統合ID:Splunk Cloud PlatformとSplunk Observability Cloud 🔗
Splunk Cloud Platformは、Splunk Observability Cloudとの統合IDを提供します。
統合IDとは 🔗
統合IDとは、Splunk Cloud PlatformおよびSplunk Observability Cloudのインテグレーションです。ユーザーは、Splunk Cloud Platformの認証情報を使用してSSOでSplunk Observability Cloudにログインすることで、単一のIDの使用によって両方のプラットフォームにアクセスできます。Splunk Cloud Platformは、IDプロバイダー(IdP)として機能します。OktaなどのサードパーティのIDプロバイダーを使用することもできますが、その場合、統合されたエクスペリエンスの利点は失われます。統合IDのメリット を参照してください。
Splunk Cloud PlatformとSplunk Observability Cloudのインスタンスを統合し、統合IDを有効にすると、管理者はすべてのユーザーをSplunk Cloud Platformの一か所で設定できます。Splunk Cloud Platformの管理者は、両プラットフォームのユーザーとデータアクセス権限をそれぞれの製品で区別して制御します。詳細は、Splunk Observability Cloudでユーザーを作成および管理する を参照してください。Splunk Cloud Platformのユーザーロールと権限については、ロールベースのユーザーアクセスの設定について を参照してください。この統合により、Splunk Cloud Platformでインデックス化されたデータへのアクセス権限は、管理費用なしでSplunk Observability Cloudアプリケーションに拡張されます。詳細は ユーザープロビジョニング を参照してください。
シングルサインオン(SSO)と統合IDのメリットを利用できるユーザー 🔗
All customers who have both Splunk Cloud Platform and Splunk Observability Cloud can access Unified Identity. Users must be on Splunk Cloud Platform version 9.x and higher. The AWS or GCP region for your Splunk Cloud Platform instance must map to your Splunk Observability Cloud instance realm as shown in the following table:
Splunk Observability Cloud realm |
AWS Region |
---|---|
us0 |
AWS US East Virginia (us-east-1) |
us1 |
AWS US West Oregon (us-west-2) |
eu0 |
AWS EU Dublin (eu-west-1) |
eu1 |
AWS EU Frankfurt (eu-central-1) |
eu2 |
AWS EU London (eu-west-2) |
au0 |
AWS AP Sydney (ap-southeast-2) |
jp0 |
AWS AP Tokyo (ap-northeast-1) |
注釈
Unified Identity is not supported in GovCloud or GCP regions.
統合IDのメリット 🔗
Splunk Cloud PlatformとSplunk Observability Cloudの統合を完了した組織には、次のようなメリットを実感していただけます。
エンドユーザーは、Splunk Cloud PlatformをIDプロバイダー(IdP)として使用してシングルサインオン(SSO)でSplunk Observability Cloudにアクセスできます。
Splunk Cloud Platformの管理者は、Splunk Cloud Platformで設定したSSOのSAML設定をSplunk Observability Cloudアプリケーションに拡張できます。
ユーザーは、Splunk Observability Cloudアプリケーションを使用する際に、Splunk Cloud Platformでの自分のロールの権限でアクセス可能なSplunk Cloud Platformのインデックス内のすべてのデータにアクセスできます。
ユーザーは、Splunk Cloud PlatformのSSOで一度ログインすれば、Splunk Cloud PlatformとSplunk Observability Cloud間でデータやダッシュボードをシームレスに操作できます。
注釈
You can use a third party identity provider other tha Splunk Cloud Platform, but you will lose the benefits of the integrated experience.
統合IDの設定方法 🔗
You can pair only one Splunk Cloud Platform instance with one Splunk Observability Cloud instance at a time. Only one Splunk Observability Cloud organization can pair with a single Splunk Cloud Platform search head. Customers with multiple Splunk Observability Cloud organizations must choose one to pair with the chosen Splunk Cloud Platform instance.
