俺です。

モデン情シスアドベントカレンダー2018です。
１日は３２時間あるからまだ12/19だぞと思っていたら世間一般的に日付が変わるギリギリのエントリでした。反省。

さて、孤軍奮闘しているAtlassianな管理者を、会社組織の一員として迎えるTipsです。
Confluence Server Editionを例としています。

会社でAtlassian製品運営してるけど、User Provisioningはポチポチするとか、
登録情報を内部データベースに持つとかAtlassian人が一気に増えたらどーすんの腱鞘炎になるよ。
ということでAtlassian JIRAやConfluenceにはLDAP(Active Directory)連携機能があります。

ナニができるのか

全てADのユーザーとグループで制御できるようになります。
Confluenceユーザー管理職人を社内に登用する必要がなくなります。
最高。

• ユーザー登録と削除
• ログイン
• グループ登録
• グループへのConfluence権限関連付け

ConfluenceでのADグループ連携実装例

ConfluenceのAD連携機能の標準フィルターでは、ベースDNのcn=Person全て登録するフィルタになっており、
購入したライセンス数を超えるAtlassian人を創造してしまうことが考えられます。

そこでAD上のユーザーとグループを以下条件でフィルタ登録する例を記載します。
記載するフィルタ構文は以下ベースDNとしています。
ベースDN: ou=oreno,dc=corp,dc=co,dc=jp

AD連携のフィルタ条件

• ConfluenceUsersグループに登録されたユーザーをConfluence一般利用者権限でアクセスさせたい
• ConfluenceAdminsグループに登録されたユーザーをConfluence管理者権限でアクセスさせたい

フィルター例

• ユーザーフィルター

memberOfがConfluenceUsersまたはConfluenceAdminsに所属するPersonのsAMAccountNameを抽出します。

(&(objectCategory=Person)(sAMAccountName=*)(|(memberOf=cn=ConfluenceUser,ou=oreno,dc=corp,dc=co,dc=jp)(memberOf=cn=ConfluenceAdmins,ou=oreno,dc=corp,dc=co,dc=jp)))

• グループフィルター

ADのグループ名がConfluenceから始まるものをConflunenceのグループとして抽出します。

(&(objectCategory=Group)(name=Confluence*))

• Confluenceに連携したグループへmemberof登録

ユーザーメンバーシップの属性を使用 は グループのメンバーを探す場合 にチェックを付けます。

これでADに登録するだけでConfluenceの利用者を制御することができます。
最高。