HM : Atlassian Cloud 사용자 프로비저닝 및 거버넌스 가이드

Owned by Nayoung Yun
Last updated: 2024-Nov-21
4 min read

 

DO Microsoft Entra ID 를 통해 계정과 접근 권한 그룹을 프로비저닝

IdP 를 사용자의 계정 정보의 단일 진실 공급원 (Single Source Of Truth)으로 사용하며 Atlassian 제품을 사용하는 모든 계정은 IdP 통해서 프로비저닝하고 매뉴얼로 계정을 관리하지 않습니다.

Tutorial: Configure Atlassian Cloud for automatic user provisioning with Microsoft Entra ID - Microsoft Entra ID

Scoping users or groups to be provisioned with scoping filters in Microsoft Entra ID - Microsoft Entra ID

Atlassian 클라우드 제품이 프로비저닝되면 Atlassian은 Default groups and permissions | Atlassian Support 문서에 설명된 대로 해당 제품에 대한 로컬 디렉토리에 기본 그룹을 생성합니다.

예로 제품명-users-instance이름 형식으로 명명할 수 있으며 jira-users-korea-se-demo-1 그룹명은 “korea-se-demo-1” 라는 인스턴스내 Jira 에 접근할 수 있는 사용자들의 그룹을 의미하며 confluence-users-korea-se-demo-1 는“korea-se-demo-1” 라는 인스턴스내 Confluence 사용자들의 그룹을 의미합니다.

그룹 생성을 마쳤으면 해당 그룹 설정에서 접근을 허용할 제품을 설정해 줍니다.

한 조직안에 여러 제품이 있는 경우(예: Enterprise plan 사용)에도 위와 같은 그룹 네이밍 규칙을 적용하면 문제없이 프로비저닝을 할 수 있습니다.

 

DO 접근 권한과 관련되지 않은 그룹명은 프로비저닝하지 않음

IdP를 통해서 접근 권한과 관련되지 않은 그룹 정보(예: 팀명, 본부명등)는 프로비저닝하지 않는 것을 권장합니다.

사용자가 속한 조직 정보는 Atlassian Cloud 의 internal(local) directory 에 매뉴얼로 추가하며 사용자의 소속 팀 정보도 IdP 가 아닌 local directory 를 통해 관리합니다.

DO 조직 개편시 local group rename 기능을 이용하여 변경 정보 반영

24년 7월부터 조직 관리자(Org admin) 는 local group 에 대해 rename 을 수행할 수 있습니다. (관련 블로그 게시글)

이 기능을 사용하면 조직 개편이 발생해서 팀명이 변경될 경우 Admin Hub 에서 그룹 이름을 변경하면 Confluence 와 Jira 의 접근 권한도 같이 반영이 됩니다. (Jira 의 Assets 등 일부 기능은 수작업 필요)

The Organizations REST API 를 사용하면 그룹 생성/삭제 및 사용자를 그룹에 할당/해제하는 업무를 자동화할 수 있습니다.

User provisioning REST API 는 IdP 와 연동했을 경우에만 사용 가능하며 local group 관리에는 사용할 수 없습니다.

DO 여러 인스턴스가 있을 경우 ‘User access admin’ 을 통해 그룹 및 인스턴스 접근 권한 관리

Atlassian Cloud 에는 여러 관리자 역할이 있으며 Org admin 은 모든 권한을 갖고 있습니다.

Enterprise plan 을 사용해서 여러 인스턴스가 있을 경우 인스턴스 관리자가 자율적으로 운영할 수 있도록 책임을 위임하는 것을 권장하며 Org admin이 인스턴스 관리자에게 ‘user access admin’ 권한을 부여하는 것이 좋습니다.

‘user access admin’ 는 admin.atlassian.com 에 접속하여 사용자 초대나 그룹 생성/그룹명 변경을 할수 있으며 개별 프로덕트의 접근 여부를 허용할 수 있으므로 각 인스턴스 관리자가 자율적으로 운영할 수 있습니다.

소개

Atlassian Guard(구 Access) 란

Guard 는 Atlassian Cloud 를 위한 보안 제품으로 dP 와 연동한 사용자 프로비저닝, SSO(Single Sign On), 모바일 앱 정책등 여러 가지 보안 기능을 사용할 수 있습니다.

Guard 에 대한 자세한 정보는 Guard 홈페이지 에서 확인할 수 있습니다.

Atlassian Organization 이란

Atlassian Cloud 에서 조직(Organization)은 Atlassian 관리자가 회사가 사용하는 전자 메일 주소(예: @http://atlassian.com )를 사용하는 모든 Atlassian 계정(예: dev@atlassian.com, user1@atlassian.com, etc…)을 확인하고 제어할 수 있는 기능을 제공하는 관리 계층입니다.

이는 모든 사용자와 콘텐츠를 중앙 집중식으로 관리할 수 있는 아틀라시안 클라우드 계층의 최상위 계층으로 모든 Atlassian 사이트 및 제품은 하나의 조직에 포함됩니다.

관리자는 Atlassian Cloud 의 관리자 허브인 admin.atlassian.com 에서 소속 회사의 조직에 액세스하고 소유한 제품과 사이트 목록을 확인할 수 있습니다.

 

Domain Claim 이란

조직 관리자는 회사 도메인(예: ACME.com)의 소유를 증명하면 해당 도메인에 기반한 이메일 주소를 사용하는 모든 Atlassian 사용자 계정을 중앙에서 관리할 수 있으며 이 프로세스를 도메인 검증(domain verification) 이라고 부릅니다.

도메인 검증은 HTTPS, DNS 의 TXT 레코드, Google Workspace 등의 방법으로 확인할 수 있습니다.