前提条件 🔗
ペアリングするSplunk Cloud PlatformおよびSplunk Observability Cloudのインスタンスの管理者である必要があります。
Set up Unified Identity for new Splunk Observability Cloud customers 🔗
Splunk Cloud Platformをご利用のお客様でSplunk Observability Cloudの購入を希望される場合は、統合IDを設定するために以下の操作を行う必要があります:
Splunkの営業担当者にSplunk Observability Cloudの購入またはトライアルの開始を希望する旨を伝えてください。営業担当者が、Splunk Cloud Platformインスタンスに統合済みのSplunk Observability Cloudのトライアルを開始させます。
トークン認証をオンにして、Splunk Observability CloudがSplunk Cloud Platformのログを表示できるようにします。方法については トークン認証の有効化/無効化 を参照してください。
Set up Unified Identity for existing Splunk Observability Cloud customers 🔗
There are 2 ways you can pair your Splunk Observability Cloud and Splunk Cloud Platform organizations: using command-line interface with Admin Config Services (ACS) commands or using API endpoints. These instructions cover both ways. If you haven’t installed the ACS command-line tool and want to use it, see Administer Splunk Cloud Platform using the ACS CLI .
既にSplunk Cloud PlatformアカウントとSplunk Observability Cloudアカウントをお持ちの場合は、以下の手順で統合IDを設定します:
トークン認証をオンにして、Splunk Observability CloudがSplunk Cloud Platformのログを表示できるようにします。方法については トークン認証の有効化/無効化 を参照してください。
Splunk Observability CloudアカウントからユーザーAPIアクセストークン(セッショントークン)を取得します。方法については、Splunk Observability Cloudを使用したユーザー APIアクセストークンの取得と管理 を参照してください。
注釈
APIトークンには、
admin
の権限が必要です。Pair your Splunk Observability Cloud and Splunk Cloud Platform organizations:
To pair with command-line interface, enter the following Admin Config Services (ACS) command:
acs observability pair --o11y-access-token "<enter-o11y-access-token>"
Replace
<enter-o11y-access-token>
in the example above, with the user API access token you retrieved from Splunk Observability Cloud in previous step.To pair with API endpoints, collect the following information then run the curl command:
Splunk Cloud Platform admin API access token (Create a new authentication token with an admin user. See Use Splunk Web to create authentication tokens .)
O11y API access token (obtained it in step 2 above)
Splunk Cloud Platform instance name (the custom subdomain for your Splunk Cloud stack)
Run the curl command:
curl --location 'https://admin.splunk.com/<enter-stack-name>/adminconfig/v2/observability/sso-pairing' \ --header 'Content-Type: application/json' \ --header 'Authorization: Bearer <enter-splunk-admin-api-token>' \ --header 'o11y-access-token': '<enter-o11y-api-token>'
Whether you used the command-line interface or API endpoints, the pairing command returns a pairing id:
"id": "<pairing-id>"
You can use the pairing id to get the current status of the pairing.
To get the status using command-line interface, run the following ACS command:
acs observability pairing-status-by-id --pairing-id "<enter-pairing-id>" --o11y-access-token "<enter-o11y-access-token>"
Replace the pairing id and the access token with your own values.
To get the status using API endpoints, run the following curl command with the data you obtained in step 3b:
curl --location --request GET 'https://admin.splunk.com/<enter-stack-name>/adminconfig/v2/observability/sso-pairing/<enter-pairing-id>' \ --header 'Content-Type: application/json' \ --header 'Authorization: Bearer <enter-splunk-admin-api-token>' --header 'o11y-access-token': '<enter-o11y-api-token>'
The system returns a status message showing whether or not the pairing was a success. Statuses are SUCCESS, FAILED, or IN_PROGRESS.
"pairingId": "<pairing-id>" "status": "SUCCESS"
Users will receive an email telling them to authenticate to Splunk Observability Cloud using the new authentication method through Splunk Cloud Platform SSO. Note that users can continue to use their previous login method. If you want to force all users to authenticate through Splunk Cloud Platform SSO, reach out to Splunk Customer Support to deactivate local login. To deactivate login through a third party identity provider, go to Data Management > Available integrations in Splunk Observability Cloud, select the appropriate integration (for example, Okta), and select Deactivate.
