Docs » 認証とセキュリティ » Splunk Observability CloudのSSOインテグレーションについて » 汎用SAML SSOインテグレーションを使ってSSOを構成する

汎用SAML SSOインテグレーションを使ってSSOを構成する 🔗

注意

This integration can send credential information to unverified destinations. Although you can use generic SAML SSO integrations to authenticate users, Splunk Observability Cloud doesn’t support these integrations as your primary authentication mechanism. The Splunk Observability Cloud support team can’t help you diagnose or repair problems you encounter while trying to authenticate users using generic SSO integrations, aside from ensuring that the integration itself is working.

Splunk Observability Cloud用のSSOインテグレーションの設定 に記載されている以外のSSOログインサービスを使用する場合、組織用に汎用SAML SSOインテグレーションを作成することができます。

汎用SAML SSOインテグレーションの構成を開始する前に、Splunk Observability Cloud用のSSOインテグレーションの設定 の手順が完了していることを確認してください。これには、SSOインテグレーションの命名 セクションを参照してインテグレーションの命名について理解することも含みます。

If you already have a SAML SSO integration for your organization, follow the steps in 汎用SAML SSOインテグレーションをインストールする to install it in Splunk Observability Cloud.

注釈

汎用SAML SSOインテグレーションを許可するには、Splunk Observability Cloudに関するサポート に連絡してください。

汎用SAML SSOインテグレーション 🔗

Splunk Observability Cloud provides integrations for specific SAML SSO providers. If your provider isn’t in the list of supported integrations, your organization administrator can request a generic integration from Splunk Observability Cloud. You can use this integration to test and develop a SAML SSO provider. Using this integration, administrators can direct Splunk Observability Cloud to use any publicly-available SSO endpoint to authenticate users.

ユーザーがログイン時に入力するID/メールアドレス用のドメインを提供する準備をしてください。ドメインは、ユーザーID/メールアドレスの文字列のうち、@ 記号の後に続く部分です。

作成する汎用SAMLインテグレーション1つにつき、使用できる PersonImmutableID は1つのみです。同じ PersonImmutableID を使用して2つ目の汎用SAMLインテグレーションを作成する場合は、1つ目のインテグレーションを非アクティブにし、そのユー ザーを削除する必要があります。これを実行するまで、ユーザーは同じタイプのIDを使用して組織にログインすることができません。例えば、1つ目のインテグレーションでPersonImmutableIDとして emailId を使用している場合、2つ目のインテグレーションで emailId を使用することはできません。

APIを使用してユーザーを削除する方法の詳細については、Delete/organization/member を参照してください。

汎用SAML SSOインテグレーションに必要な情報 🔗

ユーザー情報

  • 以下のうち1つ:

    • User.FirstName および User.LastName:ユーザーの姓と名

    • User.FullName:ユーザーのフルネーム

  • User.email:ユーザーのメールアドレス

  • PersonImmutableID:このユーザー固有の識別子

Assertion Consumer Service (ACS) URL

  • Assertion Consumer Service (ACS) URLには、レルム情報を含むものがあります。詳しくは、レルムに関する注意事項 を参照してください。

  • ACS URLには、各インテグレーションに固有のインテグレーションIDが含まれています。

  • SAMLページには、このIDが表示されます。

URLは以下のいずれかの形式です:

  • 組織が us0 レルムを使用している場合: https://api.signalfx.com/v1/saml/acs/<INTEGRATION_ID>

  • 組織が us0 以外のレルムを使用している場合: https://api.<YOUR_REALM>.signalfx.com/v1/saml/acs/<INTEGRATION_ID>

<ENTITY-ID>、これは、新しいインテグレーションの作成を開始すると表示されるエンティティIDです。

  • 単一組織の場合は、以下のエンティティIDを入力してください:

    • 組織が us0 レルムを使用している場合は、以下を入力します: https://api.signalfx.com/v1/saml/metadata/<ENTITY-ID>

    • 組織が us0 以外のレルムを使用している場合は、以下を入力します: https://api.<YOUR_REALM>.signalfx.com/v1/saml/metadata<ENTITY-ID>

  • 単一のIdPと統合する組織が複数ある場合は、以下を実行してください:

    1. Integration-specific Entity ID を選択します。オプションの隣に、インテグレーション固有のエンティティIDがURIの形で表示されます。

    2. Copy the entity ID and provide it when you configure the login service to communicate with Splunk Observability Cloud.

