YouTrack サーバー 2024.2 ヘルプ

SAML 2.0 認証モジュール

SAML 2.0 認証モジュールを使用すると、YouTrack を SAML サービスプロバイダー(SAML SP)として構成できます。SAML は、複数のドメインにわたるシングルサインオン(SSO)をサポートします。

YouTrack で SAML 2.0 認証モジュールを有効にする場合:

  • ユーザーは、指定されたサードパーティ ID プロバイダー(SAML IdP)で管理されている資格情報で YouTrack にログインします。

  • YouTrack ユーザーは覚えるべきより少ないアカウントとパスワードを持っています。

  • 接続されたサービスにアカウントを持つ新しいユーザーは、YouTrack で独自のアカウントを作成できます。

YouTrack は SAML IdP として設定することもできます。ただし、アイデンティティプロバイダーのセットアップ手順についてはここでは説明しません。YouTrack を SAML IdP として使用する方法については、「SAML 2.0」を参照してください。

IdP で開始された SSO

SAML 2.0 認証モジュールは、シングルサインオン (SSO) のサービスプロバイダー (SP) とアイデンティティプロバイダー (IdP) の両方の開始をサポートします。ログイン要求は、ユーザーが YouTrack にサインインする方法に基づいています。

  • ユーザーが外部ログインポータルまたはアクセス管理プロバイダー(OneLogin など)経由でサインインする場合、要求は IdP によって開始されます。

  • ユーザーが YouTrack ログインページで IdP のボタンをクリックしてサインインすると、YouTrack は SP としてリクエストを開始します。

この動作をサポートするには、SAML IdP の RelayState パラメーターを空にするか、サービスのホーム URL のホスト名と同じホスト名を持つ URL を指定できます。IdP の構成でこのパラメーターに別の値を設定すると、内部 Hub サービスへのリダイレクトで Can't restore state エラーが発生します。

新しい SAML2.0 認証モジュールを追加する

SAML 2.0 認証モジュールを追加するには:

  1. YouTrack サーバーの SAMLID プロバイダーとして使用する予定のサービスで、そのパラメーターを IdP として取得します。

  2. IdP サービスが証明書のフィンガープリントを提供しない場合、SHA256 を適用して作成します。例: SAML ツール(英語)を使用できます

  3. YouTrack サーバーで、 管理> 認証モジュールページを開きます。

  4. 新規モジュールボタンをクリックして、リストから SAML 2.0 を選択します。

    new SAML auth module

  5. ダイアログで、IdP サービスのパラメーターを指定し、作成ボタンをクリックします。

    • SAML 2.0 認証モジュールが作成され、有効になります。

  6. ページの属性セクションでユーザーアカウントの SAML 属性の名前を指定して、認証モジュールを構成します。

一般設定

ページの最初のセクションには、認証モジュールを識別し、SAML サービスへの接続を管理できるようにする設定が表示されます。

設定

説明

タイプ

YouTrack で認証が有効になっているサービスの種類を表示します。ビルトイン認証は、このモジュールが内部 Hub サービスによって提供され、個別にインストールされないことを意味します。

名前

認証モジュールの名前を格納します。この設定を使用して、このモジュールを Auth モジュールリスト内の他の認証モジュールと区別します。

ボタンイメージ

接続されている認証サービスで、自分のアカウントで YouTrack にログインするためにユーザーがクリックするボタンに使用されるイメージを表示します。JPG、GIF、PNG ファイルをアップロードできます。イメージは自動的に 48 x 48 ピクセルにサイズ変更されます。

SAML SSO URL

YouTrack が外部 ID プロバイダーにリダイレクトするために使用する URL。YouTrack は、サインオンの HTTP リダイレクトバインディングのみをサポートします。

IdP エンティティ ID

外部 ID プロバイダーのエンティティ ID。

証明書の指紋

ID プロバイダーの SAML 証明書の SHA-256 フィンガープリント。ID プロバイダーからの SAMLXML メタデータを使用してフィンガープリントを生成します。

SP エンティティ ID

YouTrack をサービスプロバイダーとして識別する URL。

SSL キー

認証サービスに対する YouTrack インストールの ID を確認するために使用できる SSL キーを選択します。使用すると、YouTrack から ID プロバイダーに送信されるすべての要求は、対応する SSL 証明書を使用して署名されます。