ユーザープロビジョニング 🔗
統合IDのメリットを利用するには、すべてのユーザーは、o11y_access
ロールの付与されたSplunk Cloud Platformユーザーアカウントを持っている必要があります。
If your organization uses Okta for SSO (Single Sign On), the o11y_access
role is mapped to the Okta group. The Okta admin must add the o11y_access
role to the Okta group to complete the authorization process. If the Okta admin is not available, contact Splunk Support to enable local authentication.
既存のSplunk Cloud Platformユーザー 🔗
Splunk Cloud Platformで、カスタムロール o11y_access
を作成し、Splunk Observability Cloudへのアクセスを許可するすべてのユーザーに割り当てます。Splunk Cloud Platformのロールの詳細については、Splunk Webでロールを作成および管理する を参照してください。Add or edit a role セクションの指示にのみ従ってください。ロールに機能やインデックスを割り当てる必要はないことに注意してください。
注釈
If you do not create and assign the custom role o11y_access
, users receive the following error message when trying to log in to Splunk Observability Cloud: 「You do not have access to Splunk Observability Cloud. Contact your Splunk Cloud Platform administrator for assistance.」
If the user does not exist in Splunk Observability Cloud, the integration automatically creates a user in Splunk Observability Cloud and maps Splunk Cloud Platform roles to the following Splunk Observability Cloud roles:
Splunk Cloud Platformでのロール |
Splunk Observability Cloudでのロール |
---|---|
sc_admin |
admin |
power、can_delete |
power |
user |
power |
マッピングプロセスはシステムによって定義され、ユーザーがプロビジョニング時やそれ以降に変更することはできません。マッピングは厳密にSplunk Cloud PlatformからSplunk Observability Cloudに対して実行されるものであり、その逆はありません。Splunk Cloud PlatformのロールがSplunk Observability Cloud の」usage」や」read_only」のロールにマッピングされることはありません。
既存のSplunk Observability Cloudユーザー 🔗
If an existing Splunk Observability Cloud user does not have a Splunk Cloud Platform account, create a Splunk Cloud Platform user for them and give it the o11y_access
role. You do not need to assign the o11y_access
role any capabilities or indexes. The user can now access Splunk Cloud Platform and can sign into Splunk Observability Cloud with SSO using their Splunk Cloud Platform credentials. Splunk Cloud Platform and Splunk Observability Cloud Log Observer respect index access assigned to the user in Splunk Cloud Platform. The Splunk Observability Cloud user retains their existing Splunk Observability Cloud role.
If an existing Splunk Observability Cloud user already has a Splunk Cloud Platform user, assign the o11y_access
role to the user in the Splunk Cloud Platform instance.
新規のユーザー 🔗
インテグレーションの完了後にSplunk Observability Cloudに新しいユーザーを追加するには、Splunk Cloud Platform管理者が以下を実行する必要があります:
ローカルで、またはサードパーティのIdP経由で、Splunk Cloud Platformに新規ユーザーを作成します。
新しいユーザーにカスタムの
o11y_access
ロールを付与します。このロールに機能やインデックスを割り当てる必要はありません。
これでユーザーは、Splunk Cloud Platformの権限でSplunk Observability Cloudにログインできるようになります。
初期的なユーザープロビジョニングが完了したら 🔗
ユーザーの設定後、Splunk Cloud Platformの管理者とSplunk Observability Cloudの管理者は、ロールを個別に管理する必要があります。初期設定後、どちらの製品プラットフォームでロールを更新しても、もう一方のプラットフォームでのユーザーのロールに影響はありません。ただし、Splunk Cloud Platformの特定のインデックスに対するユーザーの権限は、常にSplunk Cloud Platformでのユーザーのロールと権限によって制御されます。
初回ログイン時の挙動 🔗
インテグレーション後、ユーザーが初めてSplunk Observability Cloudにログインしようとすると、Splunk Cloud Platformのログインページに誘導されます。
Splunk Observability Cloudの初回ログインについては、以下の手順に従ってください:
Splunk Cloudでログイン を選択します。
Splunk Cloud Platformの認証情報を入力します。アクセス権がありません というエラーメッセージが表示された場合は、管理者にお問い合わせください。詳細は 「アクセス権がありません」エラー を参照してください。
Enter and confirm your email. If you already have a Splunk Observability Cloud user, enter the email associated with it to link it to your Splunk Cloud Platform user. If you enter an email address that does not exist in Splunk Observability Cloud, the system creates a new Splunk Observability Cloud user and assigns it a role based on the role mapping table in the 既存のSplunk Cloud Platformユーザー section.
