SAML を介したシングルサインオンの設定

このページでは、セキュリティ アサーション マークアップ言語(SAML)を介してシングルサインオン(SSO)を構成する手順について説明します。

アイデンティティ プロバイダー(IdP)を構成して、Splunk AppDynamics 環境へのシングルサインオンアクセスを有効にすることができます。Splunk AppDynamics では、Cisco Customer Identity または外部 SAML 2.0 プロトコル IdP を介してユーザーを認証および承認できます。Cisco Customer Identity により、ユーザーは既存の Cisco Identity を再利用し、サインイン時に Cisco Identity Provider(IdP)にリダイレクトできます。

詳細な設定手順については、ID プロバイダーのマニュアルを参照してください。「アイデンティティ プロバイダーの SAML 認証の設定」を参照してください。

注: このドキュメントでは、Observability Platform テナントとコントローラテナントの両方を指す場合にテナントという用語を使用します。

サポートされるアイデンティティ プロバイダ

Splunk AppDynamics は、次の IdP のサポートを認定しています。

  • Okta
  • Onelogin
  • Ping ID
  • Azure AD
  • IBM Cloud Identity
  • Active Directory フェデレーションサービス(AD FS)

HTTP POST バインディングをサポートする他の IdP は、Splunk AppDynamics SAML 認証とも互換性がある必要があります。IdP で SAML を設定する際に問題が発生した場合は、Splunk AppDynamics カスタマーサポートにお問い合わせください。

SAML 認証の設定

ここで説明するプロセスは、IdP データをアップロードするか、手動で入力するかによって、若干異なります。

警告: 次の手順は、IdP にアクセスでき、SAML 設定の標準的な知識があることを前提としています。

次の 2 つのフローによって SAML の設定が容易になり、IdP と Splunk AppDynamics の間を行き来する必要性を減らすことができます。

AppDynamics を使用した IdP の設定
IdP での AppDynamics の設定 を参照してください。
IdP での AppDynamics の設定
AppDynamics を使用した IdP の設定 を参照してください。

また、[User Management] からユーザーを SAML IdP にマッピングできるようになりました。「新規ユーザーの作成」を参照してください。

SAML 認証設定の確認

SAML 認証が正しく構成されたことを確認するには、accounts.appdynamic.com に移動します。

  • IdP による認証を選択した場合は、サインイン画面で電子メールアドレスの入力を求められ、認証のために IdP にリダイレクトされます。

  • AppDynamics による認証を選択した場合は、サインイン画面で電子メールアドレスとパスワードの入力を求められます。

IdP での AppDynamics の設定

(1) Select Setup Method
  1. [Configure AppDynamics in your IdP] を選択します。
  2. [Next] をクリックします。
(2) Set Up in Your IdP
  1. [Set up AppDynamics metadata in your IdP] で、次のフィールドに入力します。
    1. Assertion consumer service URL:サービスプロバイダー(SP)がアイデンティティ プロバイダー(IdP)から認証情報(SAML 応答)を受信して処理するために使用する Web アドレス(URL)。
    2. Service provider entity ID:サービスプロバイダー(SP)との信頼性を識別して確立するためにアイデンティティ プロバイダー(IdP)が使用するサービスプロバイダー(SP)の Web アドレス(URL)。
    3. Request binding:承認要求を承認サーバーに送信する HTTP メソッド。
  2. 各フィールドへの入力が完了したことを確認し、[Next] をクリックします。IdPの設定
(3) Provide IdP Metadata
  1. [Provide metadata from your identify provider (IdP)] から:
    1. [Upload metadata] で空のフィールドをクリックし、ローカルドライブからメタデータファイルを選択します。または
    2. IdP の詳細を入力します。
      • Single sign-on URL:(SSO URL)ユーザーが 1 つのログイン情報セットを使用して複数のアプリケーションやサービスにアクセスできるようにする一意の URL。
      • X.509 certificate:X.509 標準を使用するデジタル証明書で、暗号化された安全な方法で個人、組織、デバイスの ID を検証します。
      • Issuer ID:デジタル証明書を発行するエンティティに割り当てられた一意の識別子。証明書の真正性を検証し、その信頼チェーンをルート認証局まで追跡するのに役立ちます。
      • Request binding:承認要求を承認サーバーに送信する HTTP メソッド。
  2. 各フィールドへの入力が完了したことを確認し、[Next] をクリックします。IdP メタデータの提供
(4) Map Attributes
  1. [fname] [lname] [email] の [Map your IdP attributes to AppDynamics attributes] から、IdP の属性と、それに対応する AppDynamics の属性値を入力します。たとえば、IdP 属性をマッピングする場合があります。
  2. [Next] をクリックします。
(5) Configure JIT Provisioning (Optional)
  1. デフォルトでプロビジョニングするテナントを選択します。
  2. [Save] をクリックします。
  3. JIT プロビジョニングリンクをコピーし、コミュニティとトレーニングへのアクセス権がある Splunk AppDynamics ユーザープロファイルを必要とする組織のメンバーに共有します。

