現在使用できる権限の完全なリストは、API 権限ページに記載されています。

認証サービスに接続するために必要な値を取得したら、YouTrack で Microsoft Entra ID 認証モジュールを有効にすることができます。

Microsoft Entra ID 認証モジュールを有効にするには:

  1. Microsoft Azure からアプリケーション(クライアント)ID をコピーして、YouTrack のクライアント ID 入力フィールドに貼り付けます。

  2. Microsoft Azure からクライアントシークレットの値をコピーし、YouTrack のクライアントシークレット入力フィールドに貼り付けます。

  3. 認証モジュールのオプション設定を構成します。詳しくは、追加設定を参照してください。

  4. ページの下部にある保存ボタンをクリックします。

  5. ヘッダーのモジュールを有効にするボタンをクリックしてください。

    • Microsoft Entra ID 認証モジュールが有効になっています。

    • ボタンイメージ設定に保存されているアイコンがログインダイアログウィンドウに追加されます。ユーザーはこのアイコンをクリックして、自分の Microsoft アカウントで YouTrack にログインできます。

設定

設定ページの最初のセクションには、認証モジュールの一般設定が表示されます。ここには、YouTrack を許可サービスに登録するために使用するリダイレクト URI、および許可サービスで生成されたクライアント IDクライアントシークレットを保管する入力フィールドもあります。

設定

説明

タイプ

YouTrack のサードパーティー認証が有効になっている認証サービスの種類を表示します。

名前

認証モジュールの名前を格納します。この設定を使用して、このモジュールを Auth モジュールリスト内の他の認証モジュールと区別します。

ボタンイメージ

接続されている認証サービスで、自分のアカウントで YouTrack にログインするためにユーザーがクリックするボタンに使用されるイメージを表示します。JPG、GIF、PNG ファイルをアップロードできます。イメージは自動的に 48 x 48 ピクセルにサイズ変更されます。

リダイレクト URI

認証サービスで YouTrack への接続を登録するために使用される認証済みリダイレクト URI を表示します。

クライアント ID

認可サービスがログイン要求を検証するために使用する識別子を格納します。Web アプリケーションの認証設定を構成して認証済みリダイレクト URI を入力すると、認証サービスでこの値が生成されます。

クライアントシークレット

クライアント ID を検証するために使用されるシークレットまたはパスワードを保管します。この値は、認証サービスでクライアント ID と一緒に生成します。

テナント ID

カスタムテナントの ID を Microsoft Entra ID サービスに保存します。共通のテナントに接続されている認証モジュールの場合、このフィールドは空です。

フィールドマッピング

ユーザープロファイルにカスタム属性を追加した場合、これらの属性を認可サービスに保存されている属性にマップすることもできます。各カスタム属性は、認可サービスの対応するフィールドの名前を保存するための入力フィールドとともに名前別にリストされます。

属性名では大文字と小文字が区別されます。Microsoft 属性の同期はキャメルケースで書かれていますの場合、YouTrack に入力された属性フィールド名が一致する必要があります。

YouTrack のカスタム属性は、特定のタイプで作成されます。Azure フィールドの対応する値は、YouTrack で指定されたフィールドタイプと一致する必要があります。

YouTrack は、認証サービスユーザーアカウントから直接取得できる属性をサポートしています。別のリソースのクエリを必要とするマネージャースポンサーなどの属性はサポートされていません。

Field mapping settings for a Microsoft Entra ID authentication module.

ユーザープロファイルのカスタム属性の詳細については、カスタム属性の管理を参照してください。

ユーザープロファイル応答オブジェクトが Azure Active Directory によって返されると、指定されたフィールドパスの値が YouTrack に保存されているアカウントにコピーされます。次の設定を使用して、認証されたユーザーのプロファイルデータを検索するエンドポイントを定義し、認可サービスユーザープロファイルに保存されているフィールドを対応する YouTrack アカウントにマップします。

  • ネストされたオブジェクト内のフィールドへのパスを指定するには、スラッシュ文字(/)で区切られた一連のセグメントを入力します。

  • 複数の場所に格納されている値を参照するには、「エルビス演算子」(?:) を複数のパスの区切り文字として使用します。このオプションを使用すると、YouTrack は、指定されたフィールドで最初に検出した空でない値を使用します。