アサーション署名

SSOプロバイダは、アサーション署名をリクエスト自体ではなくアサーションメッ セージに含める必要があります。アサーションは、SHA256アルゴリズムまたはそれ以上を使って署名される必要があります。

RelayState

Splunk Observability Cloud sends a dynamic RelayState, so the SSO provider must accept and pass back the dynamic RelayState. RelayState is part of SAML specifications. In the Splunk Observability Cloud system it is part of message context in the AuthN request that is sent to the identity provider. The message context also contains a token that can be verified on the service provider side later. The Relay State is set by the Splunk Observability Cloud system and sent with the request to the IDP. The IDP is expected to send the relay state back to the service provider with the same value that was received after a successful authentication on the IDP side.

汎用SAML SSOインテグレーションをインストールする 🔗

このセクションでは、組織が実装した汎用SAML SSOインテグレーションをインストールする方法を説明します。

前提条件 🔗

インストールを開始する前に、以下の情報が必要です:

  • 名前:汎用SAML SSOのタイルに表示される記述名。

  • 公開鍵:SAMLプロバイダの公開鍵。SHA256アルゴリズム以上で署名する必要があります。

  • 発行者URL:SSOプロバイダが提供する発行者URL。

  • 以下のいずれか:

    • SSOプロバイダーが提供する、一般にアクセス可能なメタデータURL。

    • XML形式のSSOプロバイダのメタデータ。プロバイダがメタデータの一部として送信するエンティティIDは、発行者URLと一致する必要があります。

単一のSplunk Observability Cloud組織で複数のメールドメインを使用する場合(例:「kai@example.com」と「deepu@examplehq.com」など)は、Splunk Observability Cloudに関するサポート に連絡して、複数のドメインを有効にするためのサポートを受けてください。

ステップ 🔗

汎用SAML SSOインテグレーションをインストールするには、以下の手順に従います:

  1. Splunk Observability Cloudにログインします。

  2. SAMLガイド付きセットアップ を開きます。以下の方法で、ガイド付きセットアップに自分で移動することもできます:

    1. 左のナビゲーションメニューで、Data Management を選択します。

    #.Go to the Available integrations tab, or select Add Integration in the Deployed integrations tab.

    1. インテグレーションのフィルターメニューで、All を選択します。

    2. Search フィールドで SAML を検索し、選択します。

  3. Name フィールドに、このインテグレーションの名前を入力します。組織に カスタムURL がある場合は、この名前は、ユーザーがログインするために選択するボタンのテキストとして表示されます( SSOインテグレーションの命名 のセクションを参照してください)。

  4. 残りのフィールドには、前提条件 セクションで収集した情報を入力します。

  5. Save認証しました! というメッセージが表示されます。

これで、SSOプロバイダのユーザーが汎用SSOインテグレーションを利用できるようになりました。ユーザーが初めてインテグレーションを使用する際に、認証のために開く必要のあるリンクを含むメールがユーザーに届きます。これは、ユーザーが初めてサインインするときにのみ発生します。それ以降のログインには認証は必要ありません。

メール認証をオフにしたい場合は、Splunk Observability Cloudに関するサポート までご連絡ください。

Once you have a custom URL configured, your users can continue to log in using their existing username/password pair, or they can use their generic SAML SSO credentials instead. Generic SAML SSO authentication and Splunk Observability Cloud username/password authentication are independent.

Splunk Observability Cloud generates a password for users you create in generic SAML SSO. If the generic SAML login portal is unavailable, Splunk Observability Cloud users can use the reset password link on the Splunk Observability Cloud login page to get native Splunk Observability Cloud credentials.

This page was last updated on 2024年05月28日.