Splunk Observability CloudのSSOインテグレーションについて 🔗
シングルサインオン(SSO)のインテグレーションは、Ping、Okta、Microsoft Entra ID(旧Azure Active Directory)、OneLogin などのIDプロバイダ(IdP)とSplunk Observability Cloudなどのサービスプロバイダ(SP)の間で認証と認可の情報を交換するための標準であるAML 2.0を実装します。Splunk Observability Cloudで新しいSSOインテグレーションをセットアップすると、Splunk Observability Cloudが特定のIdPからの情報を信頼し組織内のユーザーのログインに使用することを許可することになります。この信頼が設定されると、ユーザーはIdP内のポータルやアプリページから始まるIdP主導のフロー、またはSplunk Observability Cloudのログインページから始まるSP主導のフローを使用して、IdPからログインできます(組織でカスタムドメインが設定されている場合のみ利用可能)。
一般的なSSO SAMLフローは、以下の画像で確認できます:
Splunk Observability Cloud は、異なる組織間の攻撃を防御するために、電子メール認証によるセキュリティを追加します。
SSOインテグレーションを設定する際には、IdPがSplunk Observability Cloudを信頼するための情報と、Splunk Observability CloudがIdPを信頼するための情報を提供する必要があります。
以下の画像はOktaの設定情報を示すものですが、どのIdPでも同様の情報が必要になります。
- IdPは以下の情報を要求します:
アプリケーションのACS(Assertion Consumer Service)URL:アサーションの送信先。
アプリケーションのSAMLオーディエンス:Splunk Observability Cloudが自身を識別する方法。
さらに、IdPはSplunk Observability Cloudに送信するパラメータを知る必要があります。次の画像は、SAMLアサーション用のAWSの属性マッピングを示しています。
製品固有のインテグレーションでは、これらのフィールドのほとんどにデフォルト値が提供されるため、手動で構成する必要はありません。汎用SAMLまたはMicrosoft Entra ID(旧Azure Active Directory)フェデレーションサービス(FS)をセットアップする場合は、すべての値を自分で指定する必要があります。
以下の表では、Microsoft Entra ID(旧Azure Active Directory)を例にして、Splunk Observability Cloudの対応するフィールド名を示しています。異なるIdPではフィールド名が若干異なる場合があります。括弧内は、値の例です。
Splunk Observability Cloudのフィールド名 |
Microsoft Entra ID(旧Azure Active Directory)のフィールド名 |
---|---|
Integration ID (EPAMIDfalsg) |
Reply URL (Assertion Consumer Service URL) (https://your_realm/v1/saml/acsEPAMIDfalsg) |
Integration-specific Entity ID` (EPAMIDfalsg) |
Identifier (Entity ID) (https://your_realm/v1/saml/acsEPAMIDfalsg) |
Certificate (Base64) (ファイルをアップロードして置換) |
Certificate (Base64) (ファイルをダウンロード)` |
Integration ID (EPAMIDfalsg) |
Reply URL (Assertion Consumer Service URL) (https://your_realm/v1/saml/acsEPAMIDfalsg) |
Microsoft Entra ID Identifier (https://your_domain/081aaa5f-fsec-m01c-03dfalke45n) |
Microsoft Entra ID Identifier (https://your_domain/081aaa5f-fsec-m01c-03dfalke45n) |
ユーザー属性とクレームについては、 |
User.FirstName (user.givenname), LastName (user.surname), PersonImmutableID (user.userprincipal name), FullName (user.displayname), email (user.othermail) |