追加設定

次のオプションは、ページの下部にあります。これらの設定により、リクエストスコープを定義し、サービスでの認証方法を選択できます。

このセクションの他のオプションを使用すると、アカウントの作成とグループメンバーシップを管理し、アイドル状態の接続によって消費される処理リソースの損失を減らすことができます。

オプション

説明

ユーザー作成

接続された許可サービスに保管されているアカウントでログインしている未登録ユーザー用の YouTrack アカウントの作成を可能にします。YouTrack はユーザーに既存のアカウントがあるかどうかを判断するためにメールアドレスを使用します。

自動参加グループ

接続された承認サービスに保存されているアカウントでログインするときに、ユーザーをグループに追加します。1 つまたは複数のグループを選択できます。グループに自動参加する新しいユーザーは、このグループに割り当てられたすべての権限を継承します。

少なくとも 1 つのグループにユーザーを追加することをお勧めします。それ以外の場合、新しいユーザーには、現在すべてのユーザーグループに割り当てられているアクセス許可のみが付与されます。

接続タイムアウト

承認サービスへの接続を確立するために待機する期間を設定します。デフォルト設定は 5000 ミリ秒(5 秒)です。

読み取りタイムアウト

承認サービスからユーザープロファイルデータを読み取って取得するのを待機する期間を設定します。デフォルト設定は 5000 ミリ秒(5 秒)です。

監査

YouTrack のイベントの監査ページへのリンク。そこで、この認証モジュールに適用された変更のリストを表示できます。

グループマッピング

グループマッピングタブで、承認サービスの既存のグループを YouTrack のグループにマップできます。

Group mappings for Microsoft Entra ID accounts.

Microsoft Entra ID モジュールは、Microsoft Entra ID グループのメンバーシップを格納する属性を、YouTrack データベースのメンバーシップレコードを格納するフィールドに自動的にマップします。必要なのは、Microsoft Entra ID サービスのグループを YouTrack の対応するグループにマップすることだけです。

グループマッピングが構成されている場合、YouTrack は、ユーザーがディレクトリサービスで管理されているアカウントを使用してログインするときに、Microsoft Entra ID グループメンバーシップを確認します。YouTrack は、YouTrack グループにマップされている Microsoft Entra ID グループごとに次の操作を実行します。

  • マップされた Microsoft Entra ID グループのメンバーであり、マップされた YouTrack グループのメンバーではないユーザーは、YouTrack のグループに追加されます。

  • マップされた Microsoft Entra ID グループのメンバーではなく、マップされた YouTrack グループのメンバーであるユーザーは、YouTrack のグループから削除されます。

承認サービスのグループメンバーシップへの変更は、ユーザーが Microsoft Entra ID アカウントを使用してログインした場合にのみ YouTrack に適用されます。

YouTrack の単一のターゲットグループに複数の Microsoft Entra ID グループをマップできます。Microsoft Entra ID グループを複数の YouTrack グループにマップすることはできません。

Microsoft Entra ID のグループを YouTrack のグループにマップするには:

  1. Microsoft Entra ID 認証モジュールを開きます。

  2. グループマッピングタブを選択します。

  3. マッピングの追加ボタンをクリックしてください。

    • マッピングの追加ダイアログが開きます。

    Dialog for adding group mappings.

  4. OAuth グループ名」フィールドに Microsoft Entra ID グループの名前を入力します。

  5. ターゲットグループリストからグループを選択します。

  6. 追加ボタンをクリックしてください。

    • マッピングがリストに追加されます。

Azure AD2.0 認証モジュールからの移行

2022.2 より前の Hub バージョンに含まれていた Azure AD 認証モジュールは、Microsoft Entra ID サービスのグループと Hub のグループの間でメンバーシップをマップおよび同期する機能をサポートしていません。この機能を使用する場合は、認証モジュールの更新バージョンに移行する必要があります。

この移行を実行するには:

  1. 既存の Azure AD 2.0 認証モジュールを削除します。古いモジュールは、リストで OAuth 2.0 タイプが割り当てられているため、区別できます。

  2. このページの説明に従って、新しい Microsoft Entra ID 認証モジュールをセットアップします。

非アクティブ化されたモジュールに保存されている既存のクライアント ID とクライアントシークレットを新しい認証モジュールにコピーし、Microsoft Azure に新しいモジュールのリダイレクト URI を登録するオプションもあります。

新しいモジュールのリダイレクト URI を登録するには:

  1. 管理メニューからアクセス管理> 認証モジュールを選択します。

  2. リストから Azure AD 2.0 認証モジュールを選択します。

  3. 別のウィンドウまたはブラウザータブで Auth モジュールページを開きます。

  4. 新規モジュールドロップダウンリストから Microsoft エントラ ID を選択します。

    • 新しい Microsoft Entra ID モジュールダイアログが開きます。

      The dialog for adding a new Microsoft Entra ID auth module.

