基本的な SaaS SAML 認証の設定
このページでは、基本的な SAML 認証の設定のガイドラインについて説明します。
アイデンティティ プロバイダーの SAML 認証の設定
SAML 2.0 プロトコルを使用して、Splunk AppDynamics コントローラテナントへのシングルサインオンアクセスを有効にするための ID プロバイダーを設定できます。詳細な設定手順については、ID プロバイダーのマニュアルを参照してください。
ID プロバイダーの SAML 設定
ID プロバイダーは、SAML 設定の Splunk AppDynamics コントローラテナントに関する次の情報を必要とします。<controller_domain>
| 設定 | 説明 |
|---|---|
| Audience URI (Service Provider Entity ID) |
SAML アサーションで使用される固有識別子。ほとんどの場合、サービスプロバイダーが別の識別子を使用することを決定する場合を除き、サービスプロバイダーのエンティティ ID です。
|
| Single Sign-On URL (Assertion Consumer URL) |
SAML 認証にサービスを提供する Splunk AppDynamics エンドポイント。クエリ文字列パラメータ accountName を使用して AppDynamics アカウント名を指定する必要があります。
|
ID プロバイダーの SAML 属性(推奨)
属性は、Splunk AppDynamics アカウントの SAML ユーザーにマッピングする ID プロバイダーで設定します。属性が設定されている場合、ユーザー情報(ユーザー名や電子メールなど)がコントローラテナント UI に表示されます。IdP でこれらの属性を変更すると、ユーザーが正常にログインしたときに Splunk AppDynamics コントローラテナントでマッピングされた SAML 属性が更新されます。
次の表に、IdP の属性をコントローラテナントの [Username Attribute]、[Display Name Attribute]、[Email Attribute] の設定にマッピングする例を示します。
| 属性名の例 | 属性値の例 | 説明 |
|---|---|---|
| Username Attribute | User.loginName |
SAML 応答のユーザの固有識別子。この値は、Splunk AppDynamics ユーザー名に対応します。 ユーザー名をマッピングしない場合、Splunk AppDynamics はユーザー名 NameId emailaddress を取得します。 |
| Display Name Attribute | User.fullName |
Splunk AppDynamics 名に対応するユーザーの非公式の名前 |
| Email Attribute | User.email |
Splunk AppDynamics メールに対応するユーザのメール アドレス |
コントローラテナントからの SAML 認証の設定
コントローラテナントから SAML 認証を設定するには、次の手順を実行します。
SAML認証の設定- コントローラテナントに移動します。
- [Settings]
> [Administration] の順にクリックします。 - [認証プロバイダー(Authentication Provider)] タブをクリックし、[SAML] を選択します。
- から、次の SAML 構成設定を入力します。
-
[Login URL]:コントローラテナントがサービスプロバイダー(SP)によるログイン要求を転送する SAML ログイン URL。このログイン URL は必須です。
-
[Logout URL]:ログアウトした後にコントローラテナントがユーザーをリダイレクトする URL。ログアウト URL を指定しない場合、ユーザーにはログアウト時に Splunk AppDynamics ログイン画面が表示されます。
-
[Certificate]:ID プロバイダー設定の X.509 証明書。デリミタ「BEGIN CERTIFICATE」と「END CERTIFICATE」の間に証明書を貼り付けます。ソース証明書のデリミタ BEGIN CERTIFICATE と END CERTIFICATE はコピーしないようにしてください。
-
- [SAML Attribute Mappings] から、次を使用して Splunk AppDynamics コントローラテナントで SAML 認証ユーザーを識別する方法を指定できます。
- Username Attribute:SAML 応答のユーザーの固有識別子。この値は Splunk AppDynamics
usernameフィールドに対応しているため、値はコントローラ テナント アカウント内のすべての SAML ユーザー間で一意である必要があります。次のサンプル応答の場合、この設定の値はUser.OpenIDNameになります。 - Display Name Attribute:Splunk AppDynamics の名前フィールドに対応するユーザーの非公式の名前。サンプル応答の場合、この値は
User.fullNameになります。 - Email Attribute:Splunk AppDynamics の電子メールフィールドに対応するユーザーの電子メールアドレス。サンプル応答の場合、この値は
User.emailになります。
- Username Attribute:SAML 応答のユーザーの固有識別子。この値は Splunk AppDynamics
- [SAML Group Mappings] から、SAML 認証ユーザーをいずれかのコントローラテナントのロールにマッピングできます。
- Default Role:ユーザーの ID アサーションに SAML グループ属性がない場合、認証ユーザーには最初のログイン時に SAML デフォルトロールが適用されます。デフォルトロールは削除できないため、最小限の権限を付与することをお勧めします。Splunk AppDynamics 管理者は、ユーザーがアカウントを取得した場合に Splunk AppDynamics でユーザーのロールを手動で確認して調整できます。
- [SAML Group]:SAML グループメンバーシップ属性を Splunk AppDynamics のロールにマッピングできます。この方法を使用すると、ユーザー認証のたびにコントローラテナントで SAML アサーションが確認され、必要に応じてロールの割り当てが更新されます。
- [Internal Group]:SAML 認証ユーザーが Splunk AppDynamics の内部ユーザーアカウントと同じユーザー名を持ち、マッピングされた SAML グループ属性が SAML アサーションに含まれない場合、コントローラテナントはユーザーに Splunk AppDynamics 内部アカウントのロールを付与します。
- 注: SAML 属性をロールにマッピングする代わりに、指定した権限を持つデフォルトロールにユーザーを割り当てることもできます。デフォルト権限を使用するには、[Default Permissions] 設定を [SAML Group Mappings] リストで編集します。
- [Default Group Mapping] ダイアログで、すべての認証ユーザーに適用される Splunk AppDynamics ロールを選択します。
SAML 認証設定の確認
SAML 認証が正しく設定されていることを確認する最善の方法は、Splunk AppDynamics コントローラテナントにログインすることです。
この手順では、サービスプロバイダー(コントローラテナント)の SAML フローを示し、SAML 要求と応答について説明します。IdP から SAML フローを開始することもできます。
- Splunk AppDynamics コントローラテナントに移動します。サードパーティの IdP サービスの [Login] ダイアログが表示されます。
- [Login] をクリックします。システムによって IdP にリダイレクトされます。
- ログイン情報を入力して送信します。IdP によって Splunk AppDynamics コントローラテナントにリダイレクトされます。
ユーザーアカウントにマッピングするように SAML 属性を設定した場合は、[Settings] > [My Preferences] でユーザー情報を確認できます。
デフォルトのロールがユーザーに適用されるようにデフォルトの権限を設定した場合は、[Settings] > [Administration] で情報を確認できます。