ADFS SSOインテグレーションを設定

Active Directoryフェデレーションサービス(ADFS)のSSOインテグレーションを設定して、ユーザーがMicrosoft ADFSポータルを使用してSplunk Observability Cloudにログインできるようにします。

Microsoft Active Directoryフェデレーションサービス(ADFS)のSSOインテグレーションを設定すると、ユーザーは、Microsoft ADFSポータルを使用してSplunk Observability Cloudにログインできます。

ADFS インテグレーションの構成を開始する前に、「Splunk Observability Cloud 用の SSO インテグレーションの設定」の手順が完了していることを確認してください。これには、「SSO インテグレーションに名前を付ける」セクションを参照してインテグレーションの命名について理解することも含みます。

このインテグレーションは、Microsoft Entra ID(旧 Azure Active Directory)と ADFS でのみ利用可能です。また、ADFS の構成内に以下のフィールドが必要です。

  • メールアドレス

Splunk Observability CloudにADFSを設定する手順には、以下のセクションがあります:

ドメイン情報を Splunk サポートに送信する

Splunk で ADFS SSO インテグレーションをアクティベートするまで、ユーザーは ADFS SSO を使用した認証を利用できません。アクティベーションをリクエストするには、 サポートにお問い合わせください。サポートの問い合わせオプションについては、「サポートプログラム」を参照してください。

ログインメールアドレスのドメインを提供する準備をしてください。例えば、ユーザーが kai@example.com のようなユーザー ID で SSO にログインする場合、ログインメールアドレスのドメインは example.com です。

サポートがインテグレーションを有効にすると、ユーザーはADFS SSOを使用して認証できるようになります。

Splunk Observability Cloudで新しいADFS SSOインテグレーションを作成する

Splunk Observability Cloudで新しいADFSインテグレーションを作成するには、以下の手順にしたがってください:

  1. Splunk Observability Cloud にログインします。

  2. ADFS のガイド付きセットアップを開きます。オプションで、ガイド付きセットアップに自分で移動することもできます:

    1. 左のナビゲーションメニューで、Data Management を選択します。

    2. Available integrations タブにアクセスするか、Deployed integrations タブで Add Integration を選択します。

    3. インテグレーションフィルターメニューで、All を選択します。

    4. Search フィールドで Active Directory FS を検索し、選択します。

  3. Name フィールドに、ADFS SSOインテグレーションの名前を入力します。

  4. [Integration ID] フィールドの値をファイルに保存します。この値は後のステップで必要になります。

  5. ADFSのインテグレーションを複数の組織に設定したい場合は、次の手順にしたがってください:

    1. Integration-specific Entity ID を選択します。

    2. チェックボックスの横に表示される URI を保存します。この URI は、後のステップで ADFS を構成するために必要になります。詳細については、「ID プロバイダーを複数の組織と統合する」を参照してください。

  6. このページは開いたままにします。後続の手順で Certificate ファイルと Metadata ファイルをアップロードします。

Splunk Observability CloudをADFSに追加する

次の手順で、ADFSにRelying PartyとしてSplunk Observability Cloudを追加します:

  1. 別のブラウザタブまたはウィンドウで、ADFSサーバーにログインし、ADFS管理コンソールを開きます。

  2. コンソールで、Relying Party Trusts を右クリックし、Add Relying Party Trust を選択し、Start を選択します。

  3. Claims aware を選択し、次に Next を選択します。

  4. Enter data about the relying party manually を選択し、次に Next を選択します。

  5. Display name に、Splunk Observability Cloud と入力し、Next を選択します。

  6. 表示される画面で、デフォルトの証明書設定を変更せずそのまま残します。

  7. Configure URL ページで、2つのオプションは選択しないまま残し、Next を選択します。

  8. Configure Identifiers ページで、Relying party trust identifiers テキストボックスにエンティティIDを入力します:

    • ADFS に複数のインテグレーションを設定する場合は、以前に取得したインテグレーション固有のエンティティ ID を入力します。

    • ADFS に単一のインテグレーションを使用している場合は、自分のレルムに応じて次のエンティティ ID のいずれかを入力します。

      • あなたの組織が「 us0 」レルムを使用している場合は、以下を入力します:

        https://api.signalfx.com/v1/saml/metadata

      • あなたの組織が別のレルムを使用している場合は、以下を入力します:

        https://api.<YOUR_REALM>.signalfx.com/v1/saml/metadata

    レルムに関する詳細は、「Note about realms」を参照してください。

  9. Add を選択し、次に Next を選択します。

  10. ガイド付きセットアップの次のステップでは、多要素認証を構成できます。Splunk Observability Cloud ではこのオプションは必要ないため、[Next] を選択します。

  11. Choose access control policy ページで、次を実行します:

    1. Permit everyone を選択します。

    2. 必要に応じて、[I do not want to configure access control policies at this time] を選択できます。後の手順で、承認ルールを追加できます。ルールの追加はインテグレーション手順の一部ではないため、ここでは説明していません。

    3. Next を選択します。

  12. 設定を確認して、Next を選択します。

  13. Ready to Add Trust ページで、Next を選択します。

  14. Finish ページで、Configure claims issuance policy for this application の選択を解除し、Close を選択します。

  15. 表示されたページで、Relying Party Trusts を選択し、Splunk Observability Cloud を右クリックして、Properties を選択します。

  16. Advanced タブを選択し、Secure Hash Algorithm リストから SHA-256 を選択します。

  17. Endpoints タブを選択し、Add SAML… を選択します。ダイアログボックスで以下の操作を行います。

    • Endpoint type リストから、SAML Assertion Consumer を選択します。

    • Binding リストから、POST を選択します。

    • Set the trusted URL as default を選択します。

    • [Trusted URL] に、URL を入力します。<INTEGRATION_ID> は、「Splunk Observability Cloud で新しい ADFS SSO インテグレーションを作成する」のステップ 3 でコピーしたインテグレーション ID に置き換えます。

