汎用SAML SSOインテグレーションを使ってSSOを構成する

汎用SAML SSOインテグレーションを使ってSSO を構成するための前提条件とインストール手順。

注意: このインテグレーションにより、未検証の接続先に認証情報を送信できます。汎用 SAML SSO インテグレーションを使用してユーザーを認証できますが、Splunk Observability Cloud は、これらのインテグレーションをプライマリ認証メカニズムとしてサポートしていません。Splunk Observability Cloud サポートチームは、インテグレーション自体が機能していることを確認する以外に、汎用 SSO インテグレーションを使用してユーザーを認証する際に発生した問題の診断や修復をサポートすることはできません。

Splunk Observability Cloud 用の SSO インテグレーションの設定」に記載されている以外の SSO ログインサービスを使用する場合、組織用に汎用 SAML SSO インテグレーションを作成することができます。

汎用 SAML SSO インテグレーションの構成を開始する前に、「Splunk Observability Cloud 用の SSO インテグレーションの設定」の手順が完了していることを確認してください。これには、「SSO インテグレーションに名前を付ける」セクションを参照してインテグレーションの命名について理解することも含みます。

既に組織用の SAML SSO インテグレーションをお持ちの場合は、「汎用SAML SSOインテグレーションをインストールする」の手順に従って Splunk Observability Cloud にインストールしてください。

注: 汎用 SAML SSO インテグレーションを許可するには、サポートに連絡してください。

サポートへの連絡手順については、「Support Programs」を参照してください。

汎用SAML SSOインテグレーション

Splunk Observability Cloud は、特定の SAML SSO プロバイダーのインテグレーションを提供します。プロバイダーがサポートされているインテグレーションのリストにない場合は、組織管理者は Splunk Observability Cloud から汎用インテグレーションをリクエストできます。このインテグレーションを使用して、SAML SSO プロバイダーをテストおよび開発できます。このインテグレーションを使用すると、管理者は、公開されている任意の SSO エンドポイントを使用してユーザーを認証するように Splunk Observability Cloud に指示できます。

ユーザーがログイン時に入力するID/メールアドレス用のドメインを提供する準備をしてください。ドメインは、ユーザーID/メールアドレスの文字列のうち、@ 記号の後に続く部分です。

作成する汎用 SAML インテグレーションごとに 1 つのタイプの PersonImmutableID のみを使用できます。同じ PersonImmutableID を使用して 2 つ目の汎用 SAML インテグレーションを作成する場合は、最初のインテグレーションを非アクティブ化し、そのユーザーを削除する必要があります。この操作を行うまで、ユーザーは同じタイプの ID を使用して組織にログインすることはできません。たとえば、最初のインテグレーションが PersonImmutableID として emailId を使用する場合、2 つ目のインテグレーションで emailId を使用することはできません。

API を使用してユーザーを削除する方法の詳細については、「Delete/organization/member」を参照してください。

汎用SAML SSOインテグレーションに必要な情報

ユーザ情報:

  • 以下のうち1つ:

    • User.FirstName および User.LastName:ユーザーの姓と名

    • User.FullName:ユーザーのフルネーム

  • User.email:ユーザーのメールアドレス

  • PersonImmutableID:このユーザー固有の識別子

Assertion Consumer Service(ACS)URL:

  • Assertion Consumer Service(ACS)URL には、レルム情報を含むものがあります。詳細については、「Note about realms」を参照してください。

  • ACS URL には、各インテグレーションに固有のインテグレーション ID が含まれています。

  • SAMLページには、このIDが表示されます。

URLは以下のいずれかの形式です:

  • 組織が us0 レルムを使用している場合: https://api.signalfx.com/v1/saml/acs/<INTEGRATION_ID>

  • 組織が us0 以外のレルムを使用している場合: https://api.<YOUR_REALM>.signalfx.com/v1/saml/acs/<INTEGRATION_ID>

<ENTITY-ID>、これは、新しいインテグレーションの作成を開始すると表示されるエンティティ ID です。

  • 単一組織の場合は、以下のエンティティIDを入力してください:

    • 組織が us0 レルムを使用している場合は、以下を入力します: https://api.signalfx.com/v1/saml/metadata/<ENTITY-ID>

    • 組織が us0 以外のレルムを使用している場合は、以下を入力します: https://api.<YOUR_REALM>.signalfx.com/v1/saml/metadata<ENTITY-ID>