AppDynamics を使用した IdP の設定

  1. AppDynamics で [Configure your IdP] を選択します。
  2. [Next.] をクリックします。
(2) Provide IdP Metadata
  1. [Upload metadata] をクリックして、ローカルドライブから IdP メタデータをアップロードするか、次のフィールドの値を手動で入力または選択します。
    • Single sign-on URL:(SSO URL)ユーザーが 1 つのログイン情報セットを使用して複数のアプリケーションやサービスにアクセスできるようにする一意の URL。
    • X.509 Certificate:X.509 標準を使用するデジタル証明書で、暗号化された安全な方法で個人、組織、デバイスの ID を検証します。
    • Issuer ID:デジタル証明書を発行するエンティティに割り当てられた一意の識別子。証明書の真正性を検証し、その信頼チェーンをルート認証局まで追跡するのに役立ちます。
    • Request Binding:承認要求を承認サーバーに送信する HTTP メソッド。
  2. 各フィールドへの入力が完了したことを確認し、[Next] をクリックします。
(3) Set Up In Your IdP
  1. IdP の [Set up AppDynamics metadata] から、次のフィールドに値を入力します。
    • Assertion consumer service URL:SSO の際に Web サービスプロバイダーがアイデンティティ プロバイダーから認証アサーションを受信する URL。
    • Service provider entity ID:SAML(セキュリティ アサーション マークアップ言語)トランザクションにおけるサービスプロバイダーの一意の識別子(URL)。
    • Request binding:承認要求を承認サーバーに送信する HTTP メソッド。
  2. 各フィールドへの入力が完了したことを確認し、[Next] をクリックします。
(4) Map Attributes
  1. [Map your IdP attributes to AppDynamics attributes] から、IdP の属性と、それに対応する Splunk AppDynamics の属性値を入力します。たとえば、IdP 属性の fname、lname、および email を、Splunk AppDynamics の属性である First Name、Last Name、および Email にマッピングできます。
  2. [Next] をクリックします。
(5) Configure JIT Provisioning (Optional)
  1. デフォルトでプロビジョニングするテナントを選択します。
  2. [Save] をクリックします。
  3. JIT プロビジョニングリンクをコピーし、コミュニティとトレーニングへのアクセス権がある Splunk AppDynamics ユーザープロファイルを必要とする組織のメンバーに共有します。

アイデンティティ プロバイダーの SAML 認証の設定

重要: これらの機能を実行するには、会社管理者ロールが必要です。
SAML 設定にアクセスするには、アカウント管理ポータルに移動します。

アイデンティティ プロバイダーの SAML 設定

アイデンティティ プロバイダーは、SAML 設定においてアカウントに関する情報を必要とします。これは、すべての SaaS テナントに該当するわけではありません。

設定説明
発行者 ID(サービスプロバイダーのエンティティ ID)

SAML アサーションを対象とした固有識別子。ほとんどの場合、サービスプロバイダーが別の識別子を使用することを決定する場合を除き、サービスプロバイダーのエンティティ ID です。

  • 構文: http://<domain>/tenant
  • 例: http://yourcompany.observe.appdynamics.com/tenant
シングルサインオン URL(アサーションコンシューマ URL)