      • あなたの組織が「 us0 」レルムにある場合は、以下を入力します:

      https://api.signalfx.com/v1/saml/acs/<INTEGRATION_ID>

      • あなたの組織が別のレルムにある場合は、以下を入力します:

      https://api.<YOUR_REALM>.signalfx.com/v1/saml/acs/<INTEGRATION_ID>

      レルムに関する詳細は、「Note about realms」を参照してください。

  18. OK を選択し、Add an endpoint ダイアログボックスを閉じます。

  19. OK を選択し、Splunk Observability Cloud Properties ダイアログボックスを閉じます。

  20. 表示されたページで、Relying Party Trusts を選択し、Splunk Observability Cloud を右クリックします。

  21. Claim rule policy リストから、Edit Claim Issuance Policy… を選択します。

  22. Add Rule… を選択します。

  23. Send LDAP Attributes as Claims を選択し、次に Next を選択します。

  24. 「LDAP」などのクレームルール名を入力し、Attribute store リストから、Microsoft Entra ID を選択します。

  25. Mapping of LDAP attributes to outgoing claim types ペインで、ドロップダウンリストを使用して、LDAP AttributeOutgoing Claim Type の列間のマッピングを設定します:

    • E-Mail-Addresses (メールアドレスのLDAP属性): User.email

    • Given-Name (名のLDAP属性): User.FirstName

    • Surname (姓のLDAP属性): User.LastName

    • SAM-Account-Name (一意のユーザー識別子のLDAP属性): PersonImmutableID

  26. Add rule… を再度選択し、Transform an incoming claim を選択します。

  27. 「メールアドレスから名前ID」などのクレームルール名を入力します。

  28. ADFS または SAML の実装でまだ提供されていない場合は、このルールが Name ID(名前 ID)をパススルーするように構成します。

    例えば、User.email を名前IDとしてパススルーさせる場合は、次の手順を実行します:

    1. Incoming claim type ドロップダウンリストから、User.email を選択します。

    2. Outgoing claim type ドロップダウンリストから、Name ID を選択します。

    3. どのタイプを選択した場合でも、Outgoing name ID format のドロップダウンリストから、Persistent Identifier を選択します。

    4. Finish を選択します。

Splunk Observability CloudにインストールするADFS証明書を取得する

次の手順で、Splunk Observability CloudにインストールするADFS証明書を取得します:

  1. ADFS管理コンソールで、Service を選択し、Certificates を選択します。

  2. Token-signing リストから証明書を右クリックし、View Certificate を選択します。

  3. Detail を選択し、次に Copy to file を選択します。証明書のエクスポートウィザードが表示されます。

  4. Next を選択し、次に DER encoded binary X.509 を選択します。

  5. certificate.cerを入力し、Finish を選択します。

  6. openssl ツールを使用して、証明書を.cer形式から.pem形式に変換します:

    openssl x509 -inform der -in certificate.cer -out certificate.pem

    続くステップで、このファイルをSplunk Observability Cloudにアップロードします。

Splunk Observability Cloudにインストールするフェデレーションメタデータファイルを取得する

Splunk Observability Cloudにインストールするフェデレーションメタデータファイルを取得するには、次の手順にしたがいます:

  1. ADFS管理コンソールで、Endpoints に移動します。

  2. Federation Metadata のエンドポイントを探し、表示された URL をコピーします。以下のような URL です。

    https://<YOUR_SERVER_IP>/FederationMetadata/2007-06/FederationMetadata.xmlします。

  3. ブラウザの新規ウィンドウまたは新規タブを開き、コピーした URL に移動します。ファイルのダウンロード ダイアログ ボックスが開きます。

  4. FederationMetadata.xml ファイルを保存します。続くステップで、このファイルをSplunk Observability Cloudにアップロードします。

注: 検証するためには URL が ADFS に属している必要があります。許可されているドメインには、windows.netwindows-ppe.net などがあります。

ADFS証明書とフェデレーションメタデータをSplunk Observability Cloudにアップロードする

Splunk Observability Cloudで、以下を実行します:

  1. 前のステップで開いたADFSページを見つけます。

  2. Upload File フィールドで「 Certificate ファイルのアップロードcertificate.pem 」リンクを選択し、 ファイルをアップロードします。

  3. Upload File フィールドで「 Metadata ファイルのアップロードFederationMetadata.xml 」リンクを選択し、 ファイルをアップロードします。

  4. Save を選択します。

ADFS SSO インテグレーションに ADFS 組織内のユーザーがアクセスできるようになりました。ユーザーが ADFS から Splunk Observability Cloud に初めてログインすると、認証のために開く必要があるリンクが記載された電子メールが送られます。これは、ユーザーが初めてサインインしたときにのみ発生します。その後のログイン試行には検証は必要ありません。

メール認証機能をオフにしたい場合は、サポートまでご連絡ください。サポートの問い合わせオプションについては、「サポートプログラム」を参照してください。

注: ユーザーは、ADFSポータルを通してのみSplunk Observability Cloudにログインできます。

__ ___ ___ _ ______ _____________ _____ ________ ___ ___ ___ ____ __ ___ ____ ____ __ ______ _____________ ______ ___ ___ ___ ____ __ ___ _________ _____

_________ __ ______ _____________ _____ _________

_________ __ ___________ _________ ___ ____ _____ _____

  • ___ _ ________ ___ ___ _______ _______ _________ _______ __ ______ ________

  • ____ ___ ______ ______________ ____ _____ _____ _______ __ ___________ ____ __________ _________ ___ ______ _________ __________ __ _____ ___ ____ _______