シングル サインオンのための SAML のセットアップ
Enterprise アカウントを持つ組織では、Security Assertion Markup Language (SAML) 2.0 をプロビジョニングして Sumo Logic へのユーザ アクセスのためにシングル サインオン (SSO) を有効にできます。
基本的な SAML 設定に加えて、省略可能なオンデマンド ユーザ作成 (SAML 2.0 アサーションを使用) を選択し、カスタム ログインおよびログアウト ポータルを指定できます。
SAML のプロビジョニング プロセス
プロビジョニング プロセスは次のように行われます。
- SSO で使用するサービス プロバイダを特定します。例:
- Sumo Logic で SAML パラメータを設定します。
- SSO システムでの Sumo Logic 用のサービス プロバイダ設定を行い、追加のロール ベース アクセス コントロール (RBAC) のロールとグループが設定されていることを確認します。
- プロビジョニングが完了すると、Sumo Logic にアクセス使用とするユーザは SSO システムで認証されるようになります。
制限事項
このセクションでは、Sumo における SAML に関する重要な情報を提供します。
同じ Sumo デプロイ上のすべての SAML 統合は同じ EntityID を共有する
同じ Sumo デプロイ上のすべての SAML 統合は、SP で開始された認証リクエストを同じ EntityID で送信します。そのため、すべての統合は同じ認証 URL に接続するものと IdP が想定している場合は問題が発生します。特に:
- IdP では各 EntityID が一意である必要があるため、複数の SAML 統合を設定できない場合があります。
- IdP で追加の統合を設定できる場合でも、IdP が共通の EntityID を持つ AuthnRequest メッセージを受信したときに、どの統合を使用すればよいかを判断できません。その場合、通常 IdP は最初の統合を使用するため、追加の統合では SAML ログイン エラーとなります。
これらの問題を回避するため、IdP ですべての接続が同じ認証 URL に接続されることが前提となっている場合には、各 SAML 統合で (SP ではなく) IdP で開始された SSO を使用することをお勧めします。
アクセス キーは SAML では管理されない
つまり、ユーザが SSO 側でオフになった場合は、そのユーザのアクセス キーはまだ有効ということになります。そのため、システム管理者はユーザを定期的に監査して、必要に応じてアクセス キーを無効にしてください。
SAML はデプロビジョニング メカニズムを提供しない
ユーザが SSO データベースで削除または無効化されても、Sumo Logic には反映されません。そしてこれらのユーザは、SSO 経由で Sumo Logic にはログインできなくなります。システム管理者は、Sumo Logic の [Administration (管理)] > [Users and Roles (ユーザとロール)] > [Users (ユーザ)] ページでこれらのユーザを削除できます。完了すると、ユーザのコンテンツが削除を実行したシステム管理者にコピーされます。例外はアクセス キーで、SAML のロックダウンが有効でない場合は、ユーザは引き続きネイティブ アカウントでログインできます。
現時点では、各 SAML 設定では 1 件の証明書しかサポートされない
現時点では、各 SAML 設定で 1 件のトークン署名 ADFS X.509 しかサポートされません。ADFS サーバで証明書を更新する必要がある場合は、後で Sumo の証明書も更新する必要があります。
前提条件
SAML をプロビジョニングする前に、以下が揃っていることを確認してください。
- SAML 2.0 をサポートするインストール済みのアイデンティティ プロバイダ (IdP) SSO システム。数種類の SAML IdP が利用できます。組織の IdP が SAML 2.0 をサポートしている場合は、Sumo Logic で SAML を設定できます。例: Microsoft ADFS、Okta、OneLogin。
- X.509 証明書。この証明書は、SAML アサーションで署名を検証するために使用します。
- 有効なメール アドレス。アサーションではメール属性 (各 SAML 設定で 1 つの SAML サブジェクトや他の SAML 属性) が必要です。メール属性の値は、有効なメール アドレスでなければなりません。組織内のユーザを一意に識別します。
Sumo での基本 SAML の設定
以下の手順に従って IdP で開始されるログインを設定します。この手順の後で、省略可能な SAML 機能 (SP で開始されるログインやオンデマンド プロビジョニングなど) を「省略可能な設定」の説明に従って有効にできます。
- [Administration (管理)] > [Security (セキュリティ)] > [SAML] を選択します。
- 既存の設定を選択するか、またはプラス ([+]) アイコンをクリックして、新しい設定を作成します。
