BLOG | Atlassian Cloud : comment gérer les tokens de son instance en toute sécurité

30/09/2025

La gestion de l’utilisation des REST API Atlassian Cloud via des tokens est un vrai enjeu de sécurité au sein du SI d’une organisation. Dans cet article, nous vous offrons quelques conseils afin de gérer les tokens de votre instance de la manière la plus sécuritaire possible.

Atlassian Guard : bloquer la création de tokens

Atlassian Guard, produit inclus dans les plans Entreprise et commandable comme un produit indépendant permet notamment de gérer la connexion entre un Active Directory et une instance Atlassian.

Une fois les utilisateurs provisionnés, ces derniers sont inclus dans des politiques d’authentification, gérant entre autres la connexion via le SSO d’entreprise ou la possibilité de créer un token.

Une image contenant texte, logiciel, capture d’écran, Icône d’ordinateurLe contenu généré par l’IA peut être incorrect.

Menu Sécurité, politiques d’authentifications

Ainsi, un utilisateur présent dans une politique d’authentification dans laquelle la création de tokens est bloquée ne pourra jamais en créer. Il faudra l’autoriser en le basculant dans une règle d’authentification donnant la permission de créer des tokens.

Les politiques d’authentification permettent de gérer la permission de créer des tokens ainsi que leur durée de vie maximale.

Une image contenant texte, capture d’écran, logiciel, PoliceLe contenu généré par l’IA peut être incorrect.

Lors de la bascule d’un utilisateur dans une politique ne permettant pas l’utilisation des API :

  • L’utilisateur ne perd pas tout de suite la possibilité d’utiliser son token : Attention, environ vingt minutes sont nécessaires pour que la mise à jour soit propagée.
  • L’utilisateur peut toujours utiliser son token, mais l’API ne fonctionnera pas
  • L’utilisateur ne pourra plus créer de token
  • L’utilisateur ajouté dans une politique autorisant les tokens sera autorisé à l’utiliser presque instantanément

Ainsi, la liste des utilisateurs disposant d’un token peut être limitée aux utilisateurs devant y être autorisés. La liste des tokens en activité dans l’organisation est par ailleurs accessible dans le menu Sécurité de l’administration de votre instance, avec la possibilité de révoquer ces derniers.

Au-delà de la possibilité de bloquer la création de tokens, Atlassian permet aussi d’en contrôler les droits et le périmètre d’action.

Il est également possible de bloquer l’utilisation des tokens des utilisateurs externes via la politique d’authentification des utilisateurs externes.

Définition d’une politique d’authentification des utilisateurs externes

Limitation des droits des tokens

Atlassian donne la possibilité aux utilisateurs de créer des tokens tout en limitant les droits de ces derniers sur l’instance.

Générer un token n’est pas une opération compliquée, l’essentiel étant de définir sur quel périmètre le token doit intervenir. S’agit-il de lecture de données ? S’agit-il de création de tickets depuis une solution tierce ? C’est la réponse à ces questions qui détermineront quels droits devront être donnés au token.

Concrètement, voici comment générer un token en restreignant ses permissions.

Comment autoriser la génération d’un token avec des droits limités ?

  • Accéder à l’onglet Sécurité via les paramètres de son profil pour pouvoir créer et gérer ses tokens.

Une image contenant texte, capture d’écran, Police, ligneLe contenu généré par l’IA peut être incorrect.

Cliquer sur “Create API token with scopes”

Une image contenant texte, capture d’écran, PoliceLe contenu généré par l’IA peut être incorrect.

  • Donner un nom au Token et une date de validité (un an maximum)

Une image contenant texte, capture d’écran, Police, nombreLe contenu généré par l’IA peut être incorrect.

  • Sélectionner l’application de destination, puis les permissions souhaitées en fonction du contexte d’utilisation du token. Il est possible de sélectionner jusqu'à 50 permissions différentes.

Une image contenant texte, capture d’écran, nombre, PoliceLe contenu généré par l’IA peut être incorrect.

  • Une fois validé, lancer la création du Token et récupérer l’API token qui aura été créé.

Une image contenant texte, capture d’écran, PoliceLe contenu généré par l’IA peut être incorrect.

Le token est désormais utilisable, dans la limite des permissions accordées et des permissions de l’utilisateur. Ainsi, seuls les projets visibles par l’utilisateur le seront pour le token.

Pour les comptes managés par Atlassian Guard, il faut que ces derniers soient placés dans une règle de connexion permettant la création d’un token pour pouvoir suivre cette procédure.

Enfin, pour éviter de reposer uniquement sur les tokens personnels, Atlassian introduit une nouvelle approche : les comptes de services.

Le token créé est désormais utilisable sur toutes les instances et sur tout les projets accessibles par l’utilisateur.

Les comptes de services

Nouveauté de l'été 2025, l’arrivée des comptes de services sur les instances Atlassian va permettre aux administrateurs Atlassian de gérer leur token en autonomie, sans avoir à passer par des tokens individuels.

Des tokens liés à des applications tierces pourront ainsi appartenir à des comptes de services, et non plus à des ressources individuelles dans l’entreprise.

À partir du directory présent dans l’administration Atlassian, la création se fait très simplement à partir du menu “Service Account”.

Une image contenant texte, capture d’écran, Police, nombreLe contenu généré par l’IA peut être incorrect.

L'étape d’après, tout comme l’ajout d’un compte à votre instance, permet de donner des droits aux produits Atlassian installés sur l’instance.

Une image contenant texte, capture d’écran, nombre, PoliceLe contenu généré par l’IA peut être incorrect.

Le compte est désormais créé.

Une image contenant texte, capture d’écran, PoliceLe contenu généré par l’IA peut être incorrect.

Les comptes de services ne consomment pas de licences, mais sont limités en nombre :

  • 5 comptes de service maximum pour les instances ne disposant pas d’Atlassian Guard
  • 250 comptes de service maximum pour les instances disposant d’Atlassian Guard
  • 1 000 comptes de service maximum pour les instances Entreprise.

Une fois le compte créé, ce dernier se gère comme un utilisateur classique. Bien que non utilisable en tant qu’acteur dans les automatisations, le compte de service s’ajoute dans des schémas de permissions et dans des projets pour pouvoir l’utiliser.

Il est possible de lui créer un token en limitant les droits de ce dernier, et de l’utiliser pour les applications tierces nécessitant une connexion à l’instance Atlassian. Comme pour un token personnel, ce dernier ne fonctionnera que sur les projets sur lesquels le compte de service aura été déclaré.

En résumé, la combinaison de ces mécanismes renforce significativement la sécurité de vos intégrations.

Atlassian a beaucoup investi pour rendre la gestion des tokens plus sécurisée et mieux adaptée aux déploiements de SI globaux. En combinant de bonnes politiques de sécurité, des tokens avec des droits réduits et la gestion de ces derniers via des comptes de services, il n’a jamais été aussi sécuritaire de se connecter à une instance Atlassian.

Bonnes pratiques à retenir :

  • Limiter la création de tokens aux seul·e·s utilisateur·rice·s qui en ont réellement besoin,
  • Réduire les permissions au strict nécessaire (principe du moindre privilège),
  • Définir une durée de vie maximale et révoquer les tokens inactifs,
  • Utiliser les comptes de services pour les intégrations applicatives plutôt que des comptes personnels.

  • Par Damien Charles

    Atlassian

    Consultant Senior Atlassian

    Suivre