SAML 認証にサービスを提供する Splunk AppDynamics エンドポイント。次の構文と例に示すように、クエリ文字列パラメータ accountName を使用して Splunk AppDynamics のアカウント名を指定する必要があります。

  • 構文: http://<domain>/tenant/saml-auth?accountName=<account_name>
  • 例: http://yourcompany.observe.appdynamics.com/tenant/saml-auth?accountName=myaccount

アイデンティティ プロバイダーの SAML 属性

アイデンティティ プロバイダーの属性を、属性値が Splunk AppDynamics SAML ユーザーにマップされるように設定します。属性が設定されると、Splunk AppDynamics アカウント管理者は、ユーザーにマップされている属性値をアカウント管理ポータルで確認できます。

次の表では、IdP の属性例を SAML ユーザーの [First Name]、[Last Name]、[Email] の属性設定にマップしています。

属性名の例属性値の例説明
Jane

AppDynamics の firstName に対応するユーザーの非公式の名前

DoeAppDynamics の [lastName] フィールドに対応するユーザーの非公式の名前。
メールアドレスJane.Doe@company.com

AppDynamics の e mailAddress に対応するユーザーの電子メールアドレス

JIT プロビジョニング

管理者は、IdP またはサービスプロバイダー(Splunk AppDynamics アカウント)を介してユーザーの JIT プロビジョニングを開始できます。

  • IdP によって開始される JIT:管理者は SAML 認証を構成します。ユーザーは IdP にアクセスして Splunk AppDynamics アカウントへのリンクをクリックし、ユーザーアカウントをセルフプロビジョニングします。

  • Splunk AppDynamics アカウントによって開始される JIT:管理者は SAML 認証を構成し、JIT プロビジョニングリンクを生成します。それをユーザーと共有することで Splunk AppDynamics アカウントのセルフプロビジョニングが可能になります。チームメンバーがこのリンクを使用してサインインすると、コミュニティとトレーニングへのアクセス権を持つユーザープロファイルが自動作成されます。

    注: JIT プロビジョニングリンクは、SAML フェデレーションがアクティブで、完全にオプションである場合にのみ機能します。その場合も Splunk AppDynamics 管理者は、ユーザープロファイルを手動で作成できます。

セキュリティ上の理由から、JIT プロビジョニングされたユーザーは読み取り専用ロールに割り当てられるため、JIT プロビジョニングされたユーザのロールを手動で更新する必要があります。

SAML 設定の更新または取得

SAML を正常に設定すると、IdP メタデータや属性マッピングを更新したり、AppDynamics メタデータと JIT プロビジョニング URL を取得したりすることができます。
SAML設定の更新
  1. accounts.appdynamics.com に移動します。
  2. Access Management > SAML Federation の順に移動します。
  3. [METADATA FOR CONFIGURATION] パネルで、[] をクリックします。
  4. IdP メタデータの次のフィールドを編集できます。
    • Single sign-on URL
    • X.509 certificate
    • Issuer ID
  5. [Save] をクリックします。
  6. [ATTRIBUTE MAPPING] パネルで、[] をクリックします。
  7. IdP 属性の値を更新します。
  8. [Save] をクリックします。
  9. [JUST-IN_TIME USER PROVISIONING] パネルで、[] をクリックします。
  10. [Support] をオンまたはオフにして、JIT プロビジョニングされたユーザーが AppDynamics でサポートリクエストを開いて管理できるようにするか、またはできないようにします。
SAML 設定の取得
  1. accounts.appdynamics.com に移動します。
  2. Access Management > SAML Federation に進みます。
  3. をクリックして次の AppDynamics メタデータのいずれかをコピーします。
    • Assertion consumer service URL
    • Service provider entity ID
    • Request binding
  4. [Download metadata] をクリックして、AppDynamics メタデータのコピーをダウンロードします。
  5. [JUST-IN-TIME USER PROVISIONING] から [] をクリックします。
  6. JIT プロビジョニング用の AppDynamics サインインリンクがコピーされます。