Docs » 認証とセキュリティ » Splunk Observability CloudのSSOインテグレーションについて

Splunk Observability CloudのSSOインテグレーションについて 🔗

Single-sign on (SSO) integrations implement SAML 2.0, which is a standard for exchanging authentication and authorization information between an identity provider (IdP) such as Ping, Okta, Microsoft Entra ID (formerly Azure Active Directory), or OneLogin and a service provider (SP) such as Splunk Observability Cloud. When you set up a new SSO integration in Splunk Observability Cloud, you authorize Splunk Observability Cloud to trust information from a particular IdP and use it for logging in users in an organization. After that trust is set up, users can log in from the IdP in an IdP-initiated flow, which starts with a portal or an app page within the IdP, or using an SP-initiated flow from a Splunk Observability Cloud login page (only available if your org has a custom domain configured).

一般的なSSO SAMLフローは、以下の画像で確認できます:

IdP主導の認証リクエストのやりとりのフローを示す図

Splunk Observability Cloud は、異なる組織間の攻撃を防御するために、電子メール認証によるセキュリティを追加します。

Information required

SSOインテグレーションを設定する際には、IdPがSplunk Observability Cloudを信頼するための情報と、Splunk Observability CloudがIdPを信頼するための情報を提供する必要があります。

以下の画像はOktaの設定情報を示すものですが、どのIdPでも同様の情報が必要になります。

Splunk Observability CloudのOkta SSOインテグレーション画面。各フィールドの目的を示すテキストが書き込まれています。
IdPは以下の情報を要求します:

  • アプリケーションのACS(Assertion Consumer Service)URL:アサーションの送信先。

  • アプリケーションのSAMLオーディエンス:Splunk Observability Cloudが自身を識別する方法。

さらに、IdPはSplunk Observability Cloudに送信するパラメータを知る必要があります。次の画像は、SAMLアサーション用のAWSの属性マッピングを示しています。

IdPがSplunk Observability Cloudに送信する属性。

製品固有のインテグレーションでは、これらのフィールドのほとんどにデフォルト値が提供されるため、手動で構成する必要はありません。汎用SAMLまたはMicrosoft Entra ID(旧Azure Active Directory)フェデレーションサービス(FS)をセットアップする場合は、すべての値を自分で指定する必要があります。

以下の表では、Microsoft Entra ID(旧Azure Active Directory)を例にして、Splunk Observability Cloudの対応するフィールド名を示しています。異なるIdPではフィールド名が若干異なる場合があります。括弧内は、値の例です。

Splunk Observability Cloudのフィールド名

Microsoft Entra ID(旧Azure Active Directory)のフィールド名

Integration ID (EPAMIDfalsg)

Reply URL (Assertion Consumer Service URL) (https://your_realm/v1/saml/acsEPAMIDfalsg)

Integration-specific Entity ID` (EPAMIDfalsg)

Identifier (Entity ID) (https://your_realm/v1/saml/acsEPAMIDfalsg)

Certificate (Base64) (ファイルをアップロードして置換)

Certificate (Base64) (ファイルをダウンロード)`

Integration ID (EPAMIDfalsg)

Reply URL (Assertion Consumer Service URL) (https://your_realm/v1/saml/acsEPAMIDfalsg)

Microsoft Entra ID Identifier (https://your_domain/081aaa5f-fsec-m01c-03dfalke45n)

Microsoft Entra ID Identifier (https://your_domain/081aaa5f-fsec-m01c-03dfalke45n)

ユーザー属性とクレームについては、FullName または User.FirstName および User.LastName、 ならびに PersonImmutableIDUser.email が必要です。

User.FirstName (user.givenname), LastName (user.surname), PersonImmutableID (user.userprincipal name), FullName (user.displayname), email (user.othermail)

このページは 2023年10月24日 に最終更新されました。