Splunk Observability CloudのSSOインテグレーションについて

主要なSSO設定パラメータと一般的なトラブルシューティングソリューションの概要。

シングルサインオン(SSO)のインテグレーションでは、Ping、Okta、Microsoft Entra ID(旧 Azure Active Directory)、OneLogin などの ID プロバイダー(IdP)と Splunk Observability Cloud などのサービスプロバイダー(SP)の間で認証と承認の情報を交換するための標準である SAML 2.0 を実装します。Splunk Observability Cloud で新しい SSO インテグレーションをセットアップすると、特定の IdP からの情報を信頼して組織内のユーザーのログインのために使用することを、Splunk Observability Cloud に許可することになります。信頼関係が設定されると、ユーザーは IdP によって開始されたフロー(IdP 内のポータルまたはアプリケーションページから始まる)で IdP からログインするか、Splunk Observability Cloud のログインページから SP によって開始されたフローを使用してログインできます(組織にカスタムドメインが構成されている場合に使用できます)。

一般的なSSO SAMLフローは、以下の画像で確認できます:

IdP主導の認証リクエストのやりとりのフローを示す図

Splunk Observability Cloud は、異なる組織間の攻撃を防御するために、電子メール認証によるセキュリティを追加します。

必要な情報

SSOインテグレーションを設定する際には、IdPがSplunk Observability Cloudを信頼するための情報と、Splunk Observability CloudがIdPを信頼するための情報を提供する必要があります。

以下の画像はOktaの設定情報を示すものですが、どのIdPでも同様の情報が必要になります。

Splunk Observability CloudのOkta SSOインテグレーション画面。各フィールドの目的を示すテキストが書き込まれています。

IdPは以下の情報を要求します:

  • アプリケーションのACS(Assertion Consumer Service)URL:アサーションの送信先。

  • アプリケーションのSAMLオーディエンス:Splunk Observability Cloudが自身を識別する方法。

さらに、IdP は Splunk Observability Cloud に送信するパラメータを認識している必要があります。次の図は、SAML アサーションの AWS 属性マッピングを示しています。

IdPがSplunk Observability Cloudに送信する属性。

製品固有のインテグレーションでは、これらのフィールドのほとんどにデフォルト値が提供され、手動で構成する必要はありません。汎用 SAML または Microsoft Entra ID(旧 Azure Active Directory)Federation Searches(FS)を設定する場合は、すべての値を自分自身で指定する必要があります。

以下の表では、Microsoft Entra ID(旧 Azure Active Directory)を例にして、Splunk Observability Cloud の対応するフィールド名を示しています。異なる IdP ではフィールド名が若干異なる場合があります。括弧内は、値の例です。

Splunk Observability Cloudのフィールド名

Microsoft Entra ID(旧Azure Active Directory)のフィールド名

Integration ID (EPAMIDfalsg)

Reply URL(Assertion Consumer Service URL)(https://your_realm/v1/saml/acsEPAMIDfalsg

Integration-specific Entity ID` (EPAMIDfalsg)

Identifier (Entity ID)https://your_realm/v1/saml/acsEPAMIDfalsg

Certificate (Base64)(ファイルをアップロードして置換)

Certificate (Base64)(ファイルをダウンロード)

Integration ID (EPAMIDfalsg)

Reply URL (Assertion Consumer Service URL)https://your_realm/v1/saml/acsEPAMIDfalsg

Microsoft Entra ID Identifierhttps://your_domain/081aaa5f-fsec-m01c-03dfalke45n

Microsoft Entra ID Identifierhttps://your_domain/081aaa5f-fsec-m01c-03dfalke45n

ユーザー属性とクレームについては、FullName または User.FirstName および User.LastName、 ならびに PersonImmutableIDUser.email が必要です。

User.FirstName(user.givenname)、LastName(user.surname)、PersonImmutableID(user.userprincipal name)、FullName(user.displayname)、email(user.othermail)