このリストには、YouTrack にインポートされたキーストアのみが表示されます。詳細については、SSL キーを参照してください。

ACS の URL

YouTrack がサービスプロバイダーとして使用するアサーションコンシューマーサービスの URL。

SP メタデータ

YouTrack が外部 ID プロバイダーにメタデータを提供するために使用する URL。

ユーザーに連絡する

SAML2.0 サービスプロバイダーの構成を担当するユーザー。このユーザーアカウントに関連付けられているメールアドレスは、YouTrack で確認する必要があります。

属性マッピング設定

ページの属性セクションの設定により、SAML サービスのユーザーアカウントの属性を Hub アカウントに格納されているフィールドにマップできます。

オプション

説明

ユーザー名

ユーザー名を格納する SAML 属性の名前。

メール

メールアドレスを格納する SAML 属性の名前。

メール確認状態

認証サービスによって返されるメールアドレスを検証済みとして保存するか、未検証として保存するかを決定します。

ファーストネーム

ユーザーの名を格納する SAML 属性の名前。

ラストネーム

ユーザーの姓を格納する SAML 属性の名前。

フルネーム

ユーザーのフルネームを格納する SAML 属性の名前。

グループ

接続された承認サービスでグループメンバーシップの割り当てを格納する属性にマップします。

この値を指定すると、許可サービスのグループメンバーシップを Hub の対応するグループとマップおよび同期できます。詳細については、グループマッピングを参照してください。

追加設定

以下のオプションはページの下部にあります。これらの設定を使用して、Hub アカウントの作成とグループメンバーシップを管理し、アイドル接続によって消費される処理リソースの損失を減らします。

オプション

説明

ユーザー作成

接続されている認証サービスに保存されているアカウントでログインしている未登録ユーザーの Hub アカウントの作成を有効にします。YouTrack はメールアドレスを使用して、ユーザーが既存のアカウントを持っているかどうかを判断します。

メールの自動確認

認証サービスがこの属性の値を返さない場合に、Hub がメールアドレスの検証ステータスを設定する方法を決定します。

自動参加グループ

接続された承認サービスに保存されているアカウントでログインするときに、ユーザーをグループに追加します。1 つまたは複数のグループを選択できます。グループに自動参加する新しいユーザーは、このグループに割り当てられたすべての権限を継承します。

少なくとも 1 つのグループにユーザーを追加することをお勧めします。それ以外の場合、新しいユーザーには、現在すべてのユーザーグループに割り当てられているアクセス許可のみが付与されます。

接続タイムアウト

承認サービスへの接続を確立するために待機する期間を設定します。デフォルト設定は 5000 ミリ秒(5 秒)です。

読み取りタイムアウト

承認サービスからユーザープロファイルデータを読み取って取得するのを待機する期間を設定します。デフォルト設定は 5000 ミリ秒(5 秒)です。

監査

YouTrack のイベントの監査ページへのリンク。そこで、この認証モジュールに適用された変更のリストを表示できます。

グループマッピング

グループマッピングタブで、SAML サービスの既存のグループを Hub のグループにマップできます。

Group mappings for SAML accounts.

SAML サービスのグループを Hub のグループにマップする場合は、この認証モジュールの設定の属性マッピングセクションに SAML グループメンバーシップを格納するグループ属性を指定する必要があります。

グループマッピングが構成されている場合、Hub は、ユーザーが SAML サービスで管理されているアカウントでログインするときにグループメンバーシップをチェックします。Hub は、Hub グループにマップされている SAML サービスのグループごとに次の操作を実行します。

  • マップされた SAML グループのメンバーであり、マップされた Hub グループのメンバーではないユーザーは、Hub のグループに追加されます。

  • マップされた SAML グループのメンバーではなく、マップされた Hub グループのメンバーであるユーザーは、Hub のグループから削除されます。

承認サービスのグループメンバーシップへの変更は、ユーザーが SAML サービスから自分のアカウントを使用してログインした場合にのみ Hub に適用されます。

SAML サービスから Hub の単一のターゲットグループに複数のグループをマップできます。SAML サービスから複数の Hub グループにグループをマップすることはできません。

SAML サービスから Hub のグループにグループをマップするには:

  1. SAML 認証モジュールを開きます。

  2. グループマッピングタブを選択します。

  3. マッピングの追加ボタンをクリックしてください。

    • マッピングの追加ダイアログが開きます。

    Dialog for adding group mappings.

