YouTrack サーバー 2024.2 ヘルプ

Okta 認証モジュール

Okta 認証モジュールは、ユーザーが Okta 資格情報を使用して YouTrack にログインできるようにする事前構成された OAuth2.0 認証モジュールです。

Okta は、フェデレーションシングルサインオンを処理するための 2 つのプロトコルをサポートしており、どちらも YouTrack による認証でサポートされています。

  • Okta 認証モジュールは、OpenID Connect(OIDC) プロトコルをサポートしています。このモジュールの設定は、Okta サービスとの直接接続をサポートするように事前構成されています。このモジュールでは、Hub をクライアントアプリケーションとして Okta に登録する必要がありますが、それ以外はすべて比較的簡単にセットアップできます。

  • SAML 2.0 認証モジュールは SAML プロトコルをサポートしています。このモジュールの設定は、さまざまな SAML プロバイダーとの一般的な接続用に事前構成されています。Okta を使用した SAML 認証の追加構成が必要です。

プロトコルの選択は主にユースケースによって異なりますが、新しい統合には一般的に OIDC が推奨されます。

Okta 認証を有効にする

既存の Okta アカウントを持つユーザーが YouTrack にログインできるようにするには、認証モジュールを有効にします。

この手順は 3 つのステップで行われます。

  1. YouTrack でリダイレクト URI を生成します。認証モジュールを作成すると、YouTrack は認証サービスで使用するためのリダイレクト URI を生成します。この URI は各ログイン要求の送信元を識別します。

  2. Okta でクライアント ID とシークレットを生成します。YouTrack から送信されるすべてのログイン要求には、一意の識別子が含まれています。認証モジュールに保存する ID とシークレットは、各ログイン要求が承認されていることを Okta 承認サービスに通知します。

  3. YouTrack で認証モジュールを有効にします。YouTrack が Okta 認証サービスでの認証に使用する情報を生成したら、値を YouTrack にコピーして、モジュールを有効にします。

YouTrack でリダイレクト URI を生成する

まず、Okta 認証モジュールを作成します。このアクションを実行すると、YouTrack は承認サービスで使用するリダイレクト URI を生成します。

YouTrack でリダイレクト URI を生成するには:

  1. 管理メニューのアクセス管理セクションで、Auth モジュールを選択します。

  2. 新規モジュールドロップダウンリストからオクタを選択します。

    • 新しい Okta 認証モジュールダイアログが開きます。

  3. 新しい認証モジュールの名前と Okta ドメインを入力し、作成ボタンをクリックします。

    • Auth モジュールページには、新しい Okta 認証モジュールの設定が表示されます。

    • YouTrack は、承認サービスで使用するためのリダイレクト URI を生成します。

    Okta auth redirect uri

  4. この機能がご使用のブラウザーでサポートされている場合は、コピーボタンを使用してリダイレクト URI をクリップボードにコピーしてください。

クライアント ID とシークレットを生成する

次のステップは、Okta で YouTrack の許可されたリダイレクト URI を登録することです。

  1. 管理者アカウントを使用して Okta 組織にサインインします。

  2. 管理コンソールで、アプリケーション > アプリケーションに移動します。

  3. アプリ統合を作成するボタンをクリックしてください。

    • 新しいアプリ統合を作成する設定が表示されます。

  4. サインイン方法の場合は、OIDC - OpenID コネクトを選択します。

  5. アプリケーションタイプの場合は、Web アプリケーションを選択します。

  6. 新しい Web アプリ統合の名前を入力します。

  7. YouTrack からのリダイレクト URI をサインインリダイレクト URI 入力フィールドに貼り付けます。

  8. 組織内のすべてのユーザーにアクセスを許可する場合、または特定のグループのメンバーへのアクセスを制限する場合は、代入セクションで対応するオプションを選択します。今のところグループ割り当てをスキップして後で設定するオプションを選択することもできます。

