ADFS SSOインテグレーションを設定 🔗
Microsoft Active Directoryフェデレーションサービス(ADFS)のSSOインテグレーションを設定すると、ユーザーは、Microsoft ADFSポータルを使用してSplunk Observability Cloudにログインできます。
ADFSインテグレーションの構成を開始する前に、Splunk Observability Cloud用のSSOインテグレーションの設定 の手順が完了していることを確認してください。これには、SSOインテグレーションの命名 セクションを参照してインテグレーションの命名について理解することも含みます。
このインテグレーションは、Microsoft Entra ID(旧Azure Active Directory)とADFSでのみ利用可能です。また、ADFSの構成内に以下のフィールドが必要です:
名
姓
メールアドレス
Splunk Observability CloudにADFSを設定する手順には、以下のセクションがあります:
ドメイン情報を Splunk サポートに送信する 🔗
SplunkでADFS SSOインテグレーションをアクティベートするまで、ユーザーはADFS SSOを使用した認証を利用できません。アクティベーションをリクエストするには、Splunk Observability Cloudに関するサポート までご連絡ください。
ログインメールアドレスのドメインを提供する準備をしてください。例えば、ユーザーが kai@example.com
のようなユーザーIDでSSOにログインする場合、ログインメールアドレスのドメインは example.com
です。
サポートがインテグレーションを有効にすると、ユーザーはADFS SSOを使用して認証できるようになります。
Splunk Observability Cloudで新しいADFS SSOインテグレーションを作成する 🔗
Splunk Observability Cloudで新しいADFSインテグレーションを作成するには、以下の手順にしたがってください:
Splunk Observability Cloudにログインします。
ADFSガイド付きセットアップ を開きます。以下の方法で、ガイド付きセットアップに自分で移動することもできます:
左のナビゲーションメニューで、
を選択します。Available integrations タブに移動するか、Add Integration タブで Deployed integrations を選択します。
インテグレーションのフィルターメニューで、All を選択します。
Search フィールドで Active Directory FS を検索し、選択します。
Name フィールドに、ADFS SSOインテグレーションの名前を入力します。
Integration ID フィールドの値をファイルに保存します。この値は後のステップで必要になります。
- ADFSのインテグレーションを複数の組織に設定したい場合は、次の手順にしたがってください:
Integration-specific Entity ID を選択します。
チェックボックスの隣に表示されたURIを保存します。この URIは、この後のADFS設定ステップで必要になります。詳細は、IDプロバイダーを複数の組織と統合する を参照してください。
このページは開いたままにしておいてください。後のステップで 証明書 と メタデータ ファイルをアップロードします。
Splunk Observability CloudをADFSに追加する 🔗
次の手順で、ADFSにRelying PartyとしてSplunk Observability Cloudを追加します:
別のブラウザタブまたはウィンドウで、ADFSサーバーにログインし、ADFS管理コンソールを開きます。
コンソールで、Relying Party Trusts を右クリックし、 を選択し、Start を選択します。
Next を選択します。
を選択し、Next を選択します。
を選択し、Display name に、Splunk Observability Cloud と入力し、Next を選択します。
表示される画面で、デフォルトの証明書設定を変更せずそのまま残します。
Configure URL ページで、2つのオプションは選択しないまま残し、Next を選択します。
Configure Identifiers ページで、Relying party trust identifiers テキストボックスにエンティティIDを入力します:
ADFSに複数のインテグレーションを設定する場合は、以前に取得したインテグレーション固有のエンティティIDを入力します。
ADFSに単一のインテグレーションを使用している場合は、自分のレルムに応じて次のエンティティIDのいずれかを入力します:
あなたの組織が「
us0
」レルムを使用している場合は、以下を入力します:https://api.signalfx.com/v1/saml/metadata
あなたの組織が別のレルムを使用している場合は、以下を入力します:
https://api.<YOUR_REALM>.signalfx.com/v1/saml/metadata
レルムに関する詳細は、レルムに関する注意事項 を参照してください。
Add を選択し、次に Next を選択します。
ガイド付きセットアップの次のステップでは、多要素認証を設定できます。Splunk Observability Cloudではこのオプションは必須ではないため、Next を選択します。
Choose access control policy ページで、次を実行します:
を選択します。
I do not want to configure access control policies at this time を選択することもできます。後のステップで、認証ルールを追加できます。ルールの追加はインテグレーション手順には含まれないため、ここでは説明しません。
Next を選択します。
設定を確認して、Next を選択します。
Ready to Add Trust ページで、Next を選択します。
Finish ページで、Configure claims issuance policy for this application の選択を解除し、Close を選択します。
表示されたページで、Splunk Observability Cloud を右クリックして、 を選択します。
を選択し、Advanced タブを選択し、Secure Hash Algorithm リストから を選択します。
Endpoints タブを選択し、Add SAML… を選択します。ダイアログボックスで以下の操作を行います。
Endpoint type リストから、SAML Assertion Consumer を選択します。
Binding リストから、POST を選択します。
Set the trusted URL as default を選択します。
Trusted URL に、URLを入力します。
<INTEGRATION_ID>
は、「 Splunk Observability Cloudで新しいADFS SSOインテグレーションを作成する 」のステップ3でコピーしたインテグレーションIDに置き換えます:あなたの組織が「
us0
」レルムにある場合は、以下を入力します:
https://api.signalfx.com/v1/saml/acs/<INTEGRATION_ID>
あなたの組織が別のレルムにある場合は、以下を入力します:
https://api.<YOUR_REALM>.signalfx.com/v1/saml/acs/<INTEGRATION_ID>
レルムに関する詳細は、レルムに関する注意事項 を参照してください。
OK を選択し、Add an endpoint ダイアログボックスを閉じます。
OK を選択し、Splunk Observability Cloud Properties ダイアログボックスを閉じます。
表示されたページで、Relying Party Trusts を選択し、Splunk Observability Cloud を右クリックします。
Claim rule policy リストから、 を選択します。
Add Rule… を選択します。
Next を選択します。
を選択し、次に「LDAP」などのクレームルール名を入力し、Attribute store リストから、Microsoft Entra ID を選択します。
Mapping of LDAP attributes to outgoing claim types ペインで、ドロップダウンリストを使用して、LDAP Attribute と Outgoing Claim Type の列間のマッピングを設定します:
E-Mail-Addresses (メールアドレスのLDAP属性): User.email
Given-Name (名のLDAP属性): User.FirstName
Surname (姓のLDAP属性): User.LastName
SAM-Account-Name (一意のユーザー識別子のLDAP属性): PersonImmutableID
Add rule… を再度選択し、Transform an incoming claim を選択します。
「メールアドレスから名前ID」などのクレームルール名を入力します。
ADFSまたはSAMLの実装でまだ提供されていない場合は、このルールがName ID(名前ID)をパススルーするように設定します。
例えば、
User.email
を名前IDとしてパススルーさせる場合は、次の手順を実行します:Incoming claim type ドロップダウンリストから、User.email を選択します。
Outgoing claim type ドロップダウンリストから、Name ID を選択します。
どのタイプを選択した場合でも、Outgoing name ID format のドロップダウンリストから、Persistent Identifier を選択します。
Finish を選択します。
Splunk Observability CloudにインストールするADFS証明書を取得する 🔗
次の手順で、Splunk Observability CloudにインストールするADFS証明書を取得します:
ADFS管理コンソールで、Service を選択し、Certificates を選択します。
Token-signing リストから証明書を右クリックし、 を選択します。
Detail を選択し、Copy to file を選択します。証明書のエクスポートウィザードが表示されます。
を選択し、次に を選択します。
certificate.cerを入力し、Finish を選択します。
openssl
ツールを使用して、証明書を.cer形式から.pem形式に変換します:openssl x509 -inform der -in certificate.cer -out certificate.pem
続くステップで、このファイルをSplunk Observability Cloudにアップロードします。
Splunk Observability Cloudにインストールするフェデレーションメタデータファイルを取得する 🔗
Splunk Observability Cloudにインストールするフェデレーションメタデータファイルを取得するには、次の手順にしたがいます:
ADFS管理コンソールで、Endpoints に移動します。
Federation Metadata のエンドポイントを探し、表示されたURLをコピーします。以下のようなURLです:
https://<YOUR_SERVER_IP>/FederationMetadata/2007-06/FederationMetadata.xml
ブラウザの新規ウィンドウまたは新規タブを開き、コピーしたURLに移動します。ファイルのダウンロードダイアログボックスが開きます。
FederationMetadata.xmlファイルを保存します。続くステップで、このファイルをSplunk Observability Cloudにアップロードします。
注釈
検証するためにはURLがADFSに属している必要があります。許可されているドメインには、windows.net
や windows-ppe.net
などがあります。
ADFS証明書とフェデレーションメタデータをSplunk Observability Cloudにアップロードする 🔗
Splunk Observability Cloudで、以下を実行します:
前のステップで開いたADFSページを見つけます。
Certificate フィールドで「 :strong:` ファイルのアップロード` 」リンクを選択し、
certificate.pem
ファイルをアップロードします。Metadata フィールドで「 :strong:` ファイルのアップロード` 」リンクを選択し、
FederationMetadata.xml
ファイルをアップロードします。Save を選択します。
これで、お客様のADFS組織内のユーザーがADFS SSOインテグレーションを利用できるようになりました。ユーザーが初めてADFSからSplunk Observability Cloudにログインする際に、認証のために開く必要のあるリンクを含むメールがユーザーに届きます。これは、ユーザーが初めてサインインするときにのみ発生します。それ以降のログインに検証は必要ありません。
メール認証機能をオフにしたい場合は、Splunk Observability Cloudに関するサポート までご連絡ください。
注釈
ユーザーは、ADFSポータルを通してのみSplunk Observability Cloudにログインできます。
Splunk Observability Cloudをご利用のお客様で、Splunk Observability Cloud内のデータを確認できない場合は、以下の方法でサポートを受けることができます。
Splunk Observability Cloudをご利用のお客様
Splunk サポートポータル でケースを送信する
Splunkサポート に連絡する
見込み客および無料トライアルユーザー様
Splunk Answers のコミュニティサポートで質問し、回答を得る
Join the Splunk #observability user group Slack channel to communicate with customers, partners, and Splunk employees worldwide. To join, see Chat groups in the Get Started with Splunk Community manual.