  5. 名前フィールドにモジュールの名前を入力します。

  6. カスタムテナント設定を使用している場合は、非アクティブ化されたモジュールからテナント ID の値をコピーして、新しいモジュールの入力フィールドに貼り付けます。一般的なテナント設定で作業する場合は、テナント ID フィールドを空のままにします。

  7. ダイアログの作成ボタンをクリックしてください。

    • Auth モジュールページには、新しい Microsoft Entra ID 認証モジュールの設定が表示されます。

    • YouTrack は、承認サービスで使用するためのリダイレクト URI を生成します。

      The redirect URI for setting up a connection with the Microsoft Entra ID service.

  8. この機能がブラウザーでサポートされている場合は、コピーボタンを使用して、新しいリダイレクト URI をクリップボードにコピーします。

  9. Microsoft Azure ポータルで既存のアプリケーションに移動します。

  10. アプリケーションに登録されているリダイレクト URI のリストに新しいリダイレクト URI を追加します。非アクティブ化されたモジュールのリダイレクト URI を削除する場合は、ここでも安全に削除できます。

  11. YouTrack の Azure AD 2.0 認証モジュールに戻ります。

  12. クライアント ID として保存されている値をコピーし、新しい認証モジュールに切り替えて、この値をそこのクライアント ID フィールドに貼り付けます。

  13. 古いモジュールに切り替えて、クライアントシークレットとして保存されている値をコピーします。新しい認証モジュールに戻り、この値をそこのクライアントフィールドフィールドに貼り付けます。

  14. ページの下部にある保存ボタンをクリックします。

  15. ヘッダーのモジュールを有効にするボタンをクリックしてください。

    • 新しい Microsoft Entra ID 認証モジュールが有効になります。

    • ボタンイメージ設定に保存されているアイコンがログインダイアログウィンドウに追加されます。ユーザーはこのアイコンをクリックして、自分の Microsoft アカウントで YouTrack にログインできます。

  16. Auth モジュールリンクをクリックして、認証モジュールのリストに戻ります。

  17. 非アクティブ化された Azure AD2.0 モジュールをリストから選択します。

  18. ツールバーの削除ボタンをクリックします。

    Option to delete the selected authentication module.

  19. 確認ダイアログで削除ボタンをクリックしてください。

Microsoft アカウント認証モジュール OAuth 2.0 認証モジュール

関連ページ:

カスタム属性の管理

YouTrack を使用すると、カスタム属性を追加してユーザープロファイルを充実させることができます。これらの属性には、従業員の開始日、従業員 ID、オフィスの場所、役職など、さまざまなデータポイントを格納できます。この追加情報を保存するには、カスタム属性を作成します。カスタム属性の現在のリストにアクセスするには: 管理メニューから、を選択します。ヘッダーのカスタム属性を管理するリンクをクリックしてください。カスタム属性ページが開きます。、ユーザープロファイルのカスタム属性へのアクセス:カスタム...

Microsoft アカウント認証モジュール

Microsoft アカウント認証モジュールは、ユーザーが個人の Microsoft アカウントを使用して YouTrack にログインできるようにする事前構成された OAuth2.0 認証モジュールです。個人の Microsoft アカウントには、Skype、Xbox、Live、Hotmail アカウントが含まれます。Microsoft アカウント認証を有効にする:既存の Microsoft アカウントアカウントを持つユーザーが YouTrack にログインできるようにするには、認証モジュー...

OAuth 2.0 認証モジュール

OAuth 2.0 認証モジュールを使用すると、ユーザーは外部認証サービスに保存されている資格情報を使用して YouTrack にログインできます。YouTrack は、Amazon、Azure AD 2.0、Bitbucket クラウド、Facebook、GitLab、Keycloak、マイクロソフトライブ、オクタ、PayPal、ヤンデックスパスポート用に事前構成された認証モジュールを提供します。