  4. SAML グループ名フィールドに SAML グループの名前を入力します。

  5. ターゲットグループリストからグループを選択します。

  6. 追加ボタンをクリックしてください。

    • マッピングがリストに追加されます。

サンプル構成

次のサンプル構成は、SAML2.0 認証モジュールを使用してさまざまなユーザー管理シナリオをサポートする方法を示しています。

YouTrack の SAMLID プロバイダーとしての Okta

両方のアプリケーションのセットアッププロセスに「URL ループ」があるため、YouTrack で Okta を SAML IdP として構成するには、単純ではないプロセスが必要です。YouTrack で認証モジュールを設定するには、IdP からの一意の URL が必要です。また、Okta で IdP URL を作成するには、SAML SP YouTrack からの一意の URL が必要です。IdP URL を生成するには、YouTrack の偽の URL を使用して Okta でアプリケーションを作成し、次に YouTrack で認証モジュールを作成して、Okta アプリケーションで使用できる SP URL を生成する必要があります。

Okta は、フェデレーションシングルサインオンを処理するための 2 つのプロトコルをサポートしており、どちらも YouTrack による認証でサポートされています。

  • ここで説明するセットアップでは、SAML プロトコルを使用します。このモジュールの設定は、さまざまな SAML プロバイダーとの一般的な接続用に事前構成されています。Okta を使用した SAML 認証の追加構成が必要です。

  • Okta 認証モジュールは、OpenID Connect(OIDC) プロトコルをサポートしています。このモジュールの設定は、Okta サービスとの直接接続をサポートするように事前構成されています。このモジュールでは、Hub をクライアントアプリケーションとして Okta に登録する必要がありますが、それ以外はすべて比較的簡単にセットアップできます。

プロトコルの選択は主にユースケースによって異なりますが、新しい統合には一般的に OIDC が推奨されます。

Okta を YouTrack サーバーの IdP として使用するには:

  1. Okta で、YouTrack サーバーサービス用の新しいアプリケーションを作成します。SP として YouTrack サーバーの任意の URL を使用します。後で修正する必要があります。SAML アプリケーションをセットアップするための Okta ドキュメント(英語)を参照してください。

  2. アプリケーションを作成したら、セットアップ手順を表示ボタンをクリックして、Okta IdP のパラメーターを含むページを開きます。

    Parameters for Okta IdP

  3. Okta IdP の証明書をダウンロードします。

  4. SHA256 を適用して Okta 証明書のフィンガープリントを作成します。例: SAML 開発者ツール(英語)を使用できます。

  5. YouTrack サーバーで、Auth モジュールページを開きます。

  6. 新規モジュールボタンをクリックし、ドロップダウンリストから SAML2.0 を選択します。

    • 新規モジュールダイアログが右側のパネルに表示されます。

  7. 表示されたダイアログで、Okta IdP のパラメーターを指定します。作成をクリックします。

    Yt okta idp create new auth module

  8. 新しいモジュールを構成します。SAML 属性をセットアップします。

    Okta idp configure auth module

  9. Okta に戻ります。認証モジュールの作成中に生成された URL を保存して、YouTrack アプリケーションを編集します。Okta の設定は次のように構成する必要があります。

    設定

    説明

    シングルサインオン URL

    Hub の認証モジュールから ACS の URL を入力します。

    受信者と宛先の URL にこれを使用します

    このオプションを有効にします。

    オーディエンス URI

    Hub の認証モジュールから SP エンティティ ID を入力します。

  10. YouTrack アプリケーションを、Okta 資格情報を使用して YouTrack にログインできるグループとユーザーに割り当てます。

以上です。これで、ユーザーは Okta 資格情報を使用して YouTrack にログインできます。

別の YouTrack サービスの SAMLID プロバイダーとしての YouTrack

2 つの YouTrack サービスがある場合は、そのうちの 1 つを SAML ID プロバイダーとして使用し、もう 1 つをサービスプロバイダーとして使用できます。

