Docs » 認証とセキュリティ » Splunk Observability CloudのSSOインテグレーションについて » 汎用SAML SSOインテグレーションを使ってSSOを構成する

汎用SAML SSOインテグレーションを使ってSSOを構成する 🔗

注意

このインテグレーションは、未検証の宛先に認証情報を送信する場合があります。ユーザーの認証に汎用SAML SSOインテグレーションをご利用いただくことはできますが、Splunk Observability Cloudでは、メインの認証メカニズムとしてこれらのインテグレーションをサポートしていません。Splunk Observability Cloudのサポートチームは、インテグレーション自体が動作していることの確認を除き、汎用SSOインテグレーションを使用したユーザー認証の試行時にお客様が遭遇する問題の診断や修復のサポートはできません。

Splunk Observability Cloud用のSSOインテグレーションの設定 に記載されている以外のSSOログインサービスを使用する場合、組織用に汎用SAML SSOインテグレーションを作成することができます。

汎用SAML SSOインテグレーションの構成を開始する前に、Splunk Observability Cloud用のSSOインテグレーションの設定 の手順が完了していることを確認してください。これには、SSOインテグレーションの命名 セクションを参照してインテグレーションの命名について理解することも含みます。

既に組織用のSAML SSOインテグレーションをお持ちの場合は、汎用SAML SSOインテグレーションをインストールする の手順に従ってSplunk Observability Cloudにインストールしてください。

注釈

汎用SAML SSOインテグレーションを許可するには、Splunk Observability Cloudに関するサポート に連絡してください。

汎用SAML SSOインテグレーション 🔗

Splunk Observability Cloudは、特定のSAML SSOプロバイダー用のインテグレーションを提供します。ご利用のプロバイダーが、サポート対象のインテグレーションのリストにない場合は、組織の管理者がSplunk Observability Cloudから汎用的なインテグレーションをリクエストできます。このインテグレーションを使用して、SAML SSOプロバイダーをテストおよび開発できます。このインテグレーションを使用して、管理者は、一般に利用可能な任意のSSOエンドポイントを使用してユーザーを認証するようにSplunkObservability Cloudに指示できます。

ユーザーがログイン時に入力するID/メールアドレス用のドメインを提供する準備をしてください。ドメインは、ユーザーID/メールアドレスの文字列のうち、@ 記号の後に続く部分です。

作成する汎用SAMLインテグレーション1つにつき、使用できる PersonImmutableID のタイプは1つのみです。同じ PersonImmutableID を使用して2つ目の汎用SAMLインテグレーションを作成する場合は、1つ目のインテグレーションを非アクティブにし、そのユーザーを削除する必要があります。これを実行するまで、ユーザーは同じタイプのIDを使用して組織にログインすることはできません。例えば、1つ目のインテグレーションがPersonImmutableIDとして emailId を使用している場合、2つ目のインテグレーションで emailId を使用することはできません。

APIを使用してユーザーを削除する方法の詳細については、Delete/organization/member を参照してください。

汎用SAML SSOインテグレーションに必要な情報 🔗

ユーザー情報

  • 以下のうち1つ:

    • User.FirstName および User.LastName:ユーザーの姓と名

    • User.FullName:ユーザーのフルネーム

  • User.email:ユーザーのメールアドレス

  • PersonImmutableID:このユーザー固有の識別子

Assertion Consumer Service (ACS) URL

  • Assertion Consumer Service (ACS) URLには、レルム情報を含むものがあります。詳しくは、レルムに関する注意事項 を参照してください。

  • ACS URLには、各インテグレーションに固有のインテグレーションIDが含まれています。

  • SAMLページには、このIDが表示されます。

URLは以下のいずれかの形式です:

  • 組織が us0 レルムを使用している場合: https://api.signalfx.com/v1/saml/acs/<INTEGRATION_ID>

  • 組織が us0 以外のレルムを使用している場合: https://api.<YOUR_REALM>.signalfx.com/v1/saml/acs/<INTEGRATION_ID>

<ENTITY-ID>、これは、新しいインテグレーションの作成を開始すると表示されるエンティティIDです。

  • 単一組織の場合は、以下のエンティティIDを入力してください:

    • 組織が us0 レルムを使用している場合は、以下を入力します: https://api.signalfx.com/v1/saml/metadata/<ENTITY-ID>

    • 組織が us0 以外のレルムを使用している場合は、以下を入力します: https://api.<YOUR_REALM>.signalfx.com/v1/saml/metadata<ENTITY-ID>

