Download PDF
Download page 基本的な SAML 認証の設定.
基本的な SAML 認証の設定
Related pages:
このページでは、基本的な SAML 認証の設定のガイドラインについて説明します。
ID プロバイダーの SAML 認証の設定
SAML 2.0 プロトコルを使用して、AppDynamics コントローラへのシングルサインオンアクセスを有効にするための ID プロバイダーを設定できます。詳細な設定手順については、ID プロバイダーのマニュアルを参照してください。
ID プロバイダーの SAML 設定
ID プロバイダーは、SAML 設定の AppDynamics コントローラに関して次の情報を必要とします。<controller_domain>
は、AppDynamics SaaS コントローラまたはオンプレミスコントローラのいずれかのドメインに指定することができます。
設定 | 説明 |
---|---|
Audience URI (Service Provider Entity ID) | SAML アサーションを対象とした固有識別子。ほとんどの場合、サービスプロバイダーが別の識別子を使用することを決定する場合を除き、サービスプロバイダーのエンティティ ID です。
|
Single Sign-On URL (Assertion Consumer URL) | SAML 認証にサービスを提供する AppDynamics エンドポイント。以下に示すように、クエリ文字列パラメータ
|
ID プロバイダーの SAML 属性(推奨)
属性は、AppDynamics アカウントの SAML ユーザにマッピングする ID プロバイダーで設定します。属性が設定されている場合、コントローラはユーザ名や電子メールなどのユーザ情報を表示します。IDP でこれらの属性を変更すると、ユーザが正常にログインしたときに AppDynamics コントローラでマッピングされた SAML 属性が更新されます。
次の表では、IDP の属性例が、コントローラの [Username Attribute]、[Display Name Attribute]、および [Email Attribute] 設定にマッピングされています。
属性名の例 | 属性値の例 | 説明 |
---|---|---|
Username Attribute | User.loginName | SAML 応答のユーザの固有識別子。この値は AppDynamics ユーザ名がマッピングされていない場合、AppDynamics は |
Display Name Attribute | User.fullName | AppDynamics の [Name ] フィールドに対応するユーザの非公式の名前。 |
Email Attribute | User.email | AppDynamics の [email ] フィールドに対応するユーザの電子メールアドレス。 |
コントローラからの SAML 認証の設定
コントローラで SAML 認証の設定を行うには、次の手順を実行します。
SAML 認証の設定
コントローラに移動します。
アカウント所有者としてログインします。「SAML を設定できるユーザ」を参照してください。
コントローラ UI の AppDynamics アカウントの管理者権限を持つユーザとして、[Settings]()[> Administration] をクリックします。
[Authentication Provider] タブをクリックし、[SAML] を選択します。
[Authentication Provider] > [SAML] から、次の SAML 構成設定を入力します。
Login URL:コントローラがサービスプロバイダー(SP)によるログイン要求を転送する SAML ログイン URL。このログイン URL は必須です。
Logout URL:ログアウトした後にコントローラがユーザーをリダイレクトする URL。ログアウト URL を指定しない場合、ユーザはログアウト時に AppDynamics ログイン画面を表示します。
Certificate:ID プロバイダー設定の X.509 証明書。
BEGIN CERTIFICATE
とEND CERTIFICATE
の区切り文字間に証明書を貼り付けます。ソース証明書の区切り文字「BEGIN CERTIFICATE
」と「END CERTIFICATE
」はコピーしないようにしてください。
SAML 属性マッピングの設定(オプション)
[SAML Attribute Mappings] から、次を使用して AppDynamics コントローラで SAML 認証ユーザを識別する方法を指定できます。
- Username Attribute:SAML 応答のユーザの固有識別子。この値は AppDynamics
username
フィールドに対応しているため、値はコントローラアカウント内のすべての SAML ユーザー間で一意である必要があります。次のサンプル応答の場合、この設定の値はUser.OpenIDName
になります。 - Display Name Attribute:AppDynamics の Name フィールドに対応するユーザの非公式の名前。サンプル応答の場合、この値は
User.fullName
になります。 - Email Attribute:AppDynamics の email フィールドに対応するユーザの電子メールアドレス。サンプル応答の場合、この値は
User.email
になります。
AppDynamics ロールへの SAML 認証ユーザのマッピング
SAML Group Mappings, から、SAML 認証ユーザをいずれかのコントローラロールにマッピングできます。
- Default Role:ユーザの ID アサーションに SAML グループ属性がない場合、認証ユーザには最初のログイン時に SAML デフォルトロールが割り当てられます。デフォルトロールは削除できないため、最小限の権限を付与することをお勧めします。AppDynamics 管理者は、ユーザがアカウントを持っている場合に AppDynamics でユーザのロールを手動で確認して調整できます。
- SAML Group:SAML グループメンバーシップ属性を AppDynamics のロールにマッピングできます。この方法を使用すると、ユーザ認証のたびにコントローラで SAML アサーションが確認され、必要に応じてロールの割り当てが更新されます。
- Internal Group:SAML 認証ユーザが AppDynamics の内部ユーザアカウントと同じユーザ名を持ち、マッピングされた SAML グループ属性が SAML アサーションに含まれない場合、コントローラはユーザに AppDynamics 内部アカウントのロールを付与します。
デフォルト権限の構成
SAML 属性をロールにマッピングする代わりに、指定した権限を持つデフォルトロールにユーザを割り当てることもできます。
- デフォルト権限を使用するには、[Default Permissions] 設定を [SAML Group Mappings] リストで編集します。
- [Default Group Mapping] ダイアログで、すべての認証ユーザが取得する AppDynamics ロールを選択します。
SAML 認証設定の確認
SAML 認証が正しく設定されていることを確認する最善の方法は、AppDynamics コントローラにログインすることです。
この手順では、サービスプロバイダー(コントローラ)の SAML フローについて示し、SAML 要求と応答について説明します。IDP から SAML フローを開始することもできます。
- AppDynamics コントローラに移動します。
- サードパーティ製サービスの [Login] ダイアログが表示されます。これは IDP です。
- [Login] をクリックします。
- IDP にリダイレクトされたら、クレデンシャルを入力して送信します。
IDP によって AppDynamics コントローラにリダイレクトされます。
(オンプレミスのみ)リダイレクトされてもコントローラがロードできなかった場合は、IDP からの要求 URL が内部コントローラの URL と異なることが原因である可能性があります。最も一般的な原因は、HTTPS を使用するようにコントローラが設定されているのにリダイレクトが HTTP を使用したか、コントローラのデフォルトポートを変更したことです。「Support Advisory: SAML Authentication Fails after 4.3 Upgrade」の推奨される解決方法を参照してください。
- コントローラでユーザアカウントにマッピングするように SAML 属性を設定した場合は、[Settings ] > [> My Preferences] をクリックしてユーザ情報を表示できます。
- デフォルトの権限を設定すると、ユーザはデフォルトロールに割り当てられます。これは [Settings ] > [> Administration] をクリックして表示できます。