このページでは、基本的な SAML 認証の設定のガイドラインについて説明します。

ID プロバイダーの SAML 認証の設定

SAML 2.0 プロトコルを使用して、AppDynamics コントローラへのシングルサインオンアクセスを有効にするための ID プロバイダーを設定できます。詳細な設定手順については、ID プロバイダーのマニュアルを参照してください。

ID プロバイダーの SAML 設定

ID プロバイダーは、SAML 設定の AppDynamics コントローラに関して次の情報を必要とします。<controller_domain> は、AppDynamics SaaS コントローラまたはオンプレミスコントローラのいずれかのドメインに指定することができます。

設定説明
Audience URI (Service Provider Entity ID)

SAML アサーションを対象とした固有識別子。ほとんどの場合、サービスプロバイダーが別の識別子を使用することを決定する場合を除き、サービスプロバイダーのエンティティ ID です。

  • 構文: http://<controller_domain>/controller
  • 例: http://yourcompany.saas.appdynamics.com/controller
Single Sign-On URL (Assertion Consumer URL)

SAML 認証にサービスを提供する AppDynamics エンドポイント。以下に示すように、クエリ文字列パラメータ accountName を使用して AppDynamics のアカウント名を指定する必要があります。

  • 構文: http://<controller_domain>/controller/saml-auth?accountName=<account_name>
  • 例: http://yourcompany.saas.appdynamics.com/controller/saml-auth?accountName=myaccount

ID プロバイダーの SAML 属性(推奨)

属性は、AppDynamics アカウントの SAML ユーザにマッピングする ID プロバイダーで設定します。属性が設定されている場合、コントローラはユーザ名や電子メールなどのユーザ情報を表示します。IDP でこれらの属性を変更すると、ユーザが正常にログインしたときに AppDynamics コントローラでマッピングされた SAML 属性が更新されます。

次の表では、IDP の属性例が、コントローラの [Username Attribute]、[Display Name Attribute]、および [Email Attribute] 設定にマッピングされています。

属性名の例属性値の例説明
Username AttributeUser.loginName

SAML 応答のユーザの固有識別子。この値は AppDynamics username フィールドに対応しているため、値は AppDynamics アカウント内のすべての SAML ユーザ間で一意である必要があります。

ユーザ名がマッピングされていない場合、AppDynamics は emailaddress フィールドが含まれている NameId から username を取得します。

Display Name AttributeUser.fullNameAppDynamics の [Name] フィールドに対応するユーザの非公式の名前。 
Email AttributeUser.emailAppDynamics の [email] フィールドに対応するユーザの電子メールアドレス。 

コントローラからの SAML 認証の設定

コントローラで SAML 認証の設定を行うには、次の手順を実行します。

SAML 認証の設定

  1. コントローラに移動します。

  2. アカウント所有者としてログインします。「SAML を設定できるユーザ」を参照してください。  

  3. コントローラ UI の AppDynamics アカウントの管理者権限を持つユーザとして、[Settings](Settings)[> Administration] をクリックします。 

  4. [Authentication Provider] タブをクリックし、[SAML] を選択します。

  5. [Authentication Provider] > [SAML] から、次の SAML 構成設定を入力します。

    • Login URL:コントローラがサービスプロバイダー(SP)によるログイン要求を転送する SAML ログイン URL。このログイン URL は必須です。

    • Logout URL:ログアウトした後にコントローラがユーザーをリダイレクトする URL。ログアウト URL を指定しない場合、ユーザはログアウト時に AppDynamics ログイン画面を表示します。 

    • Certificate:ID プロバイダー設定の X.509 証明書。BEGIN CERTIFICATE と END CERTIFICATE の区切り文字間に証明書を貼り付けます。ソース証明書の区切り文字「BEGIN CERTIFICATE」と「END CERTIFICATE」はコピーしないようにしてください。  

SAML 属性マッピングの設定(オプション)

[SAML Attribute Mappings] から、次を使用して AppDynamics コントローラで SAML 認証ユーザを識別する方法を指定できます。

  • Username Attribute:SAML 応答のユーザの固有識別子。この値は AppDynamics username フィールドに対応しているため、値はコントローラアカウント内のすべての SAML ユーザー間で一意である必要があります。次のサンプル応答の場合、この設定の値は User.OpenIDName になります。
  • Display Name Attribute:AppDynamics の Name フィールドに対応するユーザの非公式の名前。サンプル応答の場合、この値は User.fullName になります。
  • Email Attribute:AppDynamics の email フィールドに対応するユーザの電子メールアドレス。サンプル応答の場合、この値は User.email になります。

AppDynamics ロールへの SAML 認証ユーザのマッピング

SAML Group Mappings, から、SAML 認証ユーザをいずれかのコントローラロールにマッピングできます。

  • Default Role:ユーザの ID アサーションに SAML グループ属性がない場合、認証ユーザには最初のログイン時に SAML デフォルトロールが割り当てられます。デフォルトロールは削除できないため、最小限の権限を付与することをお勧めします。AppDynamics 管理者は、ユーザがアカウントを持っている場合に AppDynamics でユーザのロールを手動で確認して調整できます。 
  • SAML Group:SAML グループメンバーシップ属性を AppDynamics のロールにマッピングできます。この方法を使用すると、ユーザ認証のたびにコントローラで SAML アサーションが確認され、必要に応じてロールの割り当てが更新されます。
  • Internal Group:SAML 認証ユーザが AppDynamics の内部ユーザアカウントと同じユーザ名を持ち、マッピングされた SAML グループ属性が SAML アサーションに含まれない場合、コントローラはユーザに AppDynamics 内部アカウントのロールを付与します。 

デフォルト権限の構成

SAML 属性をロールにマッピングする代わりに、指定した権限を持つデフォルトロールにユーザを割り当てることもできます。

  1. デフォルト権限を使用するには、[Default Permissions] 設定を [SAML Group Mappings] リストで編集します。
  2. [Default Group Mapping] ダイアログで、すべての認証ユーザが取得する AppDynamics ロールを選択します。 

SAML 認証設定の確認

SAML 認証が正しく設定されていることを確認する最善の方法は、AppDynamics コントローラにログインすることです。

この手順では、サービスプロバイダー(コントローラ)の SAML フローについて示し、SAML 要求と応答について説明します。IDP から SAML フローを開始することもできます。

  1. AppDynamics コントローラに移動します。
  2. サードパーティ製サービスの [Login] ダイアログが表示されます。これは IDP です。
  3. [Login] をクリックします。
  4. IDP にリダイレクトされたら、クレデンシャルを入力して送信します。 
  5. IDP によって AppDynamics コントローラにリダイレクトされます。 

    (オンプレミスのみ)リダイレクトされてもコントローラがロードできなかった場合は、IDP からの要求 URL が内部コントローラの URL と異なることが原因である可能性があります。最も一般的な原因は、HTTPS を使用するようにコントローラが設定されているのにリダイレクトが HTTP を使用したか、コントローラのデフォルトポートを変更したことです。「Support Advisory: SAML Authentication Fails after 4.3 Upgrade」の推奨される解決方法を参照してください。

  6. コントローラでユーザアカウントにマッピングするように SAML 属性を設定した場合は、[Settings Settings] > [> My Preferences] をクリックしてユーザ情報を表示できます。
  7. デフォルトの権限を設定すると、ユーザはデフォルトロールに割り当てられます。これは [Settings Settings] > [> Administration] をクリックして表示できます。