  • 単一のIdPと統合する組織が複数ある場合は、以下を実行してください:

    1. Integration-specific Entity ID を選択します。オプションの隣に、インテグレーション固有のエンティティIDがURIの形で表示されます。

    2. このエンティティIDをコピーし、Splunk Observability Cloudと通信するためのログインサービスを構成する際にこれを指定します。

アサーション署名

SSOプロバイダーは、アサーション署名をリクエスト自体ではなくアサーションメッ セージに含める必要があります。アサーションは、SHA256アルゴリズムまたはそれ以上を使って署名される必要があります。

RelayState

Splunk Observability Cloudは動的なRelayStateを送信するため、SSOプロバイダーはこの動的なRelayStateを受け入れ、返送する必要があります。RelayStateはSAML仕様の一部です。Splunk Observability Cloudシステムにおいては、IDプロバイダーに送信されるAuthNリクエストのメッセージコンテキストの一部です。このメッセージコンテキストには、後にサービスプロバイダー側で検証できるトークンも含まれています。RelayStateはSplunk Observability Cloudシステムによって設定され、リクエストとともにIdPに送信されます。IdPは、IdP側で認証に成功した後に受信したのと同じ値でリレー状態をサービスプロバイダーに送り返すことが期待されます。

汎用SAML SSOインテグレーションをインストールする 🔗

このセクションでは、組織が実装した汎用SAML SSOインテグレーションをインストールする方法を説明します。

前提条件 🔗

インストールを開始する前に、以下の情報が必要です:

  • 名前:汎用SAML SSOのタイルに表示される記述名。

  • 公開鍵:SAMLプロバイダーの公開鍵。SHA256アルゴリズム以上で署名する必要があります。

  • 発行者URL:SSOプロバイダーが提供する発行者URL。

  • 以下のいずれか:

    • SSOプロバイダーが提供する、一般にアクセス可能なメタデータURL。

    • XML形式のSSOプロバイダーのメタデータ。プロバイダーがメタデータの一部として送信するエンティティIDは、発行者URLと一致する必要があります。

単一のSplunk Observability Cloud組織で複数のメールドメインを使用する場合(例:「kai@example.com」と「deepu@examplehq.com」など)は、Splunk Observability Cloudに関するサポート に連絡して、複数のドメインを有効にするためのサポートを受けてください。

ステップ 🔗

汎用SAML SSOインテグレーションをインストールするには、以下の手順に従います:

  1. Splunk Observability Cloudにログインします。

  2. SAMLガイド付きセットアップ を開きます。以下の方法で、ガイド付きセットアップに自分で移動することもできます:

    1. 左のナビゲーションメニューで、Data Management を選択します。

    #.:guilabel:Available integrations タブに移動するか、Deployed integrations タブで Add Integration を選択します。

    1. インテグレーションのフィルターメニューで、All を選択します。

    2. Search フィールドで SAML を検索し、選択します。

  3. Name フィールドに、このインテグレーションの名前を入力します。組織に カスタムURL がある場合は、この名前は、ユーザーがログインするために選択するボタンのテキストとして表示されます( SSOインテグレーションの命名 のセクションを参照してください)。

  4. 残りのフィールドには、前提条件 セクションで収集した情報を入力します。

  5. Save認証しました! というメッセージが表示されます。

これで、SSOプロバイダーのユーザーが汎用SSOインテグレーションを利用できるようになりました。ユーザーが初めてインテグレーションを使用する際に、認証のために開く必要のあるリンクを含むメールがユーザーに届きます。これは、ユーザーが初めてサインインするときにのみ発生します。それ以降のログインには認証は必要ありません。

メール認証をオフにしたい場合は、Splunk Observability Cloudに関するサポート までご連絡ください。

カスタムURLを設定すると、ユーザーは、既存のユーザー名/パスワードのペアを使ったログインを継続することも、代わりに汎用SAML SSOの認証情報を使用することもできます。汎用SAML SSOの認証とSplunk Observability Cloudのユーザー名/パスワードによる認証は独立しています。

Splunk Observability Cloudは、汎用SAML SSOで作成するユーザー用に、パスワードを生成します。汎用SAMLログインポータルが利用できない場合、Splunk Observability Cloudユーザーは、Splunk Observability Cloudのログインページの「パスワードのリセット」リンクを使用して、Splunk Observability Cloudのネイティブの認証情報を取得することができます。

このページは 2024年05月28日 に最終更新されました。