Map SAML Group to Splunk AppDynamics Roles - SaaS

This page describes configuring Security Assertion Markup Language (SAML) attributes to role mapping and the SAML group attribute value mapping options in your Splunk AppDynamics SaaS environment.

If the identity assertion from the SAML provider includes group names that correspond to Splunk AppDynamics roles, you can configure mappings between those group names and the roles. Navigate to Settings > Administration > Authentication Provider to access the SAML Group Mappings that control the mappings.

Note: Once users are in the system, you can assign roles directly to them. See Map SAML Group to Cisco AppDynamics Roles - SaaS. You can also configure group attributes from SAML Group Mapping for role mapping and default role assignment.

ロールマッピングへの SAML 属性の設定

ロールマッピングに SAML 属性を設定する場合：

Name SAML groups-Membership の [SAML Group Attribute Name] フィールドに、 [SAML Group Attribute Name] フィールドを入力します。

<saml:Attribute NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic" Name="Groups-Membership">
<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">
{group1};{group2}
</saml:AttributeValue>
</saml:Attribute>

[Group Attribute Value] 設定と [Mapping of Group to Roles] 設定を使用して、Splunk AppDynamics がグループ値の抽出元とする SAML グループ属性の構造と、その値に関連付けられるロールを記述します。コントローラテナントは、以下のオプションに基づくグループ属性値を抽出できます。
- [単一グループ値（Singular Group Values）]単一のグループ値：応答には、単一のグループマッピング値を持つ AttributeValue 要素が 1 つ含まれます。
- [複数のネストされたグループ値（Multiple Nested Group Values）]複数のネストされたグループ値：応答には複数の AttributeValue 要素が含まれ、それぞれが単一のグループマッピング値を持っています。
- [単一の区切られたグループ値（Singular Delimited Group Value）]単一の区切られたグループ値：応答には、区切り文字で区切られた複数のグループマッピング値を持つ AttributeValue 要素が 1 つだけ含まれています。
- [単一グループ値の正規表現（Regex on Singular Group Value）]単一グループ値の正規表現：応答には AttributeValue 要素が 1 つだけ含まれ、そこから正規表現によってグループマッピング値を抽出する必要があります。
グループ属性値が LDAP 形式で返される場合、[Value is in LDAP Format] チェックボックスをオンにします。たとえば、OU=AppDynamics-Users が有効な場合、AppDynamics-Users のみ SAML グループ名にマッピングできます。

SAMLグループマッピング

単一のグループ値

SAML グループ属性に単一のグループが含まれている場合は、[Singular Group Value] を選択します。

<saml:AttributeStatement>
<saml:Attribute Name="Groups-Membership" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Admin</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

この例では、Splunk AppDynamics は値 Admin を抽出します。

AppDynamicsロール

複数のネストされたグループ値

このオプションを選択する場合、Splunk AppDynamics には複数の AttributeValue が必要です。

<saml:Attribute Name="Groups-Membership" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">_Admin_</saml:AttributeValue>
<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">_DBManager_</saml:AttributeValue>
</saml:Attribute>

Splunk AppDynamics は _Admin_ _DBManager_ _Admin_ _DBManager_ を抽出します

AppDynamicsロール

単一の区切られたグループ値

このオプションを選択する場合、Splunk AppDynamics には単一の AttributeValue が必要です。

<saml:Attribute Name="Groups-Membership" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Admin;DB-Manager</saml:AttributeValue>
</saml:Attribute>

抽出する値を分ける区切り文字（セミコロンなど）を指定します。

次のサンプル構成では、ユーザーは Admin および DB-Manager グループの両方と関連付けられた Splunk AppDynamics ロール（Dashboard Viewer、User、DB Monitoring Administrator など）を取得します。

AppDynamicsロール

単一グループ値の正規表現

Splunk AppDynamics で正規表現を使用してグループマッピング値を抽出するには、このオプションを選択します。正規表現により、大きな文字列などの非構造化コンテキストからグループ値を抽出できます。

<saml:AttributeStatement>
<saml:Attribute Name="Groups-Membership" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">User memberships in _Admin_ and _DBManager_ groups.</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

この例では、グループ名は _Admin_ _DBManager_ AttributeValue _[a-zA-Z]_ _Admin_ _DBManager_

AppDynamicsロール