  9. 保存ボタンをクリックしてください。

  10. 一般タブに切り替えます

  11. クライアント ID およびクライアントシークレットとして保存されている値を使用して、YouTrack の認証モジュールを有効にします。

    Okta auth registration

詳細については、Okta ヘルプセンター(英語)を参照してください。

YouTrack で認証モジュールを有効にする

セットアップを完了するには、認証サービスからのクライアント ID とシークレットを Okta 認証モジュールに保存します。

  1. Okta からクライアント ID をコピーし、YouTrack のクライアント ID 入力フィールドに貼り付けます。

  2. Okta からクライアントシークレットをコピーし、YouTrack のクライアントシークレット入力フィールドに貼り付けます。

  3. 認証モジュールのオプション設定を構成します。詳しくは、追加設定を参照してください。

  4. 保存ボタンをクリックして設定を適用します。

  5. モジュールを有効にするボタンをクリックしてください。

    • Okta 認証モジュールが有効になります。

    • ボタンイメージ設定で保存されているアイコンがログインダイアログウィンドウに追加されます。ユーザーはこのアイコンをクリックして、Okta の資格情報を使用して YouTrack にログインできます。

設定

設定ページの最初のセクションには、認証モジュールの一般設定が表示されます。ここには、YouTrack を許可サービスに登録するために使用するリダイレクト URI、および許可サービスで生成されたクライアント IDクライアントシークレットを保管する入力フィールドもあります。

設定

説明

タイプ

YouTrack のサードパーティー認証が有効になっている認証サービスの種類を表示します。

名前

認証モジュールの名前を格納します。この設定を使用して、このモジュールを Auth モジュールリスト内の他の認証モジュールと区別します。

ボタンイメージ

接続されている認証サービスで、自分のアカウントで YouTrack にログインするためにユーザーがクリックするボタンに使用されるイメージを表示します。JPG、GIF、PNG ファイルをアップロードできます。イメージは自動的に 48 x 48 ピクセルにサイズ変更されます。

ドメイン

Okta サービスの Web ドメインを表示します。このフィールドの右側にあるアイコンをクリックして、ドメイン URL をクリップボードにコピーします。

リダイレクト URI

認証サービスで YouTrack への接続を登録するために使用される認証済みリダイレクト URI を表示します。

クライアント ID

認可サービスがログイン要求を検証するために使用する識別子を格納します。Web アプリケーションの認証設定を構成して認証済みリダイレクト URI を入力すると、認証サービスでこの値が生成されます。

クライアントシークレット

クライアント ID を検証するために使用されるシークレットまたはパスワードを保管します。この値は、認証サービスでクライアント ID と一緒に生成します。

拡張グラント

拡張許可に使用されるときに認証モジュールを識別するために使用される値を保存します。値が指定されている場合、YouTrack は、承認サービスによって発行されたアクセストークンを、YouTrack へのアクセスを許可するトークンと交換する要求を処理します。

アクセストークンを正常に交換するには、認証モジュールがサードパーティの認証サービスで承認され、YouTrack で有効になっている必要があります。

REST API を使用してアクセストークンを交換する方法については、拡張グラントを参照してください。

同期設定

このセクションの設定では、YouTrack と Okta の間のユーザーアカウントデータの同期をセットアップできます。

同期が有効になっている場合、Okta プロファイルに適用された変更は、設定されたスケジュールに従って YouTrack と同期されます。この同期は、ユーザーが Okta アカウント資格情報を使用して YouTrack にログインするときに自動的に送信される同期リクエストに加えて実行されます。

YouTrack プロファイルに保存される完全名ユーザー名メールの値は、ユーザーアカウントが最初に作成されるとき (通常は、新しいユーザーが Okta アカウントを使用して YouTrack にログインするとき) に設定されます。Okta プロファイル内のこれらの属性に対する後続の変更は、YouTrack プロファイルと同期されません。これらの変更は、Okta 資格情報に関連付けられている対応する属性と同期されます。この情報は、YouTrack プロファイルのアカウントのセキュリティタブの資格情報セクションに表示されます。

この同期は、フィールドマッピング設定で構成された属性と、グループマッピングタブで構成されたグループメンバーシップに適用されます。詳細については、フィールドマッピングおよびグループマッピングを参照してください。

