Docs » 認証とセキュリティ » Splunk Observability CloudのSSOインテグレーションについて

Splunk Observability CloudのSSOインテグレーションについて 🔗

シングルサインオン(SSO)のインテグレーションは、Ping、Okta、Microsoft Entra ID(旧Azure Active Directory)、OneLogin などのIDプロバイダ(IdP)とSplunk Observability Cloudなどのサービスプロバイダ(SP)の間で認証と認可の情報を交換するための標準であるAML 2.0を実装します。Splunk Observability Cloudで新しいSSOインテグレーションをセットアップすると、Splunk Observability Cloudが特定のIdPからの情報を信頼し組織内のユーザーのログインに使用することを許可することになります。この信頼が設定されると、ユーザーはIdP内のポータルやアプリページから始まるIdP主導のフロー、またはSplunk Observability Cloudのログインページから始まるSP主導のフローを使用して、IdPからログインできます(組織でカスタムドメインが設定されている場合のみ利用可能)。

一般的なSSO SAMLフローは、以下の画像で確認できます:

IdP主導の認証リクエストのやりとりのフローを示す図

Splunk Observability Cloud は、異なる組織間の攻撃を防御するために、電子メール認証によるセキュリティを追加します。

Information required

SSOインテグレーションを設定する際には、IdPがSplunk Observability Cloudを信頼するための情報と、Splunk Observability CloudがIdPを信頼するための情報を提供する必要があります。

以下の画像はOktaの設定情報を示すものですが、どのIdPでも同様の情報が必要になります。

Splunk Observability CloudのOkta SSOインテグレーション画面。各フィールドの目的を示すテキストが書き込まれています。
IdPは以下の情報を要求します:

  • アプリケーションのACS(Assertion Consumer Service)URL:アサーションの送信先。

  • アプリケーションのSAMLオーディエンス:Splunk Observability Cloudが自身を識別する方法。

さらに、IdPはSplunk Observability Cloudに送信するパラメータを知る必要があります。次の画像は、SAMLアサーション用のAWSの属性マッピングを示しています。

IdPがSplunk Observability Cloudに送信する属性。

製品固有のインテグレーションでは、これらのフィールドのほとんどにデフォルト値が提供されるため、手動で構成する必要はありません。汎用SAMLまたはMicrosoft Entra ID(旧Azure Active Directory)フェデレーションサービス(FS)をセットアップする場合は、すべての値を自分で指定する必要があります。

以下の表では、Microsoft Entra ID(旧Azure Active Directory)を例にして、Splunk Observability Cloudの対応するフィールド名を示しています。異なるIdPではフィールド名が若干異なる場合があります。括弧内は、値の例です。

Splunk Observability Cloudのフィールド名

Microsoft Entra ID(旧Azure Active Directory)のフィールド名

Integration ID (EPAMIDfalsg)

Reply URL (Assertion Consumer Service URL) (https://your_realm/v1/saml/acsEPAMIDfalsg)

Integration-specific Entity ID` (EPAMIDfalsg)

Identifier (Entity ID) (https://your_realm/v1/saml/acsEPAMIDfalsg)

Certificate (Base64) (ファイルをアップロードして置換)

Certificate (Base64) (ファイルをダウンロード)`

Integration ID (EPAMIDfalsg)

Reply URL (Assertion Consumer Service URL) (https://your_realm/v1/saml/acsEPAMIDfalsg)

Microsoft Entra ID Identifier (https://your_domain/081aaa5f-fsec-m01c-03dfalke45n)

Microsoft Entra ID Identifier (https://your_domain/081aaa5f-fsec-m01c-03dfalke45n)

ユーザー属性とクレームについては、FullName または User.FirstName および User.LastName、 ならびに PersonImmutableIDUser.email が必要です。

User.FirstName (user.givenname), LastName (user.surname), PersonImmutableID (user.userprincipal name), FullName (user.displayname), email (user.othermail)

This page was last updated on 2023年10月24日.