Splunk AppDynamics ロールへの SAML グループのマッピング(オンプレミス)

このページでは、AppDynamics オンプレミス環境でロールマッピングにセキュリティ アサーション マークアップ言語(SAML)属性を設定する方法、および SAML グループ属性値マッピングオプションを設定する方法について説明します。

SAML プロバイダーからの ID アサーションに Splunk AppDynamics ロールに対応するグループ名が含まれている場合、そのグループ名とロール間のマッピングを構成できます。[SAML ConfigurationAuthentication Provider] 内の [SAML Group Mappings] 設定は、マッピングを制御します。

注: SAML ユーザに手動でロールを割り当てることはできません。グループとロール間のマッピングのみを設定できます。

ロールマッピングへの SAML 属性の設定

ロールマッピングに SAML 属性を設定する場合:

  1. Name SAML groups-Membership の [SAML Group Attribute Name] フィールドで、[SAML Group Attribute Name] フィールドを入力します。
    JSON 
    <saml:Attribute NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic" Name="Groups-Membership">
<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">
{group1};{group2}
</saml:AttributeValue>
</saml:Attribute>
  2. [Group Attribute Value] 設定と [Mapping of Group to Roles] 設定を使用して、Splunk AppDynamics がグループ値の抽出元とする SAML グループ属性の構造と、その値に関連付けられるロールを記述します。コントローラは、以下のオプションに基づくグループ属性値を抽出できます。
    • Singchoicesar Group Values:応答には、単一のグループマッピング値を持つ AttributeValue 要素が 1 つ含まれます。
    • Mchoicestiple Nested Group Values:応答には複数の AttributeValue 要素が含まれ、それぞれが単一のグループマッピング値を持っています。
    • Singchoicesar Delimited Group Value:応答には、区切り文字で区切られた複数のグループマッピング値を持つ AttributeValue 要素が 1 つ含まれています。
    • Regex on Singchoicesar Group Value:応答には AttributeValue 要素が 1 つ含まれ、そこから正規表現によってグループマッピング値を抽出する必要があります。
  3. グループ属性値が LDAP 形式で返される場合、[Value is in LDAP Format] チェックボックスをオンにします。たとえば、OU=AppDynamics-Users が有効な場合、AppDynamics-Users のみ SAML グループ名にマッピングできます。

SAMLグループマッピング

単一のグループ値

SAML グループ属性に単一のグループが含まれている場合は、[Singular Group Value] を選択します。

CODE 
<saml:AttributeStatement>
<saml:Attribute Name="Groups-Membership" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Admin</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

この例では、Splunk AppDynamics は値 Admin を抽出します。

SAML 単一グループマッピング

複数のネストされたグループ値

このオプションを選択する場合、Splunk AppDynamics には複数の AttributeValue が必要です。

CODE 
<saml:Attribute Name="Groups-Membership" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">_Admin_</saml:AttributeValue>
<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">_DBManager_</saml:AttributeValue>
</saml:Attribute>

Splunk AppDynamics は _Admin_ _DBManager_ _Admin_ _DBManager_ を抽出します

SAML 複数グループマッピング

単一の区切られたグループ値

このオプションを選択する場合、Splunk AppDynamics には単一の AttributeValue が必要です。

CODE 
<saml:Attribute Name="Groups-Membership" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Admin;DB-Manager</saml:AttributeValue>
</saml:Attribute>

抽出する値を分ける区切り文字(セミコロンなど)を指定します。

次のサンプル構成では、ユーザーは Admin および DB-Manager グループの両方と関連付けられた Splunk AppDynamics ロール(Dashboard Viewer、User、DB Monitoring Administrator など)を取得します。

SAML 区切りグループマッピング

単一グループ値の正規表現

Splunk AppDynamics で正規表現を使用してグループマッピング値を抽出するには、このオプションを選択します。正規表現により、大きな文字列などの非構造化コンテキストからグループ値を抽出できます。

CODE 
<saml:AttributeStatement>
<saml:Attribute Name="Groups-Membership" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">User memberships in _Admin_ and _DBManager_ groups.</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

この例では、グループ名は _Admin_ _DBManager_ AttributeValue _[a-zA-Z]_ _Admin_ _DBManager_

SAML 正規表現グループマッピング