- [Add Configuration (設定の追加)] ページが表示されます。
- Configuration Name (設定名): SSO ポリシーを識別するための名前 (または内部でポリシーを説明する名前) を入力します。
- Debug Mode (デバッグ モード): このオプションを選択すると、ユーザの認証エラー時に詳細が表示されます。詳細については「SAML デバッグ情報の表示」を参照してください。
- Issuer (発行者): SAML IdP から組織に割り当てられている一意の URL を入力します。
ADFS の例:
http://adfs.myserver.tld/adfs/services/trust
- X.509 Certificate (X.509 証明書): SAML アサーションで署名を検証するために使用する組織の X.509 証明書をコピーして貼り付けます。ADFS の場合、必要な証明書はトークン署名 ADFS X.509 証明書です。
- Attribute Mapping (属性のマッピング): IdP により、以下を選択します。
- Use SAML subject (SAML サブジェクトを使用)
- Use SAML attribute (SAML 属性を使用)。テキスト ボックスにメール属性名を入力します。
- SAML の設定が完了したら、[Add (追加)] をクリックして変更内容を保存し、「SAML 設定の確認」に進んでください。省略可能な SAML 機能を設定するには、次の項を参照してください。
SAML 設定の確認
設定の詳細を表示するには、[Configuration List (設定リスト)] を選択します。ページの右側に以下の情報が表示されます。IdP 用に設定を行う場合は、これらの URL のいずれかを指定する必要があります。
- IdP で HTTP-POST バインディングが必要な場合は、POST URL をコピーして、自分の IdP のサイトに貼り付けてください。
- IdP で HTTP-REDIRECT バインディングが必要な場合は、REDIRECT URL をコピーして、自分の IdP のサイトに貼り付けてください。
設定を変更したい場合は鉛筆アイコンをクリックします。そうでなければ [X] をクリックしてダイアログ ボックスを閉じます。
省略可能な設定
このセクションでは、いくつかの省略可能な SAML 機能の設定方法を説明します。
SP で開始されるログインの設定
このセクションでは、SP で開始されるログインの設定方法を説明します。この設定では、Sumo ユーザがログインすると、Sumo は SAML AuthnRequest でユーザを適切な IdP にリダイレクトします。リクエストには、IdP がユーザを認証するために必要な情報が含まれます。IdP は、SAML アサーション (SAMLResponse) で Sumo に応答します。
以下の手順では、Sumo が IdP に対して AuthnRequest を発行するために必要な情報を提供します。
-
SAML 設定ページの [Optional Settings (省略可能な設定)] セクションで [SP Initiated Login Configuration (SP で開始されるログインの設定)] をクリックします。 このオプションをクリックすると、[Login Path (ログイン パス)] フィールドと [Authn Request URL (認証要求 URL)] フィールドが表示されます。
-
Login Path (ログイン パス)。組織の一意の ID を入力します。組織に対して一意であれば、どのような英数文字列でも構いません (スペースを入れることはできません)。(他の Sumo ユーザがすでに使用しているログイン パスは使用できません。)入力した ID により、ユーザ ログイン用の一意の URL が生成されます。たとえば、「yourcompanyname」と入力すると、HTTP-REDIRECT バインディングのログイン URL は次のようになります。
また、HTTP-POST バインディングのログイン URL は次のようになります。https://service.deployment.sumologic.com/sumo/saml/redirect/yourcompanyname
https://service.deployment.sumologic.com/sumo/saml/post/yourcompanyname
deployment にはユーザのデプロイ (us2|eu|au) が入ります。
-
Authn Request URL (認証リクエスト URL)。IdP への SAML 認証リクエストの送信用に Sumo Logic に割り当てた URL を入力します。 [SP Initiated Login Configuration (SP で開始されるログインの設定)] チェックボックスをオンにしてある場合は、このフィールドは必須です。
ADFS の例:
https://adfs.myserver.tld/adfs/ls/
-