You then receive an e-mail to verify your identity. Verify your identity in the e-mail to be authenticated in Splunk Observability Cloud. After authentication, the Splunk Observability Cloud user can only see logs data in Log Observer that their Splunk Cloud Platform user has permissions to see.
初回ログイン後は、Splunk Cloud Platformの認証情報を再度提供する必要はありません。次回以降のログインでは、すでにSplunk Cloud Platformにログインしている場合は、Splunk Cloudでログイン を選択すると、自動的にSplunk Observability Cloudにサインインされます。
「アクセス権がありません」エラー 🔗
以下の 「アクセス権がありません」 というエラーメッセージが表示された場合は、Splunk Cloud Platform管理者にお問い合わせください:
Splunk Cloud Platformの管理者がユーザーにカスタムロール o11y_access
を与えていない場合、ユーザーは、このエラーメッセージを受け取ります。Splunk Observability Cloudにアクセスするには、 o11y_access
ロールが必要です。
インテグレーション後のSplunk Observability Cloudでの作業 🔗
SSOによるログインの他にも、ユーザーと管理者には、インテグレーション完了後に、エクスペリエンスの違いが生じます。
ポイント・アンド・クリックのログ分析 🔗
このインテグレーションの重要なメリットの1つは、ユーザーがLog ObserverのノーコードのUIでSplunk Cloud Platformログをクエリできるようになることです。ユーザーは、Log Observerのフィルターと集計を使用して、SPLを知らなくても高度なクエリを作成できます。詳細は Query logs in Log Observer Connect を参照してください。
統合ユーザーセッション 🔗
Splunk Cloud PlatformとSplunk Observability Cloudアプリケーション(Infrastructure Monitoring、APM、Log Observer、RUM、Synthetics)の間をシームレスに行き来し、Splunk Cloud Platformでのロールに表示権限があるすべてのデータを確認できます。ユーザーは、Splunk Cloud PlatformとSplunk Observability Cloudへのアクセスを取得するために1回だけログインする必要があります。データを探索する際に、一方のプラットフォームから他方のプラットフォームへ移動するための追加ログインは必要ありません。
Splunk Cloud Platformのメンテナンスウィンドウ 🔗
Splunk Cloud Platformのメンテナンスウィンドウ期間中は、ユーザーは、SSOにSplunk Cloud Platformを使用してSplunk Observability Cloudにログインすることはできません。Splunk Cloud Platformのメンテナンスウィンドウ中は、2~5分間にわたってログインに影響が出る可能性があります。メンテナンスウィンドウが完了し次第、ユーザーはSplunk Observability Cloudに再びログインできます。
メンテナンスウィンドウの間、Splunk Cloud Platformには、ウィンドウの開始時刻と終了時刻を示すバナーが表示されます。メンテナンスウィンドウの開始時にユーザーがすでに Splunk Observability Cloudにログインしている場合、そのユーザーには直接影響はありません。ただし、Log Observer ConnectでのSplunk Cloud Platformログへのアクセスは、メンテナンスウィンドウ中は利用できません。Splunk Observability Cloudでの作業は継続できます。
通常、1つのSplunk Cloud Platformインスタンスには月に2回の計画メンテナンスウィンドウがあります。メンテナンスウィンドウのスケジュールはお客様が決めることができ、通常はお客様のダウンタイム中にウィンドウが発生するように設定します。計画メンテナンスウィンドウについては、Splunk Cloud Platform管理者とご相談ください。
IDプロバイダーの変更 🔗
Splunk Observability Cloudにサインインする際のSSO用のIDプロバイダーとしてSplunk Cloud Platformを今後使用しないという場合は、Splunk Cloud Platformインスタンスを無効化する前に、Splunk Observability Cloudへのログイン用のサードパーティIdPを設定してください。新しいサードパーティIdPの設定完了後にSplunk Cloud Platformを無効化すれば、Splunk Observability Cloudユーザーがアクセスを失うことはありません。