DO Microsoft Entra ID 를 통해 계정과 접근 권한 그룹을 프로비저닝
IdP 를 사용자의 계정 정보의 단일 진실 공급원 (Single Source Of Truth)으로 사용하며 Atlassian 제품을 사용하는 모든 계정은 IdP 통해서 프로비저닝하고 매뉴얼로 계정을 관리하지 않습니다.
https://learn.microsoft.com/en-us/entra/identity/saas-apps/atlassian-cloud-provisioning-tutorial
Atlassian 클라우드 제품이 프로비저닝되면 Atlassian은 https://support.atlassian.com/user-management/docs/default-groups-and-permissions/ 문서에 설명된 대로 해당 제품에 대한 로컬 디렉토리에 기본 그룹을 생성합니다.
예로 제품명-users-instance이름 형식으로 명명할 수 있으며 jira-users-korea-se-demo-1 그룹명은 “korea-se-demo-1” 라는 인스턴스내 Jira 에 접근할 수 있는 사용자들의 그룹을 의미하며 confluence-users-korea-se-demo-1 는“korea-se-demo-1” 라는 인스턴스내 Confluence 사용자들의 그룹을 의미합니다.
그룹 생성을 마쳤으면 해당 그룹 설정에서 접근을 허용할 제품을 설정해 줍니다.
한 조직안에 여러 제품이 있는 경우(예: Enterprise plan 사용)에도 위와 같은 그룹 네이밍 규칙을 적용하면 문제없이 프로비저닝을 할 수 있습니다.
DO 접근 권한과 관련되지 않은 그룹명은 프로비저닝하지 않음
IdP 를 통해서 사용자의 계정 정보의 단일 진실 공급원 (Single Source Of Truth)으로 사용하나 접근 권한과 관련되지 않은 그룹 정보(예: 팀명, 본부명등) 는 프로비저닝하지 않습니다.
그리고 사용자가 속한 조직 정보는 Atlassian Cloud 의 internal(local) directory 에 매뉴얼로 추가하며 사용자의 소속 팀 정보도 IdP 가 아닌 local directory 를 통해 관리합니다.
DO 조직 개편시 local group rename 기능을 이용하여 변경 정보 반영
24년 7월부터 조직 관리자(Org admin) 는 local group 에 대해 rename 을 수행할 수 있습니다. (관련 블로그 게시글)
이 기능을 사용하면 조직 개편이 발생해서 팀명이 변경될 경우 Admin Hub 에서 그룹 이름을 변경하면 Confluence 와 Jira 의 접근 권한도 같이 반영이 됩니다. (Jira 의 Assets 등 일부 기능은 수작업 필요)
The Organizations REST API 를 사용하면 그룹 생성/삭제 및 사용자를 그룹에 할당/해제하는 업무를 자동화할 수 있습니다.
User provisioning REST API 는 IdP 와 연동했을 경우에만 사용 가능하며 local group 관리에는 사용할 수 없습니다.
DO 여러 인스턴스가 있을 경우 ‘User access admin’ 을 통해 그룹 및 인스턴스 접근 권한 관리
Atlassian Cloud 에는 여러 관리자 역할이 있으며 Org admin 은 모든 권한을 갖고 있습니다.
Enterprise plan 을 사용해서 여러 인스턴스가 있을 경우 인스턴스 관리자가 자율적으로 운영할 수 있도록 책임을 위임하는 것을 권장하며 Org admin이 인스턴스 관리자에게 ‘user access admin’ 권한을 부여하는 것이 좋습니다.
권한 부여 방법
Directory → Users 에서 권한을 부여할 사용자를 선택한 후에 ‘Product roles’ 에서 ‘User access admin’ 을 부여하면 됩니다.
‘user access admin’ 는 admin.atlassian.com 에 접속하여 사용자 초대나 그룹 생성/그룹명 변경을 할수 있으며 개별 프로덕트의 접근 여부를 허용할 수 있으므로 각 인스턴스 관리자가 자율적으로 운영할 수 있습니다.
소개
Atlassian Guard(구 Access) 란
Guard 는 Atlassian Cloud 를 위한 보안 제품으로 dP 와 연동한 사용자 프로비저닝, SSO(Single Sign On), 모바일 앱 정책등 여러 가지 보안 기능을 사용할 수 있습니다.
Guard 에 대한 자세한 정보는 Guard 홈페이지 에서 확인할 수 있습니다.
Atlassian Organization 이란
Atlassian Cloud 에서 조직(Organization)은 Atlassian 관리자가 회사가 사용하는 전자 메일 주소(예: @http://atlassian.com )를 사용하는 모든 Atlassian 계정(예: dev@atlassian.com, user1@atlassian.com, etc…)을 확인하고 제어할 수 있는 기능을 제공하는 관리 계층입니다.
이는 모든 사용자와 콘텐츠를 중앙 집중식으로 관리할 수 있는 아틀라시안 클라우드 계층의 최상위 계층으로 모든 Atlassian 사이트 및 제품은 하나의 조직에 포함됩니다.
관리자는 Atlassian Cloud 의 관리자 허브인 admin.atlassian.com 에서 소속 회사의 조직에 액세스하고 소유한 제품과 사이트 목록을 확인할 수 있습니다.
Domain Claim 이란
조직 관리자는 회사 도메인(예: ACME.com)의 소유를 증명하면 해당 도메인에 기반한 이메일 주소를 사용하는 모든 Atlassian 사용자 계정을 중앙에서 관리할 수 있으며 이 프로세스를 도메인 검증(domain verification) 이라고 부릅니다.
도메인 검증은 HTTPS, DNS 의 TXT 레코드, Google Workspace 등의 방법으로 확인할 수 있습니다.
Ref
TSC 팀의 Jarrod 작성 문서
Composable API
New Atlas ticket to provide interim solution for ID-800