LDAP SaaS 認証の設定

このページでは、Lightweight Directory Access Protocol(LDAP)を使用して認証するように Splunk AppDynamics SaaS コントローラテナントを設定するための情報と手順を示します。

コントローラテナントを使用した LDAP 認証

Splunk AppDynamics SaaS コントローラテナントで LDAP 認証を使用するには、ファイアウォールを開き、コントローラテナントが社内の LDAP サーバーにアクセスできるようにする必要があります。

また、「Splunk AppDynamics SaaS のドメインと IP 範囲」にリストされている Splunk AppDynamics の IP 範囲に対してファイアウォールを介したアクセスを許可する必要があります。ファイアウォールルールでは、設定した LDAP ポートでコントローラテナントから LDAP リクエストを受信できるようにする必要があります。

はじめる前に

LDAP構成を実行するには、以下が必要です。

  • LDAPサーバー。Splunk AppDynamicsアカウントと LDAP サーバーが 1 対 1 で対応します。
  • Splunk AppDynamics SaaS コントローラテナントのアカウント。
  • Splunk AppDynamics コントローラテナントのアカウント管理者権限。「コントローラテナントのユーザーとグループの管理」を参照してください。
  • LDAP サーバーとコントローラテナント間のネットワーク接続。LDAP サーバーがコントローラテナントにアクセスできるようにするには、ネットワーク ファイアウォールを介したアクセスを有効にすることが必要になる場合があります。「SaaS 展開用 LDAP」を参照してください。

LDAP 認証の設定

LDAP 認証を設定する手順の概要は次のとおりです。

  • LDAP サーバーへの接続を構成します。
  • Splunk AppDynamics コントローラテナントにプロビジョニングするユーザーを返す LDAP クエリを設定してテストします。
  • Splunk AppDynamics ロールにマッピングする LDAP グループを返す LDAP クエリを構成します。
  • ユーザーまたはグループを Splunk AppDynamics のロールにマッピングします。

LDAP サーバーへの接続の構成

重要: これらのアクションを実行するには、会社の管理者またはアカウント所有者である必要があります。
LDAP 認証を設定するには、[Settings] 設定 > [Administration] > [Authentication Provider] > [LDAP] の順に移動します。

使用する必要があるユーザーまたはグループのクエリが LDAP サーバーで許可されているよりも多くのエントリを返す場合は、次のページングされた結果の設定を使用します。

  • Enable Paging:このオプションを有効にすると、ユーザーまたはグループクエリの送信時に、コントローラテナントがページングされた結果をサーバーにリクエストします。
  • Page Size:コントローラテナントから LDAP サーバーへの往復あたりのエントリ数を入力します。デフォルトは 500 です。

ページサイズは、返されるエントリの合計数を LDAP サーバーとコントローラテナント間で許容されるラウンドトリップ数で割った数と等しい必要があります。たとえば、クエリで 1200 の結果を受け取ることが予想され、最大 2 ラウンドトリップまで許容可能な場合は、ページサイズを 600(1200/2)に設定します。「大規模な結果セットに対するページングされた結果の使用」を参照してください。

LDAP 接続設定の構成:

  • Host:LDAP サーバーの IP アドレス。必須。
  • Port:LDAP サーバーがリッスンするポート。SSL 接続のデフォルトは 636、SSL を使用しない場合は 389 です。必須。
  • Use SSL:デフォルトでは、LDAP サーバーへのセキュアな接続の使用が有効になっています。SSLを使用しない場合はチェックを外します。
  • Enable Referrals:デフォルトでは、LDAP 紹介のサポートが有効になっています。照会とは、LDAP サーバーが LDAP クライアントリクエストを別の LDAP サーバーに転送することです。各照会イベントはホップと呼ばれます。
  • Maximum Referral HopsSplunk AppDynamics が連続して従う紹介の最大数。デフォルトは5です。
  • Bind DN:LDAP サーバー上で識別されるユーザー名であり、Splunk AppDynamics アプリケーションでの検索に使用されます。必須。
  • Password:LDAP サーバー上のユーザーパスワード。必須。

ユーザーの構成

[LDAP Configuration] ページで、LDAP ユーザーを検索するための情報を設定します。

  • Base DN:ユーザーの再帰的な検索を開始する LDAP ツリーの場所。必須。
  • Filter:ベース DN から一致する項目をフィルタ処理するオプションの LDAP 検索文字列。LDAP 検索フィルタに関する情報については、RFC2254 を参照してください。
  • Login Attribute:ユーザーが Splunk AppDynamics UI にログインするときに入力するユーザー名に対応する LDAP フィールド。デフォルトは uid です。Active Directory の場合は、通常 AMAccountName です。
  • Display Name Attribute:ユーザーの表示名として使用する LDAP フィールド。
  • Group Membership Attribute:オプションのユーザー グループ メンバーシップ フィールド。検索を高速化します。
  • Email Attribute :オプションのユーザーメールアドレス。