  1. SAML IdP として使用する YouTrack サーバーサービスで、管理> アクセス管理> SAML 2.0 ページを開きます。SAML 2.0 ID プロバイダーとしての YouTrack の詳細については、SAML 2.0 ID プロバイダーとしての YouTrack のパラメーターを参照してください。

  2. SAML サービスプロバイダーとして使用する YouTrack で、Auth モジュールページを開きます。

  3. 新規モジュールをクリックしてから、SAML2.0... を選択します。

    • 新規モジュールダイアログが右側のパネルに表示されます。

  4. ダイアログで、IdP として使用する YouTrack サービスのパラメーターを入力し、作成ボタンをクリックします。

    • 新しいモジュールが作成されます。

    • 新しい SAML 認証モジュールの設定ページが開きます。

  5. SAML 属性を構成します。

  6. IdP として使用している Hub サービスで、管理メニューのアクセス管理セクションから SAML 2.0 ページを開き、登録済みサービスプロバイダータブを選択して、新しいサービスプロバイダーボタンをクリックします。

  7. 2 番目の YouTrack サービスを SAML サービスプロバイダーとして登録します。

    サービスプロバイダーを登録するには、SAML2.0 認証モジュールの設定に現在保存されているものと同じ値を入力します。詳細については、サービスプロバイダーを登録するを参照してください。

準備万端です ! これで、ユーザーは、SAML IdP として使用する YouTrack サービスからの資格情報で YouTrack SP にログインできます。

PayPal 認証モジュール Yandex Passport 認証モジュール

関連ページ:

SAML 2.0

セキュリティアサーションマークアップ言語は、セキュリティドメイン間、つまりアイデンティティプロバイダー (IdP) とサービスプロバイダー (SP) の間で認証および認可データを交換するための XML ベースのオープン標準データ形式です。SAML2.0 により、クロスドメインシングルサインオン (SSO) を含む Web ベースの認証および認可シナリオが可能になります。YouTrack の場合、SAML サポートにより、YouTrack サービスを Web ベースのアプリケーションの ID プロ...

SSL キー

YouTrack では、SSL キーストアを YouTrack にインポートできます。キーストアは、公開鍵と秘密鍵のペア、それらが関連付けられている証明書のコンテナーです。キーストアは、サードパーティーへの接続を試行するときに、YouTrack をクライアントとして識別します。キーストアを使用して、サードパーティサービスの公開キーを(証明書の形式で)キャッシュすることもできます。外部サービスのキーと証明書を含むキーストアがある場合は、このページでアップロードできます。それ以外の場合は、SSL 証...

カスタム属性の管理

YouTrack を使用すると、カスタム属性を追加してユーザープロファイルを充実させることができます。これらの属性には、従業員の開始日、従業員 ID、オフィスの場所、役職など、さまざまなデータポイントを格納できます。この追加情報を保存するには、カスタム属性を作成します。カスタム属性の現在のリストにアクセスするには: 管理メニューからを選択します。ヘッダーのカスタム属性を管理するリンクをクリックしてください。カスタム属性ページが開きます。、ユーザープロファイルのカスタム属性へのアクセス:カスタム属...

Okta 認証モジュール

Okta 認証モジュールは、ユーザーが Okta 資格情報を使用して YouTrack にログインできるようにする事前構成された OAuth2.0 認証モジュールです。Okta は、フェデレーションシングルサインオンを処理するための 2 つのプロトコルをサポートしており、どちらも YouTrack による認証でサポートされています。Okta 認証モジュールは、OpenID Connect(OIDC) プロトコルをサポートしています。このモジュールの設定は、Okta サービスとの直接接続をサポート...

PayPal 認証モジュール

PayPal 認証モジュールは、ユーザーが PayPal 資格情報を使用して YouTrack にログインできるようにする事前構成された OAuth2.0 認証モジュールです。PayPal 認証を有効にする:既存の PayPal アカウントを持つユーザーが YouTrack にログインできるようにするには、認証モジュールを有効にします。この手順は 3 つのステップで行われます。YouTrack でリダイレクト URI を生成します。認証モジュールを作成すると、YouTrack は認証サービスで...