Download PDF
Download page 基本的な SAML オンプレミス認証の設定.
基本的な SAML オンプレミス認証の設定
このページでは、基本的な SAML オンプレミス認証の設定のガイドラインについて説明します。
ID プロバイダーの SAML 認証の設定
SAML 2.0 プロトコルを使用して、AppDynamics コントローラへのシングルサインオンアクセスを有効にするための ID プロバイダーを設定できます。詳細な設定手順については、ID プロバイダーのマニュアルを参照してください。
ID プロバイダーの SAML 設定
ID プロバイダーは、SAML 設定の AppDynamics コントローラに関して次の情報を必要とします。<controller_domain> is は、オンプレミスコントローラのドメインです。
| 設定 | 説明 |
|---|---|
| Audience URI (Service Provider Entity ID) | SAML アサーションを対象とした固有識別子。ほとんどの場合、サービスプロバイダーが別の識別子を使用することを決定する場合を除き、サービスプロバイダーのエンティティ ID です。
|
| Single Sign-On URL (Assertion Consumer URL) | SAML 認証にサービスを提供する AppDynamics エンドポイント。以下に示すように、クエリ文字列パラメータ
|
ID プロバイダーの SAML 属性(推奨)
属性は、AppDynamics アカウントの SAML ユーザーにマッピングする ID プロバイダーで設定します。属性が設定されている場合、ユーザー情報(ユーザー名、電子メールなど)がコントローラに表示されます。IdP でこれらの属性を変更すると、ユーザーが正常にログインしたときにコントローラで SAML 属性が更新されます。
この表では、IdP の属性例が、コントローラの [Username Attribute]、[Display Name Attribute]、および [Email Attribute] 設定にマッピングされています。
| 属性名の例 | 属性値の例 | 説明 |
|---|---|---|
| Username Attribute | User.loginName | SAML 応答のユーザの固有識別子。この値は、AppDynamics の ユーザ名をマッピングしない場合、AppDynamics は |
| Display Name Attribute | User.fullName | AppDynamics の [Name] フィールドに対応するユーザの非公式の名前。 |
| Email Attribute | User.email | AppDynamics の email フィールドに対応するユーザーの電子メールアドレス。 |
コントローラからの SAML 認証の設定
コントローラで SAML 認証の設定を行うには、次の手順を実行します。
SAML 認証の設定
アカウント所有者としてコントローラにサインインします。「SAML を設定できるユーザー」を参照してください。
コントローラ UI の AppDynamics アカウントの管理者権限を持つユーザーとして、[Settings
] > [ Administration] をクリックします。 [Authentication Provider] タブをクリックし、[SAML] を選択します。
[Authentication Provider] > [SAML] から、SAML 構成設定を入力します。
Login URL: コントローラがサービスプロバイダー(SP)によるログイン要求を転送する SAML ログイン URL。このログイン URL は必須です。
Logout URL:ログアウトした後にコントローラがユーザをリダイレクトする URL。ログアウト URL を指定しない場合、ユーザはログアウト時に AppDynamics ログイン画面を表示します。
Certificate:ID プロバイダー設定の X.509 証明書。
BEGIN CERTIFICATEとEND CERTIFICATEの区切り文字間に証明書を貼り付けます。ソース証明書の区切り文字「BEGIN CERTIFICATE」と「END CERTIFICATE」はコピーしないようにしてください。
SAML 属性マッピングの設定(オプション)
[SAML Attribute Mappings] から、次を使用して AppDynamics コントローラで SAML 認証ユーザーを識別する方法を指定できます。
- Username Attribute:SAML 応答のユーザの固有識別子。この値は AppDynamics
usernameフィールドに対応しているため、値はコントローラアカウント内のすべての SAML ユーザ間で一意である必要があります。次のサンプル応答の場合、この設定の値はUser.OpenIDNameになります。 - Display Name Attribute:AppDynamics の Name フィールドに対応するユーザの非公式の名前。サンプル応答の場合、この値は
User.fullNameになります。 - Email Attribute: AppDynamics の email フィールドに対応するユーザーの電子メールアドレス。サンプル応答の場合、この値は
User.emailになります。
AppDynamics ロールへの SAML 認証ユーザのマッピング
SAML Group Mappings, から、SAML 認証ユーザをいずれかのコントローラロールにマッピングできます。
- Default Role:ユーザの ID アサーションに SAML グループ属性がない場合、認証ユーザには最初のログイン時に SAML デフォルトロールが適用されます。デフォルトロールは削除できないため、最小限の権限を付与することをお勧めします。AppDynamics 管理者は、ユーザーがアカウントを持っている場合に AppDynamics でユーザーのロールを手動で確認して調整できます。
- SAML Group:SAML グループメンバーシップ属性を AppDynamics のロールにマッピングできます。この方法を使用すると、ユーザー認証のたびにコントローラで SAML アサーションが確認され、必要に応じてロールの割り当てが更新されます。
- Internal Group:SAML 認証ユーザが AppDynamics の内部ユーザアカウントと同じユーザ名を持ち、マッピングされた SAML グループ属性が SAML アサーションに含まれない場合、コントローラはユーザに AppDynamics 内部アカウントのロールを付与します。
デフォルト権限の構成
SAML 属性をロールにマッピングする代わりに、指定した権限を持つデフォルトロールにユーザを割り当てることもできます。
- デフォルト権限を使用するには、[Default Permissions] 設定を [SAML Group Mappings] リストで編集します。
- [Default Group Mapping] ダイアログで、すべての認証ユーザに適用される AppDynamics ロールを選択します。
SAML 認証設定の確認
AppDynamics コントローラにサインインして、AppDynamics コントローラにログインするための SAML 認証の構成が正しいことを確認します。
この手順では、サービスプロバイダー(コントローラ)の SAML フローについて示し、SAML 要求と応答について説明します。IdP から SAML フローを開始することもできます。
AppDynamics コントローラにサインインすると、サードパーティの IdP サービスの [Login] ダイアログが表示されます。
- [Login] をクリックします。システムによって IdP にリダイレクトされます。
ログイン情報を入力して送信します。IdP によって AppDynamics コントローラにリダイレクトされます。
リダイレクトされてもコントローラがロードできなかった場合は、IdP からの要求 URL が内部コントローラの URL と異なる可能性があります。最も一般的な原因は次のとおりです。
- コントローラ構成は HTTPS を使用するように設定されているが、リダイレクトは HTTP を使用する。
- コントローラのデフォルトポートを変更した。
「Support Advisory: SAML Authentication Fails after 4.3 Upgrade」の推奨される解決方法を参照してください。
ユーザアカウントにマッピングするように SAML 属性を設定した場合は、[Settings ] > [> My Preferences] でユーザ情報を表示できます。
デフォルトのロールがユーザに適用されるようにデフォルトの権限を設定した場合は、[Settings ] > [> Administration] で情報を表示できます。