設定

説明

スケジュール

ユーザー属性とグループのメンバーシップがディレクトリサービスと同期される頻度を決定します。事前に定義された 3 つの間隔から 1 つを選択できます。

  • 毎時

  • 3 時間ごと

  • 毎日午前 9 時

すぐに同期ボタンをクリックすると、いつでも Hub データベースを手動で同期することもできます。

同期がオフの場合でも、グループメンバーシップはログイン時にユーザーごとに同期されます。この機能の詳細については、グループマッピングを参照してください。

同期機能は、認証モジュールが有効になっている場合にのみアクティブになります。

API トークン

Okta への承認されたアクセスを許可する API トークンを保存します。

Okta API トークンは特定のユーザーに対して発行され、トークンを含むすべてのリクエストはユーザーに代わって動作します。ディレクトリサービスで適切なレベルのアクセス権を持つユーザーアカウントの API トークンのみを生成する必要があります。Okta で API トークンを作成する方法については、Okta のドキュメント(英語)を参照してください。

フィールドマッピング

Okta からユーザープロファイル応答オブジェクトが返されると、指定されたフィールドパスの値が YouTrack のユーザープロファイルにコピーされます。次の設定を使用して、認証されたユーザーのプロファイルデータを検索するエンドポイントを定義し、承認サービスに格納されているフィールドを YouTrack のユーザーアカウントにマップします。

事前定義された Okta モジュールの場合、ユーザー IDメールメール確認状態フルネームグループは自動的に同期されます。これらのフィールドの名前は Okta によって事前定義されており、更新できないため、Hub の対応するフィールドへのマッピングはハードコードされ、設定は非表示になります。

代わりに、Hub のユーザープロファイルに追加されたカスタム属性のマッピング設定のみが表示されます。各カスタム属性は、認可サービスの対応するフィールドの名前を保存するための入力フィールドとともに名前別にリストされます。ユーザープロファイルのカスタム属性の詳細については、「カスタム属性の管理」を参照してください。

  • ネストされたオブジェクト内のフィールドへのパスを指定するには、スラッシュ文字(/)で区切られた一連のセグメントを入力します。

  • 複数の場所に格納されている値を参照するには、「エルビス演算子」(?:) を複数のパスの区切り文字として使用します。このオプションを使用すると、YouTrack は、指定されたフィールドで最初に検出した空でない値を使用します。

追加設定

次のオプションは、ページの下部にあります。これらの設定により、リクエストスコープを定義し、サービスでの認証方法を選択できます。

事前定義された Okta モジュールの場合、スコープは自動的に設定されます。ニーズに合わせてこの値を変更する必要がある場合は、上書きできます。

このセクションの他のオプションを使用すると、YouTrack アカウントの作成とグループメンバーシップを管理し、アイドル状態の接続によって消費される処理リソースの損失を減らすことができます。

オプション

説明

ユーザー作成

接続された許可サービスに保管されているアカウントでログインしている未登録ユーザー用の YouTrack アカウントの作成を可能にします。YouTrack はユーザーに既存のアカウントがあるかどうかを判断するためにメールアドレスを使用します。

自動参加グループ

接続された承認サービスに保存されているアカウントでログインするときに、ユーザーをグループに追加します。1 つまたは複数のグループを選択できます。グループに自動参加する新しいユーザーは、このグループに割り当てられたすべての権限を継承します。

少なくとも 1 つのグループにユーザーを追加することをお勧めします。それ以外の場合、新しいユーザーには、現在すべてのユーザーグループに割り当てられているアクセス許可のみが付与されます。

接続タイムアウト

承認サービスへの接続を確立するために待機する期間を設定します。デフォルト設定は 5000 ミリ秒(5 秒)です。

読み取りタイムアウト

承認サービスからユーザープロファイルデータを読み取って取得するのを待機する期間を設定します。デフォルト設定は 5000 ミリ秒(5 秒)です。

監査

YouTrack のイベントの監査ページへのリンク。そこで、この認証モジュールに適用された変更のリストを表示できます。

グループマッピング

グループマッピングタブで、承認サービスの既存のグループを YouTrack のグループにマップできます。

Group mappings for Okta accounts.

