汎用SAML SSOインテグレーションを使ってSSOを構成する 🔗
注意
This integration can send credential information to unverified destinations. Although you can use generic SAML SSO integrations to authenticate users, Splunk Observability Cloud doesn’t support these integrations as your primary authentication mechanism. The Splunk Observability Cloud support team can’t help you diagnose or repair problems you encounter while trying to authenticate users using generic SSO integrations, aside from ensuring that the integration itself is working.
Splunk Observability Cloud用のSSOインテグレーションの設定 に記載されている以外のSSOログインサービスを使用する場合、組織用に汎用SAML SSOインテグレーションを作成することができます。
汎用SAML SSOインテグレーションの構成を開始する前に、Splunk Observability Cloud用のSSOインテグレーションの設定 の手順が完了していることを確認してください。これには、SSOインテグレーションの命名 セクションを参照してインテグレーションの命名について理解することも含みます。
If you already have a SAML SSO integration for your organization, follow the steps in 汎用SAML SSOインテグレーションをインストールする to install it in Splunk Observability Cloud.
注釈
汎用SAML SSOインテグレーションを許可するには、Splunk Observability Cloudに関するサポート に連絡してください。
汎用SAML SSOインテグレーション 🔗
Splunk Observability Cloud provides integrations for specific SAML SSO providers. If your provider isn’t in the list of supported integrations, your organization administrator can request a generic integration from Splunk Observability Cloud. You can use this integration to test and develop a SAML SSO provider. Using this integration, administrators can direct Splunk Observability Cloud to use any publicly-available SSO endpoint to authenticate users.
ユーザーがログイン時に入力するID/メールアドレス用のドメインを提供する準備をしてください。ドメインは、ユーザーID/メールアドレスの文字列のうち、@
記号の後に続く部分です。
You can only use one type of PersonImmutableID
for each generic SAML integration you create. If you create a second generic SAML integration using the same PersonImmutableID
, you must deactivate the first one and delete its users. Until you do so, users will not be able to use the same type of ID to log in to the organization. For example, if the first integration uses the emailId
as the PersonImmutableID, you can’t use emailId
in a second integration.
APIを使用してユーザーを削除する方法の詳細については、Delete/organization/member を参照してください。
汎用SAML SSOインテグレーションに必要な情報 🔗
ユーザー情報
- 以下のうち1つ:
User.FirstName
およびUser.LastName
:ユーザーの姓と名User.FullName
:ユーザーのフルネーム
User.email
:ユーザーのメールアドレスPersonImmutableID
:このユーザー固有の識別子
Assertion Consumer Service (ACS) URL
Assertion Consumer Service (ACS) URLには、レルム情報を含むものがあります。詳しくは、レルムに関する注意事項 を参照してください。
ACS URLには、各インテグレーションに固有のインテグレーションIDが含まれています。
SAMLページには、このIDが表示されます。
- URLは以下のいずれかの形式です:
組織が
us0
レルムを使用している場合:https://api.signalfx.com/v1/saml/acs/<INTEGRATION_ID>
組織が
us0
以外のレルムを使用している場合:https://api.<YOUR_REALM>.signalfx.com/v1/saml/acs/<INTEGRATION_ID>
<ENTITY-ID>、これは、新しいインテグレーションの作成を開始すると表示されるエンティティIDです。
- 単一組織の場合は、以下のエンティティIDを入力してください:
組織が
us0
レルムを使用している場合は、以下を入力します:https://api.signalfx.com/v1/saml/metadata/<ENTITY-ID>
組織が
us0
以外のレルムを使用している場合は、以下を入力します:https://api.<YOUR_REALM>.signalfx.com/v1/saml/metadata<ENTITY-ID>
- 単一のIdPと統合する組織が複数ある場合は、以下を実行してください:
Integration-specific Entity ID を選択します。オプションの隣に、インテグレーション固有のエンティティIDがURIの形で表示されます。
Copy the entity ID and provide it when you configure the login service to communicate with Splunk Observability Cloud.
アサーション署名
SSOプロバイダーは、アサーション署名をリクエスト自体ではなくアサーションメッ セージに含める必要があります。アサーションは、SHA256アルゴリズムまたはそれ以上を使って署名される必要があります。
RelayState
Splunk Observability Cloud sends a dynamic RelayState, so the SSO provider must accept and pass back the dynamic RelayState. RelayState is part of SAML specifications. In the Splunk Observability Cloud system it is part of message context in the AuthN request that is sent to the identity provider. The message context also contains a token that can be verified on the service provider side later. The Relay State is set by the Splunk Observability Cloud system and sent with the request to the IDP. The IDP is expected to send the relay state back to the service provider with the same value that was received after a successful authentication on the IDP side.
汎用SAML SSOインテグレーションをインストールする 🔗
このセクションでは、組織が実装した汎用SAML SSOインテグレーションをインストールする方法を説明します。
前提条件 🔗
インストールを開始する前に、以下の情報が必要です:
名前:汎用SAML SSOのタイルに表示される記述名。
公開鍵:SAMLプロバイダの公開鍵。SHA256アルゴリズム以上で署名する必要があります。
発行者URL:SSOプロバイダーが提供する発行者URL。
- 以下のいずれか:
SSOプロバイダーが提供する、一般にアクセス可能なメタデータURL。
XML形式のSSOプロバイダのメタデータ。プロバイダーがメタデータの一部として送信するエンティティIDは、発行者URLと一致する必要があります。
単一のSplunk Observability Cloud組織で複数のメールドメインを使用する場合(例:「kai@example.com」と「deepu@examplehq.com」など)は、Splunk Observability Cloudに関するサポート に連絡して、複数のドメインを有効にするためのサポートを受けてください。
ステップ 🔗
汎用SAML SSOインテグレーションをインストールするには、以下の手順に従います:
Splunk Observability Cloudにログインします。
SAMLガイド付きセットアップ を開きます。以下の方法で、ガイド付きセットアップに自分で移動することもできます:
左のナビゲーションメニューで、
を選択します。#.:guilabel:Available integrations タブに移動するか、Deployed integrations タブで Add Integration を選択します。
インテグレーションのフィルターメニューで、All を選択します。
Search フィールドで SAML を検索し、選択します。
Name フィールドに、このインテグレーションの名前を入力します。組織に カスタムURL がある場合は、この名前は、ユーザーがログインするために選択するボタンのテキストとして表示されます( SSOインテグレーションの命名 のセクションを参照してください)。
残りのフィールドには、前提条件 セクションで収集した情報を入力します。
Save。認証しました! というメッセージが表示されます。
これで、SSOプロバイダのユーザーが汎用SSOインテグレーションを利用できるようになりました。ユーザーが初めてインテグレーションを使用する際に、認証のために開く必要のあるリンクを含むメールがユーザーに届きます。これは、ユーザーが初めてサインインするときにのみ発生します。それ以降のログインには認証は必要ありません。
メール認証をオフにしたい場合は、Splunk Observability Cloudに関するサポート までご連絡ください。
Once you have a custom URL configured, your users can continue to log in using their existing username/password pair, or they can use their generic SAML SSO credentials instead. Generic SAML SSO authentication and Splunk Observability Cloud username/password authentication are independent.
Splunk Observability Cloud generates a password for users you create in generic SAML SSO. If the generic SAML login portal is unavailable, Splunk Observability Cloud users can use the reset password link on the Splunk Observability Cloud login page to get native Splunk Observability Cloud credentials.