Splunk Observability Cloud用のSSOインテグレーションの設定 🔗
Splunk Observability Cloudは、SAML SSOを使用するサードパーティのIDプロバイダー(IdP)を使用したユーザーのログインをかなえるSSOログインサービスのインテグレーションを提供します。Splunk Observability Cloudは、当該のIdPが主導するSSOをサポートします。
またSplunk Observability Cloudは、Splunk Observability Cloudが主導するSSOもサポートしており、このオプションを使用すると、ユーザーは、あなたが指定したカスタムURLを使用してInfrastructure Monitoringにログインできます。
If you have Splunk Cloud Platform, you can set up Unified Identity and use Splunk Cloud Platform for SSO instead of integrating with a third party identity provider. Unified Identity provides many benefits that third party identity providers do not have, including SSO with your existing Splunk Cloud Platform credentials. For more information, see Splunk Cloud Platform.
If you do not have Splunk Cloud Platform, you can utilize a third party SSO provider. Splunk Observability Cloud supports the following SSO integrations:
注釈
レルムについて
レルムとは、あなたの組織がホストされているSplunk Observability Cloudの自己完結型のデプロイメントのことです。異なるレルムには異なるAPIエンドポイントがあります。例えば、us1
レルムでデータを送信するためのエンドポイントは https://ingest.us1.signalfx.com
で、eu0
レルムでデータを送信するためのエンドポイントは https://ingest.eu0.signalfx.com
、というようになります。
<YOUR_REALM>
のようなプレースホルダのレルム名がドキュメントに記載されている場合は、実際のレルム名に置き換えてください。自分のレルム名を見つけるには、Splunk Observability Cloudのナビゲーションメニューを開き、 を選択し、ユーザー名を選択します。レルム名は Organizations セクションにあります。エンドポイントを指定する際にレルム名を含めない場合は、Splunk Observability Cloudがデフォルトで us0
レルムを設定します。
ユーザーが組織のログインページからSplunk Observability Cloudにログインできるようにするために、カスタムURLが必要です。カスタムURLを指定していない場合、ユーザーはIDプロバイダーを介してログインし、Splunk Observability Cloudにアクセスすることができます。
ログインサービスインテグレーションを構成し、Show on login page を選択すると、サービスのログイン詳細情報が組織のログインページに表示されます。複数のSSOログインを設定することができます。
あなたが選択する`your_org.signalfx.com`のようなカスタムURLを使って、ユーザーをSplunk Observability Cloudにログインさせることができます。このURLのサブドメインはsignalfx.comでなければなりません。カスタムURLを利用する場合は、Splunk Observability Cloudに関するサポート に連絡して以下の情報を伝えてください:
使用したいサブドメイン
カスタムURLを使用する組織
組織の管理者のメールアドレス
ログインサービスのインテグレーションに、ユーザーが認識できる名前を付けます。カスタムログインページでは、この名前はユーザーがサインインするために選択するボタンに表示されます。例えば、Oktaログインサービスのインテグレーションに「Oktaでログイン」という名前を使用します。
SSOを設定すると、SSOを通じてSplunk Observability Cloudにサインインするユーザーのデフォルトのロールは power ロールです。デフォルトのSSOロールは、Splunk Observability Cloudで利用可能なロールに変更できます。これらは admin、 power 、usage、read_only です。ロールの詳細については、Splunk Observability Cloud のロールについて を参照してください。
注釈
デフォルトのSSOロールを変更すると、新しいSSOユーザーのみに影響します。ユーザーが以前のデフォルトSSOロールによって定義された既存のロールをすでに持っている場合は、手動で変更する必要があります。ユーザーのロールを変更するには、既存のユーザーにロールを割り当てる を参照してください。
デフォルトのSSOロールを変更するには、以下を実行します:
Settings にアクセスし、General Settings を選択します。
User Management セクションで、ドロップダウンリストからロールを選択して、SSOログイン用のデフォルトのロールを設定します。ドロップダウンリストのデフォルト値は power ロールです。選択したロールは、SSOサービスを通じてログインする新規ユーザーのロールになります。いつでも General Settings に戻って、SSOログイン用のデフォルトロールを更新できます。
ログインサービスをSplunk Observability Cloudと統合する場合、インテグレーションに関する情報をそのログインサービスに提供する必要があります。Infrastructure Monitoringは、そのログインサービス自体を構成する際に指定するエンティティの識別子(エンティティID)を提供します。当該のログインサービスは、このエンティティIDとその他の情報を使用してSplunk Observability Cloudと接続します。
組織が複数ある場合、当該のログインサービスは、組織ごとにエンティティIDとその他の情報を必要とします。Splunk Observability Cloudは、各組織でのインテグレーションに対して、インテグレーション固有のエンティティIDを提供できます。
ログインサービスを構成する際に、ログインサービスを使用して接続する各組織のエンティティIDとその他情報を提供してください。サポート対象の各ログインサービスとの統合手順には、インテグレーション固有のエンティティIDを使用するためのオプションの手順が含まれています。
Google SSOのインテグレーションは、インテグレーション固有のエンティティIDをサポートしていません。
注釈
インテグレーション固有のエンティティIDが必要になるのは、複数の組織で同じIdPを使用する場合のみです。
インテグレーション固有のエンティティIDの一般的な手順
インテグレーションに際してインテグレーション固有のエンティティIDを取得するには、インテグレーションの作成時に以下の手順を実行します:
Splunk Observability Cloudにログインします。
左のナビゲーションメニューで、
を選択します。Available integrations タブに移動するか、Add Integration タブで Deployed integrations を選択します。
インテグレーションのフィルターメニューで、All を選択します。
Search フィールドで、ログインサービスを検索し、選択します。
Integration-specific Entity ID オプションを選択します。このオプションの横に、エンティティIDがURIの形で表示されます。このURIをコピーして、Splunk Observability Cloudと通信するログインサービスを構成する際に、これを指定します。