  • 単一のIdPと統合する組織が複数ある場合は、以下を実行してください:

    1. Integration-specific Entity ID を選択します。オプションの隣に、インテグレーション固有のエンティティ ID が URI の形で表示されます。

    2. このエンティティIDをコピーし、Splunk Observability Cloudと通信するためのログインサービスを構成する際にこれを指定します。

アサーション署名。SSO プロバイダーは、アサーション署名をリクエスト自体ではなくアサーションメッセージに含める必要があります。アサーションは、SHA256 アルゴリズムまたはそれ以上を使って署名される必要があります。

RelayState。Splunk Observability Cloud はダイナミック RelayState を送信するため、SSO プロバイダーはダイナミック RelayState を受け入れて返す必要があります。RelayState は SAML 仕様の一部です。Splunk Observability Cloud システムでは、ID プロバイダーに送信される AuthN リクエストのメッセージコンテキストの一部です。メッセージコンテキストには、後でサービスプロバイダー側で確認できるトークンも含まれています。Relay State は、Splunk Observability Cloud システムによって設定され、リクエストとともに IDP に送信されます。IDP は、IDP 側での正常な認証の後に受信したのと同じ値で、リレー状態をサービスプロバイダーに送り返すことが期待されています。

汎用SAML SSOインテグレーションをインストールする

このセクションでは、組織が実装した汎用SAML SSOインテグレーションをインストールする方法を説明します。

前提条件

インストールを開始する前に、以下の情報が必要です:

  • 名前:汎用SAML SSOのタイルに表示される記述名。

  • 公開鍵:SAML プロバイダーの公開鍵。SHA256 アルゴリズム以上で署名する必要があります。

  • 発行者URL:SSOプロバイダーが提供する発行者URL。

  • 以下のいずれか:

    • SSOプロバイダーが提供する、一般にアクセス可能なメタデータURL。

    • XML 形式の SSO プロバイダーのメタデータ。プロバイダーがメタデータの一部として送信するエンティティ ID は、発行者 URL と一致する必要があります。

単一の Splunk Observability Cloud 組織で複数のメールドメインを使用する場合(例:「kai@example.com」と「deepu@examplehq.com」など)は、サポートに連絡して、複数のドメインを有効にするためのサポートを受けてください。サポートへの連絡手順については、「Support Programs」を参照してください。

ステップ

汎用SAML SSOインテグレーションをインストールするには、以下の手順に従います:

  1. Splunk Observability Cloud にログインします。

  2. SAML ガイド付きセットアップを開きます。オプションで、ガイド付きセットアップに自分で移動することもできます:

    1. 左のナビゲーションメニューで、Data Management を選択します。

    #.Available integrations タブに移動するか、Add Integration タブで Deployed integrations を選択します。

    1. インテグレーションフィルターメニューで、All を選択します。

    2. Search フィールドで SAML を検索し、選択します。

  3. [Name] フィールドに、このインテグレーションの名前を入力します。組織にカスタム URL がある場合は、この名前は、ユーザーがログインするために選択するボタンのテキストとして表示されます(「SSO インテグレーションに名前を付ける」セクションを参照してください)。

  4. 残りのフィールドには、「前提条件」セクションで収集した情報を入力します。

  5. Saveします。[Validated!] というメッセージが表示されます。

汎用 SSO インテグレーションは、SSO プロバイダーのユーザーが利用できるようになりました。ユーザーがインテグレーションを初めて使用すると、認証のために開く必要があるリンクが記載された電子メールが送られます。これは、ユーザーが初めてサインインしたときにのみ発生します。その後のログイン試行には検証は必要ありません。

メール認証をオフにしたい場合は、サポートまでご連絡ください。サポートへの連絡手順については、「Support Programs」を参照してください。

カスタム URL を設定すると、ユーザーは既存のユーザー名とパスワードのペアを使ったログインを継続することも、代わりに汎用 SAML SSO ログイン情報を使用することもできます。汎用 SAML SSO 認証と Splunk Observability Cloud のユーザー名とパスワードの認証は独立しています。

Splunk Observability Cloud は、汎用 SAML SSO で作成したユーザーのパスワードを生成します。汎用 SAML ログインポータルが利用できない場合、Splunk Observability Cloud ユーザーは、Splunk Observability Cloud のログインページのパスワードリセットリンクを使用して、Splunk Observability Cloud のネイティブのログイン情報を取得することができます。