基本的な SAML オンプレミス認証の設定

このページでは、基本的な SAML オンプレミス認証の設定のガイドラインについて説明します。

アイデンティティ プロバイダーの SAML 認証の設定

アイデンティティ プロバイダーを設定して、SAML 2.0 プロトコルを使用した Splunk AppDynamics コントローラへのシングルサインオンアクセスを有効にすることができます。詳細な設定手順については、ID プロバイダーのマニュアルを参照してください。

ID プロバイダーの SAML 設定

アイデンティティ プロバイダーは、SAML 設定において Splunk AppDynamics コントローラに関する次の情報を必要とします。<controller_domain> は

設定 説明
Audience URI (Service Provider Entity ID)

SAML アサーションを対象とした固有識別子。ほとんどの場合、サービスプロバイダーが別の識別子を使用することを決定する場合を除き、サービスプロバイダーのエンティティ ID です。

  • 構文: http://<controller_domain>/controller
  • 例: http://yourcompany.customer-host/controller
Single Sign-On URL (Assertion Consumer URL)

SAML 認証にサービスを提供する Splunk AppDynamics エンドポイント。クエリ文字列パラメータ accountName を使用して Splunk AppDynamics アカウント名を指定する必要があります。

  • 構文: http://<controller_domain>/controller/saml-auth?accountName=<account_name>
  • 例: http://yourcompany.customer-host/controller/saml-auth?accountName=myaccount

ID プロバイダーの SAML 属性(推奨)

属性は、Splunk AppDynamics アカウントの SAML ユーザーにマッピングする ID プロバイダーで設定します。属性が設定されている場合、ユーザー情報(ユーザー名、電子メールなど)がコントローラに表示されます。IdP でこれらの属性を変更すると、ユーザーが正常にログインしたときにコントローラで SAML 属性が更新されます。

この表では、IdP の属性例が、コントローラの [Username Attribute]、[Display Name Attribute]、および [Email Attribute] 設定にマッピングされています。

属性名の例 属性値の例 説明
Username Attribute User.loginName

SAML 応答のユーザの固有識別子。この値は、Splunk AppDynamics ユーザー名に対応します。

ユーザー名をマッピングしない場合、Splunk AppDynamics はユーザー名 NameId emailaddress を取得します。
Display Name Attribute User.fullName

Splunk AppDynamics 名に対応するユーザーの非公式の名前
Email Attribute User.email

Splunk AppDynamics メールに対応するユーザーメールアドレス

コントローラからの SAML 認証の設定

コントローラで SAML 認証の設定を行うには、次の手順を実行します。

  1. アカウント所有者としてコントローラにサインインします。「SAML を設定できるユーザー」を参照してください。
  2. コントローラ UI の Splunk AppDynamics アカウントの管理者権限を持つユーザーとして、[Settings] [設定] > [Administration] をクリックします。
  3. [認証プロバイダー(Authentication Provider)] タブをクリックし、[SAML] を選択します。
  4. Authentication Provider > SAML から、次の SAML 構成設定を入力します。

    • Login URL:コントローラがサービスプロバイダー(SP)によるログイン要求を転送する SAML ログイン URL。このログイン URL は必須です。

    • Logout URL:ログアウトした後にコントローラがユーザーをリダイレクトする URL。ログアウト URL を指定しない場合、ユーザーにはログアウト時に Splunk AppDynamics ログイン画面が表示されます。

    • [Identity Provider Certificate]:ID プロバイダー設定の X.509 証明書。証明書を [BEGIN CERTIFICATE] と [END CERTIFICATE] の行の間に貼り付けます
      注: この証明書の有効期限が近づいている場合は、更新された証明書を [Identity Provider Rollover Certificate]に追加できます。
    • [Identity Provider Rollover Certificate]:(オプション)既存の証明書の有効期限が切れた場合にコントローラが使用できる X.509 証明書。アイデンティティ プロバイダー設定から証明書をコピーし、[--BEGIN CERTIFICATE--][--END CERTIFICATE--]の間にその証明書を貼り付けます。
      注:

      • 初期設定では、編集アイコンをクリックして証明書を指定する必要があります。

      • この証明書の有効期限が近づいている場合は、更新された証明書を [Identity Provider Certificate] に追加できます。

    • [SAML Encryption]:SAML アサーションを暗号化します。
SAML 属性マッピングの設定(オプション)
  1. [SAML Attribute Mappings] から、次を使用して Splunk AppDynamics コントローラで SAML 認証ユーザーを識別する方法を指定できます。
    • Username Attribute:SAML 応答のユーザーの固有識別子。この値は Splunk AppDynamics username フィールドに対応しているため、値はコントローラアカウント内のすべての SAML ユーザー間で一意である必要があります。次のサンプル応答の場合、この設定の値は User.OpenIDName になります。
    • Display Name AttributeSplunk AppDynamics の名前フィールドに対応するユーザーの非公式の名前。サンプル応答の場合、この値は User.fullName になります。
    • Email AttributeSplunk AppDynamics の [email] フィールドに対応するユーザーの電子メールアドレス。サンプル応答の場合、この値は User.email になります。
Splunk AppDynamics ロールへの SAML 認証ユーザーのマッピング
  1. [SAML Group Mappings] から、SAML 認証ユーザーをいずれかのコントローラロールにマッピングできます。
    • Default Role:ユーザーの ID アサーションに SAML グループ属性がない場合、認証ユーザーには最初のログイン時に SAML デフォルトロールが適用されます。デフォルトロールは削除できないため、最小限の権限を付与することをお勧めします。Splunk AppDynamics 管理者は、ユーザーがアカウントを取得した場合に Splunk AppDynamics でユーザーのロールを手動で確認して調整できます。
    • [SAML Group]:SAML グループメンバーシップ属性を Splunk AppDynamics のロールにマッピングできます。この方法を使用すると、ユーザー認証のたびにコントローラで SAML アサーションが確認され、必要に応じてロールの割り当てが更新されます。
    • Internal Group:SAML 認証ユーザーが Splunk AppDynamics の内部ユーザーアカウントと同じユーザー名を持ち、マッピングされた SAML グループ属性が SAML アサーションに含まれない場合、コントローラはユーザーに Splunk AppDynamics 内部アカウントのロールを付与します。

デフォルト権限の構成

SAML 属性をロールにマッピングする代わりに、指定した権限を持つデフォルトロールにユーザーを割り当てることもできます。

  1. デフォルト権限を使用するには、[Default Permissions] 設定を [SAML Group Mappings] リストで編集します。
  2. [Default Group Mapping] ダイアログで、すべての認証ユーザーに適用される Splunk AppDynamics ロールを選択します。

SAML 認証設定の確認

Splunk AppDynamics コントローラにサインインして、Splunk AppDynamics コントローラにログインするための SAML 認証の構成が正しいことを確認します。

この手順では、サービスプロバイダー(コントローラ)の SAML フローについて示し、SAML 要求と応答について説明します。IdP から SAML フローを開始することもできます。

Splunk AppDynamics コントローラにサインインすると、サードパーティの IdP サービスの [Login] ダイアログが表示されます。

  1. [Login] をクリックします。システムによって IdP にリダイレクトされます。
  2. ログイン情報を入力して送信します。IdP によって Splunk AppDynamics コントローラにリダイレクトされます。
    警告:

    リダイレクトされてもコントローラがロードできなかった場合は、IdP からの要求 URL が内部コントローラの URL と異なる可能性があります。最も一般的な原因は次のとおりです。

    • コントローラ構成は HTTPS を使用するように設定されているが、リダイレクトは HTTP を使用する。
    • コントローラのデフォルトポートを変更した。

    Support Advisory: SAML Authentication Fails after 4.3 Upgrade」の推奨される解決方法を参照してください。

    .

ユーザーアカウントにマッピングするように SAML 属性を設定した場合は、[Settings] [設定] > [My Preferences ] でユーザー情報を確認できます。

デフォルトのロールがユーザーに適用されるようにデフォルトの権限を設定した場合は、[Settings] 設定 > [Administration] で情報を確認できます。