チュートリアル: Microsoft Entra シングル サインオン (SSO) と EasySSO for BitBucket の統合

  • [アーティクル]

このチュートリアルでは、EasySSO for BitBucket を Microsoft Entra ID と統合する方法について説明します。 EasySSO for BitBucket を Microsoft Entra ID と統合すると、次のことができます。

  • EasySSO for BitBucket にアクセスできるユーザーを Microsoft Entra ID で制御する。
  • ユーザーが自分の Microsoft Entra アカウントを使用して EasySSO for BitBucket に自動的にサインインできるようにする。
  • 1 つの中央サイト (Azure Portal) でアカウントを管理できます。

前提条件

開始するには、次が必要です。

  • Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
  • シングル サインオン (SSO) が有効な EasySSO for BitBucket のサブスクリプション。

シナリオの説明

このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。

  • EasySSO for BitBucket では、SP-initiated および IdP-initiated SSO がサポートされます。
  • EasySSO for BitBucket では、"Just-In-Time" ユーザー プロビジョニングがサポートされます。

Microsoft Entra ID への EasySSO for BitBucket の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に EasySSO for BitBucket を追加する必要があります。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
  3. [ギャラリーから追加する] セクションで、検索ボックスに「EasySSO for BitBucket」と入力します。
  4. 結果から [EasySSO for BitBucket] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。

EasySSO for BitBucket 用に Microsoft Entra SSO を構成してテストする

B.Simon というテスト ユーザーを使用して、EasySSO for BitBucket に対する Microsoft Entra SSO を構成してテストします。 SSO を機能させるためには、Microsoft Entra ユーザーと EasySSO for BitBucket の関連ユーザーとの間にリンク関係を確立する必要があります。

EasySSO for BitBucket に対する Microsoft Entra SSO を構成してテストするには、次の手順を実行します。

  1. Microsoft Entra SSO を構成して、ユーザーがこの機能を使用できるようにします。
    1. Microsoft Entra テスト ユーザーを作成し、B.Simon を使用して Microsoft Entra シングル サインオンをテストします。
    2. Microsoft Entra テスト ユーザーを割り当て、B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
  2. EasySSO for BitBucket SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
    1. EasySSO for BitBucket テスト ユーザーを作成して、EasySSO for BitBucket で B.Simon に対応するユーザーを作成し、Microsoft Entra の B.Simon にリンクさせます。
  3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

次の手順に従って Microsoft Entra SSO を有効にします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[EasySSO for BitBucket] アプリケーション統合ページに移動し、[管理] セクションを見つけます。 [シングル サインオン] を選択します。

  3. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。

  4. [SAML でシングル サインオンをセットアップします] ページで、 [基本的な SAML 構成] の鉛筆アイコンを選択して設定を編集します。

    Screenshot of Set up Single Sign-On with SAML page, with pencil icon highlighted

  5. [基本的な SAML 構成] セクションで、アプリケーションを IdP Initiated モードで構成する場合は、次のフィールドの値を入力します。

    a. [識別子] ボックスに、https://<server-base-url>/plugins/servlet/easysso/saml という形式で URL を入力します。

    b. [応答 URL] ボックスに、次のパターンを使用する URL を入力します: https://<server-base-url>/plugins/servlet/easysso/saml

  6. アプリケーションを SP Initiated モードで構成する場合は、 [追加の URL を設定します] を選択して次の手順を実行します。

    • [サインオン URL] ボックスに、https://<server-base-url>/login.jsp という形式で URL を入力します。

    注意

    これらは実際の値ではありません。 実際の識別子、応答 URL、サインオン URL でこれらの値を更新します。 これらの値の取得方法がわからない場合には、EasySSO サポート チームにお問い合わせください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。

  7. EasySSO for BitBucket アプリケーションでは、特定の形式の SAML アサーションを使用するため、カスタム属性マッピングを SAML トークン属性の構成に追加する必要があります。 次のスクリーンショットには、既定の属性一覧が示されています。

    Screenshot of default attributes

  8. EasySSO for BitBucket アプリケーションでは、さらにいくつかの属性も SAML 応答で返されることが想定されています。 それらを次の表に示します。 これらの属性も値が事前に設定されますが、要件に従ってそれらの値を確認することができます。

    名前 ソース属性
    urn:oid:0.9.2342.19200300.100.1.1 user.userprincipalname
    urn:oid:0.9.2342.19200300.100.1.3 User.mail
    urn:oid:2.16.840.1.113730.3.1.241 user.displayname
    urn:oid:2.5.4.4 User.surname
    urn:oid:2.5.4.42 User.givenname

    Microsoft Entra ユーザーに対して既に sAMAccountName を構成済みの場合には、sAMAccountName 属性に urn:oid:0.9.2342.19200300.100.1.1 をマップする必要があります。

  9. [SAML によるシングル サインオンのセットアップ] ページの [SAML 署名証明書] セクションで [証明書 (Base64)] または [フェデレーション メタデータ XML] オプションの [ダウンロード] リンクを選択します。 そのいずれかまたは両方をコンピューターに保存します。 これは、後で BitBucket EasySSO を構成するために必要になります。

    Screenshot of the SAML Signing Certificate section, with download links highlighted

    証明書を使って EasySSO for BitBucket を手動で構成する予定の場合には、ログイン URLMicrosoft Entra 識別子をコピーして、コンピューターに保存しておく必要もあります。