グループマッピングが構成されている場合、YouTrack は、ユーザーがディレクトリサービスで管理されているアカウントでログインするときに、Okta グループメンバーシップをチェックします。YouTrack は、YouTrack グループにマップされている Okta グループごとに次の操作を実行します。

  • マップされた Okta グループのメンバーであり、マップされた YouTrack グループのメンバーではないユーザーは、YouTrack のグループに追加されます。

  • マップされた Okta グループのメンバーではなく、マップされた YouTrack グループのメンバーであるユーザーは、YouTrack のグループから削除されます。

承認サービスのグループメンバーシップへの変更は、ユーザーが Okta アカウントを使用してログインした場合にのみ YouTrack に適用されます。

YouTrack では、複数の Okta グループを 1 つのターゲットグループにマップできます。Okta グループを複数の YouTrack グループにマップすることはできません。

Okta から YouTrack のグループにグループをマップするには:

  1. Okta 認証モジュールを開きます。

  2. グループマッピングタブを選択します。

  3. マッピングの追加ボタンをクリックしてください。

    • マッピングの追加ダイアログが開きます。

    Dialog for adding group mappings.

  4. OAuth グループ名フィールドに Okta グループの名前を入力します。

  5. ターゲットグループリストからグループを選択します。

  6. 追加ボタンをクリックしてください。

    • マッピングがリストに追加されます。

OAuth 2.0 認証モジュール OpenID 2.0 認証モジュール

関連ページ:

SAML 2.0 認証モジュール

SAML 2.0 認証モジュールを使用すると、YouTrack を SAML サービスプロバイダー(SAML SP)として構成できます。SAML は、複数のドメインにわたるシングルサインオン(SSO)をサポートします。YouTrack で SAML 2.0 認証モジュールを有効にする場合: ユーザーは、指定されたサードパーティ ID プロバイダー(SAML IdP)で管理されている資格情報で YouTrack にログインします。YouTrack ユーザーは覚えるべきより少ないアカウントとパスワード...

拡張グラント

拡張許可を使用すると、サードパーティの承認サービスからのアクセストークンを Hub からのアクセストークンと交換できます。拡張許可は、Hub の次の認証モジュールタイプでサポートされています。JB アカウント、OAuth 2.0、オクタ、規格への参照:拡張グラントの仕様 (RFC 6749) 前提条件:Hub アクセストークンを取得したいサービスが Hub に登録されています。サードパーティ認証サービス用の認証モジュールが Hub で作成され、有効化されました。認証モジュールの拡張グラント設定...

カスタム属性の管理

YouTrack を使用すると、カスタム属性を追加してユーザープロファイルを充実させることができます。これらの属性には、従業員の開始日、従業員 ID、オフィスの場所、役職など、さまざまなデータポイントを格納できます。この追加情報を保存するには、カスタム属性を作成します。カスタム属性の現在のリストにアクセスするには: 管理メニューから、を選択します。ヘッダーのカスタム属性を管理するリンクをクリックしてください。カスタム属性ページが開きます。、ユーザープロファイルのカスタム属性へのアクセス:カスタム...

OAuth 2.0 認証モジュール

OAuth 2.0 認証モジュールを使用すると、ユーザーは外部認証サービスに保存されている資格情報を使用して YouTrack にログインできます。YouTrack は、Amazon、Azure AD 2.0、Bitbucket クラウド、Facebook、GitLab、Keycloak、マイクロソフトライブ、オクタ、PayPal、ヤンデックスパスポート用に事前構成された認証モジュールを提供します。

OpenID 2.0 認証モジュール

YouTrack では、組み込み認証モジュールでサポートされている OpenID プロバイダーに加えて、OpenID 2.0 を使用する OpenID プロバイダーの認証を有効にできます。OpenID 認証を有効にする:ユーザーが OpenID 認証で YouTrack にサインインできるようにするには、OpenID 認証モジュールを有効にします。OpenID 認証を有効にするには: 管理メニューから、を選択します。新規モジュールドロップダウンリストから OpenID 2.0 を選択します。サイドバ...