[Test Query] を選択して、接続を確認します。成功すると、クエリによって返された最初の数人のユーザーが画面に表示されます結果セットが大きい場合、テストは結果セット全体を返しません。

グループの構成

必要に応じて、LDAP グループをコントローラテナントのユーザーロールに

  • Splunk AppDynamics

マッピングできます。そのためには、マッピングする LDAP グループを返す LDAP クエリを次のように設定する必要があります。

  • Base DN:グループの再帰的な検索を開始する LDAP ツリーの場所。必須。
  • Enable Nested Groups:深さ 10 までのネストされた LDAP グループを含めるオプション。
  • Filter:ベース DN から一致する項目をフィルタ処理するオプションの LDAP 検索文字列。LDAP 検索フィルタに関する情報については、RFC2254 を参照してください。
  • Name Attribute:グループの名前を含む LDAP フィールド。デフォルトは cn です。必須。
  • Description Attribute:グループの説明を含む LDAP フィールド。オプション。
  • User Membership Attribute:グループのメンバーを識別します。オプション。
  • Referenced User Attribute:ユーザーメンバーシップ属性のオプションの子属性。親が空の場合は無効になります。ユーザーメンバーシップ属性に含まれるユーザーのプロパティを指定します。

[Test Query] を選択して、接続を確認します。接続が成功している場合、クエリによって返された最初の数グループが表示されます。

これで、Splunk AppDynamics コントローラテナントで権限をユーザーやグループに割り当てられます。

Splunk AppDynamics の権限の LDAP ユーザーへの割り当て

  1. [Settings] 設定 > [Administration] の順に移動します。
  2. [Users] をクリックします。LDAP が有効で正しく設定されている場合、Splunk AppDynamics コントローラテナントは LDAP サーバーからユーザー名を取得します。
  3. 権限を割り当てるユーザーの名前を選択します。
  4. このユーザーに割り当てる [Roles] を追加または削除します。1人のユーザーに複数のロールを割り当てることができます。
  5. [Save] をクリックします。

Splunk AppDynamics の権限の LDAP グループへの割り当て

LDAPグループの構成は任意です。

  1. [Settings] 設定 > [Administration] の順に移動します。
  2. [Groups] をクリックします。LDAP が有効で正しく構成されている場合、Splunk AppDynamics は LDAP からグループ名を取得します。
  3. 権限を割り当てるグループの名前を選択します。
  4. このグループに割り当てる [Roles] を追加または削除します。1つのグループに複数のロールを割り当てることができます。
  5. Save をクリックします。

LDAP キャッシュ同期頻度の設定

コントローラテナントは、LDAP ユーザーおよびグループに関する情報をローカルキャッシュに保持します。LDAP サーバーに定期的に接続して、キャッシュを LDAP サーバーと同期させます。

コントローラテナントは、ユーザーとグループメンバーシップに関する情報をキャッシュします。ユーザーパスワードはキャッシュされません。コントローラテナントは、すべてのユーザーセッションの開始時に LDAP サーバーに対してユーザーログイン情報を認証します。

LDAP からユーザーアカウントを削除すると、変更はすぐに反映され、ユーザーはコントローラテナント UI にログインできなくなります。ただし、ユーザーがログアウトするかセッションの期限が切れるまでセッションは継続します。

グループメンバーシップのアクセスでは、ユーザーがグループから削除されても、アカウントが LDAP サーバーに維持される場合、そのユーザーは次に LDAP サーバーとの同期が行われるまでコントローラテナントにログインできます。同期頻度のデフォルト設定では、コントローラテナント UI にアクセスできる時間は最大 1 時間になります。

LDAP同期頻度の構成

1 時間のデフォルトの同期頻度を変更するには、次の手順を実行します。

  1. コントローラテナントのアプリケーションサーバーを停止します。

    • Linux では、次を実行します。

      platform-admin.sh stop-controller-appserver

    • Windows では、管理者特権のコマンドプロンプト(Windows の [Start] メニューの [Command Prompt] を右クリックし、[Run as administrator] を選択)から次のコマンドを実行します。

      platform-admin.exe cli stop-controller-appserver
  2. <Controller-Installation-Directory>/appserver/glassfish/domains/domain1/config/domain.xml ファイルを開いて編集します。
  3. <jvm-options> エレメントで、appdynamics.ldap.sync.frequency という名前のシステムプロパティをミリ秒単位の同期頻度で追加します。
    たとえば、15 分(900,000 ミリ秒)ごとにコントローラを LDAP サーバーに同期させるには、<jvm-options>-Dappdynamics.ldap.sync.frequency=900000</jvm-options> を追加します。
    デフォルトは3600000ミリ秒(1時間)です。
  4. ファイルを保存します。
  5. コントローラ テナント アプリケーション サーバーを再起動します。

    • Linux では、次を実行します。

      platform-admin.sh start-controller-appserver

    • Windows では、管理者特権でのコマンドプロンプトから次のコマンドを実行します。

      platform-admin.exe cli start-controller-appserver