Microsoft Entra テスト ユーザーを作成する

このセクションでは、テスト ユーザー (B.Simon) を作成します。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  3. 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
  4. [ユーザー] プロパティで、以下の手順を実行します。
    1. "表示名" フィールドに「B.Simon」と入力します。
    2. [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、「 B.Simon@contoso.com 」のように入力します。
    3. [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
    4. [Review + create](レビュー + 作成) を選択します。
  5. [作成] を選択します。

Microsoft Entra テスト ユーザーを割り当てる

このセクションでは、EasySSO for BitBucket へのアクセスを許可することで、B.Simon がシングル サインオンを使用できるようにします。

  1. [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
  2. アプリケーションの一覧で、 [EasySSO for BitBucket] を選択します。
  3. アプリの概要ページで、 [管理] セクションを見つけて、 [ユーザーとグループ] を選択します。
  4. [ユーザーの追加] を選択します。 [割り当ての追加] ダイアログ ボックスで [ユーザーとグループ] を選択します。
  5. [ユーザーとグループ] ダイアログ ボックスのユーザーの一覧で [B.Simon] を選択し、画面の下部にある [選択] を選択します。
  6. ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
  7. [割り当ての追加] ダイアログ ボックスで [割り当て] を選びます。

EasySSO for BitBucket SSO の構成

  1. 別の Web ブラウザー ウィンドウで、Zoom 企業サイトに管理者としてサインインします

  2. [Administration](管理) セクションに移動します。

    Screenshot of BitBucket instance, with gear icon highlighted

  3. [EasySSO] を見つけて選択します。

    Screenshot of Easy SSO option

  4. [SAML] を選択します。 これにより、SAML の構成セクションが表示されます。

    Screenshot of EasySSO Admin page, with SAML highlighted

  5. [Certificates](証明書) タブを選択すると、次の画面が表示されます。

    Screenshot of the Certificates tab, with various options highlighted

  6. このチュートリアルの前のセクションで保存した証明書 (Base64) またはメタデータ ファイルを見つけます。 次のいずれの方法で続行できます。

    • 自分のコンピューター上のローカル ファイルとしてダウンロードした、アプリのフェデレーション メタデータ ファイルを使用します。 [Upload](アップロード) をクリックし、ご使用のオペレーティング システムに固有のパスに従います。

    • 任意のプレーンテキスト エディターでアプリのフェデレーション メタデータ ファイルを開き、ファイルの内容を確認します。 それをクリップボードにコピーします。 [Input](入力) を選択し、クリップボードの内容をテキスト フィールドに貼り付けます。

    • すべて手動で構成します。 任意のプレーンテキスト エディターでアプリのフェデレーション証明書 (Base64) を開き、ファイルの内容を確認します。 それをクリップボードにコピーし、 [IdP Token Signing Certificates](IdP トークン署名証明書) テキスト フィールドに貼り付けます。 次に、[General] (全般) タブに移動し、[POST Binding URL] (POST バインディング URL) および [Entity ID] (エンティティ ID) フィールドに、前に保存した ログイン URLMicrosoft Entra 識別子の値をそれぞれ入力します。

  7. ページの下部にある [保存] を選択します。 メタデータ ファイルまたは証明書ファイルの内容が構成フィールドで解析されていることを確認できます。 これで、EasySSO for BitBucket の構成は完了しました。

  8. 構成をテストするには、[Look & Feel]\(外観\) タブに移動し、[SAML Login Button]\(SAML ログイン ボタン\) を選択します。 これにより、BitBucket サインイン画面の独立したボタンが有効になり、Microsoft Entra SAML 統合をエンド ツー エンドでテストできるようになります。 このボタンをオンのままにすることで、運用モードでの配置、色、および翻訳を構成することもできます。

    Screenshot of SAML page Look & Feel tab, with SAML Login Button highlighted

    Note

    問題がある場合は、EasySSO サポート チームにお問い合わせください。

EasySSO for BitBucket のテスト ユーザーの作成

このセクションでは、BitBucket で Britta Simon というユーザーを作成します。 EasySSO for BitBucket では Just-In-Time ユーザー プロビジョニングがサポートされており、既定では無効になっています。 有効にするには、EasySSO プラグイン構成の [General](全般) セクションで、 [Create user on successful login](ログイン成功時にユーザーを作成する) オプションを明示的にオンにする必要があります。 BitBucket にユーザーがまだ存在していない場合は、認証後に新規に作成されます。

ただし、ユーザーが初めてサインインしたときに自動ユーザー プロビジョニングを有効にしない場合は、BitBucket のインスタンスが使用するユーザー ディレクトリにユーザーが存在している必要があります。 このディレクトリは、たとえば LDAP や Atlassian Crowd です。

Screenshot of the General section of EasySSO plug-in configuration, with Create user on successful login highlighted

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。

SP Initiated:

  • [このアプリケーションをテストする] をクリックします。これにより、ログイン フローを開始できる EasySSO for BitBucket のサインオン URL にリダイレクトされます。

  • EasySSO for BitBucket のサインオン URL に直接移動し、そこからログイン フローを開始します。

IDP Initiated:

  • [このアプリケーションをテストする] をクリックすると、SSO を設定した EasySSO for BitBucket に自動的にサインインされるはずです

また、Microsoft マイ アプリを使用して、任意のモードでアプリケーションをテストすることもできます。 マイ アプリで [EasySSO for BitBucket] タイルをクリックすると、SP モードで構成されている場合は、ログイン フローを開始するためのアプリケーション サインオン ページにリダイレクトされます。IDP モードで構成されている場合は、SSO を設定した EasySSO for BitBucket に自動的にサインインされます。 マイ アプリの詳細については、マイ アプリの概要に関するページを参照してください。

次のステップ

EasySSO for BitBucket を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用できます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。