Download PDF
Download page 基本的な SAML 認証の設定.
基本的な SAML 認証の設定
Related pages:
このページでは、基本的な SAML 認証の設定のガイドラインについて説明します。
AppDynamics では、UI とコードの一部でテナントがコントローラとして言及されます。これらは同じものと見なされます。
ID プロバイダーの SAML 認証の設定
SAML 2.0 プロトコルを使用して、AppDynamics SaaS テナントへのシングルサインオンアクセスを有効にするための ID プロバイダーを設定できます。詳細な設定手順については、ID プロバイダーのマニュアルを参照してください。
ID プロバイダーの SAML 設定
ID プロバイダーは、SAML 設定の AppDynamics テナントに関して次の情報を必要とします。<controller_domain>
は、いずれかの AppDynamics SaaS テナントのドメインです。
設定 | 説明 |
---|---|
Audience URI (Service Provider Entity ID) | SAML アサーションを対象とした固有識別子。ほとんどの場合、サービスプロバイダーが別の識別子を使用することを決定する場合を除き、サービスプロバイダーのエンティティ ID です。
|
Single Sign-On URL (Assertion Consumer URL) | SAML 認証にサービスを提供する AppDynamics エンドポイント。以下に示すように、クエリ文字列パラメータ
|
ID プロバイダーの SAML 属性(推奨)
属性は、AppDynamics アカウントの SAML ユーザにマッピングする ID プロバイダーで設定します。設定すると、ユーザの情報がテナント UI に表示されます。IdP でこれらの属性を変更すると、ユーザが正常にログインしたときに AppDynamics テナントでマッピングされた SAML 属性が更新されます。
次の表では、IdP の属性例が、テナントの [Username Attribute]、[Display Name Attribute]、および [Email Attribute] 設定にマッピングされています。
属性名の例 | 属性値の例 | 説明 |
---|---|---|
Username Attribute | User.loginName | SAML 応答のユーザの固有識別子。この値は AppDynamics ユーザ名がマッピングされていない場合、AppDynamics は |
Display Name Attribute | User.fullName | AppDynamics の [Name ] フィールドに対応するユーザの非公式の名前。 |
Email Attribute | User.email | AppDynamics の [email ] フィールドに対応するユーザの電子メールアドレス。 |
SAML 認証の設定
アカウント管理ポータルまたはテナントを介して SAML を設定できます。
テナントに移動します。
アカウント所有者としてログインします。「SAML を設定できるユーザ」を参照してください。
[Settings> Administration] をクリックします。
[Authentication Provider] > [SAML] から、SAML 構成設定を入力します。
Login URL:テナントがサービスプロバイダー(SP)によって開始されたログイン要求を転送する SAML ログイン URL。このログイン URL は必須です。
Logout URL:ログアウトした後にテナントがユーザをリダイレクトする URL。ログアウト URL を指定しない場合、ユーザはログアウト時に AppDynamics ログイン画面を表示します。
Certificate:ID プロバイダー設定の X.509 証明書。
BEGIN CERTIFICATE
とEND CERTIFICATE
の区切り文字間に証明書を貼り付けます。ソース証明書の区切り文字「BEGIN CERTIFICATE
」と「END CERTIFICATE
」はコピーしないようにしてください。
SAML 属性マッピングの設定(オプション)
[SAML Attribute Mappings] から、次を使用して AppDynamics テナントで SAML 認証ユーザを識別する方法を指定できます。
- Username Attribute:SAML 応答のユーザの固有識別子。この値は AppDynamics
username
フィールドに対応しているため、値はテナントアカウント内のすべての SAML ユーザ間で一意である必要があります。次のサンプル応答の場合、この設定の値はUser.OpenIDName
になります。 - Display Name Attribute:AppDynamics の Name フィールドに対応するユーザの非公式の名前。サンプル応答の場合、この値は
User.fullName
になります。 - Email Attribute:AppDynamics の email フィールドに対応するユーザの電子メールアドレス。サンプル応答の場合、この値は
User.email
になります。
AppDynamics ロールへの SAML 認証ユーザのマッピング
SAML Group Mappings, から、SAML 認証ユーザをいずれかのテナントロールにマッピングできます。
- Default Permissions:ユーザの ID アサーションに SAML グループ属性がない場合、認証ユーザには最初のログイン時に SAML デフォルトロールが割り当てられます。デフォルトロールは削除できないため、最小限の権限を付与することをお勧めします。AppDynamics 管理者は、ユーザがアカウントを持っている場合に AppDynamics でユーザのロールを手動で確認して調整できます。
- SAML Group:SAML グループメンバーシップ属性を AppDynamics のロールにマッピングできます。この方法を使用すると、ユーザ認証のたびにテナントで SAML アサーションが確認され、必要に応じてロールの割り当てが更新されます。
- Internal Group:SAML 認証ユーザが AppDynamics の内部ユーザアカウントと同じユーザ名を持ち、マッピングされた SAML グループ属性が SAML アサーションに含まれない場合、テナントはユーザに AppDynamics 内部アカウントのロールを付与します。
デフォルト権限の構成
SAML 属性をロールにマッピングする代わりに、指定した権限を持つデフォルトロールにユーザを割り当てることもできます。
- デフォルト権限を使用するには、[Default Permissions] 設定を [SAML Group Mappings] リストで編集します。
- [Default Group Mapping] ダイアログで、すべての認証ユーザが取得する AppDynamics ロールを選択します。
SAML 認証設定の確認
SAML 認証が正しく設定されていることを確認する最善の方法は、AppDynamics テナントにログインすることです。
この手順では、サービスプロバイダーの SAML フローについて示し、SAML 要求と応答について説明します。IdP から SAML フローを開始することもできます。
- AppDynamics テナントに移動します。
- サードパーティ製サービスの [Login] ダイアログが表示されます。これは IdP です。
- [Login] をクリックします。
- IdP にリダイレクトされたら、ログイン情報を入力して送信します。
IdP によって AppDynamics テナントにリダイレクトされます。
テナントでユーザアカウントにマッピングするように SAML 属性を設定した場合は、[Settings ] > [> My Preferences] をクリックしてユーザ情報を表示できます。
デフォルトの権限を設定すると、ユーザはデフォルトロールに割り当てられます。これは [Settings ] > [> Administration] をクリックして表示できます。