Docs » 認証とセキュリティ » Splunk Observability CloudのSSOインテグレーションについて » ADFS SSOインテグレーションを設定

ADFS SSOインテグレーションを設定 🔗

The Microsoft Active Directory Federation Services (ADFS) SSO integration lets your users log in to Splunk Observability Cloud using your Microsoft ADFS portal.

ADFSインテグレーションの構成を開始する前に、Splunk Observability Cloud用のSSOインテグレーションの設定 の手順が完了していることを確認してください。これには、SSOインテグレーションの命名 セクションを参照してインテグレーションの命名について理解することも含みます。

このインテグレーションは、Microsoft Entra ID(旧Azure Active Directory)とADFSでのみ利用可能です。また、ADFSの構成内に以下のフィールドが必要です:

  • メールアドレス

Splunk Observability CloudにADFSを設定する手順には、以下のセクションがあります:

ドメイン情報を Splunk サポートに送信する 🔗

SplunkでADFS SSOインテグレーションをアクティベートするまで、ユーザーはADFS SSOを使用した認証を利用できません。アクティベーションをリクエストするには、Splunk Observability Cloudに関するサポート までご連絡ください。

ログインメールアドレスのドメインを提供する準備をしてください。例えば、ユーザーが kai@example.com のようなユーザーIDでSSOにログインする場合、ログインメールアドレスのドメインは example.com です。

サポートがインテグレーションを有効にすると、ユーザーはADFS SSOを使用して認証できるようになります。

Create a new ADFS SSO integration in Splunk Observability Cloud 🔗

To create a new ADFS integration in Splunk Observability Cloud:

  1. Splunk Observability Cloudにログインします。

  2. ADFSガイド付きセットアップ を開きます。以下の方法で、ガイド付きセットアップに自分で移動することもできます:

    1. 左のナビゲーションメニューで、Data Management を選択します。

    2. Available integrations タブに移動するか、Deployed integrations タブで Add Integration を選択します。

    3. インテグレーションのフィルターメニューで、All を選択します。

    4. In the Search field, search for Active Directory FS, and select it.

  3. Name フィールドに、ADFS SSOインテグレーションの名前を入力します。

  4. Integration ID フィールドの値をファイルに保存します。この値は後のステップで必要になります。

  5. ADFSのインテグレーションを複数の組織に設定したい場合は、次の手順にしたがってください:
    1. Integration-specific Entity ID を選択します。

    2. チェックボックスの隣に表示されたURIを保存します。この URIは、この後のADFS設定ステップで必要になります。詳細は、IDプロバイダーを複数の組織と統合する を参照してください。

  6. このページは開いたままにしておいてください。後のステップで 証明書メタデータ ファイルをアップロードします。

Add Splunk Observability Cloud to ADFS 🔗

Add Splunk Observability Cloud as a relying party in ADFS:

  1. 別のブラウザタブまたはウィンドウで、ADFSサーバーにログインし、ADFS管理コンソールを開きます。

  2. コンソールで、Relying Party Trusts を右クリックし、Add Relying Party Trust を選択し、Start を選択します。

  3. Claims aware を選択し、Next を選択します。

  4. Enter data about the relying party manually を選択し、Next を選択します。

  5. Display name に、Splunk Observability Cloud と入力し、Next を選択します。

  6. 表示される画面で、デフォルトの証明書設定を変更せずそのまま残します。

  7. Configure URL ページで、2つのオプションは選択しないまま残し、Next を選択します。

  8. Configure Identifiers ページで、Relying party trust identifiers テキストボックスにエンティティIDを入力します:

    • ADFSに複数のインテグレーションを設定する場合は、以前に取得したインテグレーション固有のエンティティIDを入力します。

    • ADFSに単一のインテグレーションを使用している場合は、自分のレルムに応じて次のエンティティIDのいずれかを入力します:

      • あなたの組織が「 us0 」レルムを使用している場合は、以下を入力します:

        https://api.signalfx.com/v1/saml/metadata

      • あなたの組織が別のレルムを使用している場合は、以下を入力します:

        https://api.<YOUR_REALM>.signalfx.com/v1/saml/metadata

    レルムに関する詳細は、レルムに関する注意事項 を参照してください。

  9. Add を選択し、次に Next を選択します。

  10. The next step in the guided setup lets you configure multifactor authentication. Because Splunk Observability Cloud doesn’t require this option, select Next.

  11. Choose access control policy ページで、次を実行します:

    1. Permit everyone を選択します。

    2. I do not want to configure access control policies at this time を選択することもできます。後のステップで、認証ルールを追加できます。ルールの追加はインテグレーション手順には含まれないため、ここでは説明しません。

    3. Next を選択します。

  12. 設定を確認して、Next を選択します。

  13. Ready to Add Trust ページで、Next を選択します。

  14. Finish ページで、Configure claims issuance policy for this application の選択を解除し、Close を選択します。

  15. 表示されたページで、Relying Party Trusts を選択し、Splunk Observability Cloud を右クリックして、Properties を選択します。

  16. Advanced タブを選択し、Secure Hash Algorithm リストから SHA-256 を選択します。

  17. Endpoints タブを選択し、Add SAML… を選択します。ダイアログボックスで以下の操作を行います。

    • Endpoint type リストから、SAML Assertion Consumer を選択します。

    • Binding リストから、POST を選択します。

    • Set the trusted URL as default を選択します。

    • For Trusted URL, enter the URL, replacing <INTEGRATION_ID> with the integration ID you copied in step 3 of the section Create a new ADFS SSO integration in Splunk Observability Cloud:

      • あなたの組織が「 us0 」レルムにある場合は、以下を入力します:

      https://api.signalfx.com/v1/saml/acs/<INTEGRATION_ID>

      • あなたの組織が別のレルムにある場合は、以下を入力します:

      https://api.<YOUR_REALM>.signalfx.com/v1/saml/acs/<INTEGRATION_ID>

      レルムに関する詳細は、レルムに関する注意事項 を参照してください。

  18. OK を選択し、Add an endpoint ダイアログボックスを閉じます。

  19. OK を選択し、Splunk Observability Cloud Properties ダイアログボックスを閉じます。

  20. 表示されたページで、Relying Party Trusts を選択し、Splunk Observability Cloud を右クリックします。

  21. Claim rule policy リストから、Edit Claim Issuance Policy… を選択します。

  22. Add Rule… を選択します。

  23. Send LDAP Attributes as Claims を選択し、次に Next を選択します。

  24. 「LDAP」などのクレームルール名を入力し、Attribute store リストから、Microsoft Entra ID を選択します。

  25. Mapping of LDAP attributes to outgoing claim types ペインで、ドロップダウンリストを使用して、LDAP AttributeOutgoing Claim Type の列間のマッピングを設定します:

    • E-Mail-Addresses (メールアドレスのLDAP属性): User.email

    • Given-Name (名のLDAP属性): User.FirstName

    • Surname (姓のLDAP属性): User.LastName

    • SAM-Account-Name (一意のユーザー識別子のLDAP属性): PersonImmutableID

  26. Add rule… を再度選択し、Transform an incoming claim を選択します。

  27. 「メールアドレスから名前ID」などのクレームルール名を入力します。

  28. ADFSまたはSAMLの実装でまだ提供されていない場合は、このルールがName ID(名前ID)をパススルーするように設定します。

    例えば、User.email を名前IDとしてパススルーさせる場合は、次の手順を実行します:

    1. Incoming claim type ドロップダウンリストから、User.email を選択します。

    2. Outgoing claim type ドロップダウンリストから、Name ID を選択します。

    3. どのタイプを選択した場合でも、Outgoing name ID format のドロップダウンリストから、Persistent Identifier を選択します。

    4. Finish を選択します。

Obtain ADFS certificate to install to Splunk Observability Cloud 🔗

Obtain an ADFS certificate to install to Splunk Observability Cloud:

  1. ADFS管理コンソールで、Service を選択し、Certificates を選択します。

  2. Token-signing リストから証明書を右クリックし、View Certificate を選択します。

  3. Detail を選択し、Copy to file を選択します。証明書のエクスポートウィザードが表示されます。

  4. Next を選択し、次に DER encoded binary X.509 を選択します。

  5. certificate.cerを入力し、Finish を選択します。

  6. openssl ツールを使用して、証明書を.cer形式から.pem形式に変換します:

    openssl x509 -inform der -in certificate.cer -out certificate.pem

    In a following step, you upload this file to Splunk Observability Cloud.

Obtain federation metadata file to install to Splunk Observability Cloud 🔗

Obtain a federation metadata file to install to Splunk Observability Cloud:

  1. ADFS管理コンソールで、Endpoints に移動します。

  2. Federation Metadata のエンドポイントを探し、表示されたURLをコピーします。以下のようなURLです:

    https://<YOUR_SERVER_IP>/FederationMetadata/2007-06/FederationMetadata.xml

  3. ブラウザの新規ウィンドウまたは新規タブを開き、コピーしたURLに移動します。ファイルのダウンロードダイアログボックスが開きます。

  4. Save the file FederationMetadata.xml. In a following step, you upload this file to Splunk Observability Cloud.

注釈

検証するためにはURLがADFSに属している必要があります。許可されているドメインには、windows.netwindows-ppe.net などがあります。

Upload the ADFS certificate and federation metadata to Splunk Observability Cloud 🔗

In Splunk Observability Cloud, do the following:

  1. 前のステップで開いたADFSページを見つけます。

  2. Certificate フィールドで「 ファイルのアップロード 」リンクを選択し、certificate.pem ファイルをアップロードします。

  3. Metadata フィールドで「 ファイルのアップロード 」リンクを選択し、FederationMetadata.xml ファイルをアップロードします。

  4. Save を選択します。

The ADFS SSO integration is now available to users in your ADFS organization. When users log in to Splunk Observability Cloud from ADFS for the first time, they receive an email containing a link that they must open in order to authenticate. This only occurs the first time the user signs in. Subsequent login attempts don’t require validation.

メール認証機能をオフにしたい場合は、Splunk Observability Cloudに関するサポート までご連絡ください。

注釈

The ADFS portal is the only way that your users can log in to Splunk Observability Cloud.

Splunk Observability Cloudをご利用のお客様で、Splunk Observability Cloud内のデータを確認できない場合は、以下の方法でサポートを受けることができます。

Splunk Observability Cloudをご利用のお客様

見込み客および無料トライアルユーザー様

  • Splunk Answers のコミュニティサポートで質問し、回答を得る

  • Splunk #observability ユーザーグループの Slack チャンネルに参加して、世界中の顧客、パートナー、Splunk 社員とのコミュニケーションを図る。参加するには、Get Started with Splunk Community マニュアルの チャットグループ を参照してください。

このページは 2024年12月09日 に最終更新されました。