Download PDF
Download page 基本的な SaaS SAML 認証の設定.
基本的な SaaS SAML 認証の設定
このページでは、基本的な SAML 認証の設定のガイドラインについて説明します。
ID プロバイダーの SAML 認証の設定
SAML 2.0 プロトコルを使用して、AppDynamics コントローラテナントへのシングルサインオンアクセスを有効にするための ID プロバイダーを設定できます。詳細な設定手順については、ID プロバイダーのマニュアルを参照してください。
ID プロバイダーの SAML 設定
ID プロバイダーは、SAML 設定の AppDynamics コントローラテナントに関して次の情報を必要とします。<controller_domain> は、いずれかの AppDynamics SaaS コントローラテナントのドメインの場合があります。
| 設定 | 説明 |
|---|---|
| Audience URI (Service Provider Entity ID) | SAML アサーションで使用される固有識別子。ほとんどの場合、サービスプロバイダーが別の識別子を使用することを決定する場合を除き、サービスプロバイダーのエンティティ ID です。
|
| Single Sign-On URL (Assertion Consumer URL) | SAML 認証にサービスを提供する AppDynamics エンドポイント。以下に示すように、クエリ文字列パラメータ
|
ID プロバイダーの SAML 属性(推奨)
属性は、AppDynamics アカウントの SAML ユーザーにマッピングする ID プロバイダーで設定します。属性が設定されている場合、ユーザー情報(ユーザー名や電子メールなど)がコントローラテナント UI に表示されます。IdP でこれらの属性を変更すると、ユーザーが正常にログインしたときに AppDynamics コントローラテナントでマッピングされた SAML 属性が更新されます。
この表では、IdP の属性例が、コントローラテナントの [Username Attribute]、[Display Name Attribute]、および [Email Attribute] 設定にマッピングされています。
| 属性名の例 | 属性値の例 | 説明 |
|---|---|---|
| Username Attribute | User.loginName | SAML 応答のユーザの固有識別子。この値は、AppDynamics の ユーザー名をマッピングしない場合、AppDynamics は |
| Display Name Attribute | User.fullName | AppDynamics の [Name] フィールドに対応するユーザの非公式の名前。 |
| Email Attribute | User.email | AppDynamics の [email] フィールドに対応するユーザの電子メールアドレス。 |
コントローラテナントからの SAML 認証の設定
コントローラテナントから SAML 認証を設定するには、次の手順を実行します。
SAML 認証の設定
コントローラテナントに移動します。
[Settings
] > [ Administration] をクリックします。 [Authentication Provider] タブをクリックし、[SAML] を選択します。
[Authentication Provider] > [SAML] から、SAML 構成設定を入力します。
Login URL: コントローラテナントがサービスプロバイダー(SP)によるログイン要求を転送する SAML ログイン URL。このログイン URL は必須です。
Logout URL: ログアウトした後にコントローラテナントがユーザーをリダイレクトする URL。ログアウト URL を指定しない場合、ユーザはログアウト時に AppDynamics ログイン画面を表示します。
Certificate:ID プロバイダー設定の X.509 証明書。
BEGIN CERTIFICATEとEND CERTIFICATEの区切り文字間に証明書を貼り付けます。ソース証明書の区切り文字「BEGIN CERTIFICATE」と「END CERTIFICATE」はコピーしないようにしてください。
SAML 属性マッピングの設定(オプション)
[SAML Attribute Mappings] から、次を使用して AppDynamics コントローラテナントで SAML 認証ユーザーを識別する方法を指定できます。
- Username Attribute:SAML 応答のユーザの固有識別子。この値は AppDynamics の
usernameフィールドに対応しているため、値はコントローラ テナント アカウント内のすべての SAML ユーザー間で一意である必要があります。次のサンプル応答の場合、この設定の値はUser.OpenIDNameになります。 - Display Name Attribute:AppDynamics の Name フィールドに対応するユーザの非公式の名前。サンプル応答の場合、この値は
User.fullNameになります。 - Email Attribute: AppDynamics の email フィールドに対応するユーザーの電子メールアドレス。サンプル応答の場合、この値は
User.emailになります。
AppDynamics ロールへの SAML 認証ユーザのマッピング
SAML Group Mappings, から、SAML 認証ユーザーをいずれかのコントローラテナントロールにマッピングできます。
- Default Role:ユーザーの ID アサーションに SAML グループ属性がない場合、認証ユーザーには最初のログイン時に SAML デフォルトロールが適用されます。デフォルトロールは削除できないため、最小限の権限を付与することをお勧めします。AppDynamics 管理者は、ユーザーがアカウントを持っている場合に AppDynamics でユーザーのロールを手動で確認して調整できます。
- SAML Group:SAML グループメンバーシップ属性を AppDynamics のロールにマッピングできます。この方法を使用すると、ユーザー認証のたびにコントローラテナントで SAML アサーションが確認され、必要に応じてロールの割り当てが更新されます。
- Internal Group:SAML 認証ユーザーが AppDynamics の内部ユーザーアカウントと同じユーザー名を持ち、マッピングされた SAML グループ属性が SAML アサーションに含まれない場合、コントローラテナントはユーザーに AppDynamics 内部アカウントのロールを付与します。
デフォルト権限の構成
SAML 属性をロールにマッピングする代わりに、指定した権限を持つデフォルトロールにユーザを割り当てることもできます。
- デフォルト権限を使用するには、[Default Permissions] 設定を [SAML Group Mappings] リストで編集します。
- [Default Group Mapping] ダイアログで、すべての認証ユーザーに適用される AppDynamics ロールを選択します。
SAML 認証設定の確認
SAML 認証が正しく設定されていることを確認する最善の方法は、AppDynamics コントローラテナントにログインすることです。
この手順では、サービスプロバイダー(コントローラテナント)の SAML フローを示し、SAML 要求と応答について説明します。IdP から SAML フローを開始することもできます。
- AppDynamics コントローラテナントに移動します。サードパーティの IdP サービスの [Login] ダイアログが表示されます。
- [Login] をクリックします。システムによって IdP にリダイレクトされます。
ログイン情報を入力して送信します。IdP によって AppDynamics コントローラテナントにリダイレクトされます。
ユーザーアカウントにマッピングするように SAML 属性を設定した場合は、[Settings ] > [> My Preferences] でユーザー情報を表示できます。
デフォルトのロールがユーザーに適用されるようにデフォルトの権限を設定した場合は、[Settings ] > [> Administration] で情報を表示できます。