Disable Requested Authn Context (リクエストされた認証コンテキストの無効化)。このオプションをオンにすると、Sumo はユーザの IdP に送信した SAML AuthnRequests の RequestedAuthnContext 要素を除外します。このオプションは、IdP が RequestedAuthnContext 要素をサポートしていない場合に便利です。
-
(省略可能) Sign Authn Request (認証リクエストに署名)。このオプションを選択すると、Sumo は署名付きの認証リクエストを IdP に送信します。このオプションをクリックすると、Sumo から提供された X-509 証明書が表示されます。この証明書を Sumo が送信した認証リクエストの署名の検証に使用するように IdP を設定できます。
-
SAML の省略可能な機能の設定が完了したら、[Add (追加)] をクリックして変更内容を保存し、「SAML 設定の確認」に進んでください。省略可能な SAML 機能を設定するには、次の項を参照してください。
オンデマンド ロール プロビジョニングの設定
[Roles Attribute (ロール属性)] オプションを有効にすると、Sumo Logic は、ユーザがログインするたびにユーザにロールを割り当てます。ロールは、ユーザの IdP によって設定され、SAML アサーションの一環として割り当てられます。この機能を使用するには、次の設定が必要です。
- Sumo ロールごとに IdP のグループを Sumo ロールと同じ名前で設定していること。たとえば、IdP では、Sumo の「Administrator」ロールとまったく同じ名前の「Administrator」グループが必要です。
- それぞれのユーザに割り当てる Sumo ロールに基づいて、Sumo ユーザを IdP の適切なグループに割り当てていること。
- [Roles Attribute (ロール属性)] チェックボックスをクリックします。[Roles Attribute (ロール属性)] フィールドが表示されます。
- Roles Attribute (ロール属性)。アサーションの一環として IdP から送信される SAML 属性名を入力します。たとえば、「Sumo_Role」などです。
- SAML の省略可能な機能の設定が完了したら、[Add (追加)] をクリックして変更内容を保存し、「SAML 設定の確認」に進んでください。省略可能な SAML 機能を設定するには、次の項を参照してください。
オンデマンド ユーザ アカウント プロビジョニングの設定
オンデマンド プロビジョニングを設定すると、Sumo Logic は、ユーザが最初に Sumo にログインした時点でユーザ アカウントを作成します。この手順を完了するためには、IdP がユーザの識別に使用する First Name (名) 属性と Last Name (姓) 属性を指定する必要があります。
アカウントが作成されると、Sumo Logic の資格情報がユーザにメールで送信されます。(ユーザは、Sumo Logic の資格情報と SAML の権限の両方が必要です。)
- [On Demand Provisioning (オンデマンド プロビジョニング)] チェックボックスをクリックします。
- First Name Attribute (名属性)。ADFS のバージョンによっては、属性へのフル パスを指定する必要があります (実際のパスは SAML のアサーションで確認できます)。例を示します。
http://schemas.microsoft.com/ws/2008/06/identity/claims/givenname
- Last Name Attribute (姓属性)。ADFS のバージョンによっては、属性へのフル パスを指定する必要があります (実際のパスは SAML のアサーションで確認できます)。例を示します。
http://schemas.microsoft.com/ws/2008/06/identity/claims/surname
- On Demand Provisioning Roles (オンデマンド プロビジョニング ロール)。ユーザ アカウントのプロビジョニング時に割り当てる Sumo RBAC ロールを指定します。(ロールはすでに存在する必要があります。)
- SAML の省略可能な機能の設定が完了したら、[Add (追加)] をクリックして変更内容を保存し、「SAML 設定の確認」に進んでください。
ログアウト ページの設定
Sumo Logic からログアウトした後、またはセッションがタイムアウトになった後で Sumo ユーザを特定の URL に送りたい場合は、ログアウト ページを設定します。たとえば、会社のイントラネットや、組織のユーザにアクセスさせたい他のサイトなどを選択できます。
- [Logout Page (ログアウト ページ)] チェックボックスをクリックします。
- Sumo からログアウトした後にユーザを送りたいページの URL を入力します。
- [Add (追加)] をクリックして設定内容を保存し、「SAML 設定の確認」に進んでください。