メインコンテンツまでスキップ
Sumo Logic Japanese

シングル サインオンのための SAML のセットアップ

Group 3 Copy 5.png

Enterprise アカウントを持つ組織では、Security Assertion Markup Language (SAML) 2.0 をプロビジョニングして Sumo Logic へのユーザ アクセスのためにシングル サインオン (SSO) を有効にできます。

基本的な SAML 設定に加えて、省略可能なオンデマンド ユーザ作成 (SAML 2.0 アサーションを使用) を選択し、カスタム ログインおよびログアウト ポータルを指定できます。

SAML のプロビジョニング プロセス

プロビジョニング プロセスは次のように行われます。

  1. SSO で使用するサービス プロバイダを特定します。例:
  2. Sumo Logic で SAML パラメータを設定します。
  3. SSO システムでの Sumo Logic 用のサービス プロバイダ設定を行い、追加のロール ベース アクセス コントロール (RBAC) のロールとグループが設定されていることを確認します。
  4. プロビジョニングが完了すると、Sumo Logic にアクセス使用とするユーザは SSO システムで認証されるようになります。

制限事項

このセクションでは、Sumo における SAML に関する重要な情報を提供します。

同じ Sumo デプロイ上のすべての SAML 統合は同じ EntityID を共有する

同じ Sumo デプロイ上のすべての SAML 統合は、SP で開始された認証リクエストを同じ EntityID で送信します。そのため、すべての統合は同じ認証 URL に接続するものと IdP が想定している場合は問題が発生します。特に:

  • IdP では各 EntityID が一意である必要があるため、複数の SAML 統合を設定できない場合があります。
  • IdP で追加の統合を設定できる場合でも、IdP が共通の EntityID を持つ AuthnRequest メッセージを受信したときに、どの統合を使用すればよいかを判断できません。その場合、通常 IdP は最初の統合を使用するため、追加の統合では SAML ログイン エラーとなります。

これらの問題を回避するため、IdP ですべての接続が同じ認証 URL に接続されることが前提となっている場合には、各 SAML 統合で (SP ではなく) IdP で開始された SSO を使用することをお勧めします。

アクセス キーは SAML では管理されない

つまり、ユーザが SSO 側でオフになった場合は、そのユーザのアクセス キーはまだ有効ということになります。そのため、システム管理者はユーザを定期的に監査して、必要に応じてアクセス キーを無効にしてください。

SAML はデプロビジョニング メカニズムを提供しない 

ユーザが SSO データベースで削除または無効化されても、Sumo Logic には反映されません。そしてこれらのユーザは、SSO 経由で Sumo Logic にはログインできなくなります。システム管理者は、Sumo Logic の [Administration (管理)] > [Users and Roles (ユーザとロール)] > [Users (ユーザ)] ページでこれらのユーザを削除できます。完了すると、ユーザのコンテンツが削除を実行したシステム管理者にコピーされます。例外はアクセス キーで、SAML のロックダウンが有効でない場合は、ユーザは引き続きネイティブ アカウントでログインできます。

現時点では、各 SAML 設定では 1 件の証明書しかサポートされない

現時点では、各 SAML 設定で 1 件のトークン署名 ADFS X.509 しかサポートされません。ADFS サーバで証明書を更新する必要がある場合は、後で Sumo の証明書も更新する必要があります。

前提条件

SAML をプロビジョニングする前に、以下が揃っていることを確認してください。

  • SAML 2.0 をサポートするインストール済みのアイデンティティ プロバイダ (IdP) SSO システム。数種類の SAML IdP が利用できます。組織の IdP が SAML 2.0 をサポートしている場合は、Sumo Logic で SAML を設定できます。例: Microsoft ADFS、Okta、OneLogin。
  • X.509 証明書。この証明書は、SAML アサーションで署名を検証するために使用します。
  • 有効なメール アドレス。アサーションではメール属性 (各 SAML 設定で 1 つの SAML サブジェクトや他の SAML 属性) が必要です。メール属性の値は、有効なメール アドレスでなければなりません。組織内のユーザを一意に識別します。

Sumo での基本 SAML の設定

以下の手順に従って IdP で開始されるログインを設定します。この手順の後で、省略可能な SAML 機能 (SP で開始されるログインやオンデマンド プロビジョニングなど) を「省略可能な設定」の説明に従って有効にできます。

  1. [Administration (管理)] > [Security (セキュリティ)] > [SAML] を選択します。
  2. 既存の設定を選択するか、またはプラス ([+]) アイコンをクリックして、新しい設定を作成します。
    saml-config-list.png 
  3. [Add Configuration (設定の追加)] ページが表示されます。
    saml-add-config.png
  4. Configuration Name (設定名): SSO ポリシーを識別するための名前 (または内部でポリシーを説明する名前) を入力します。
  5. Debug Mode (デバッグ モード): このオプションを選択すると、ユーザの認証エラー時に詳細が表示されます。詳細については「SAML デバッグ情報の表示」を参照してください。
  6. Issuer (発行者): SAML IdP から組織に割り当てられている一意の URL を入力します。 

    ADFS の例:

    http://adfs.myserver.tld/adfs/services/trust
     
  7. X.509 Certificate (X.509 証明書): SAML アサーションで署名を検証するために使用する組織の X.509 証明書をコピーして貼り付けます。ADFS の場合、必要な証明書はトークン署名 ADFS X.509 証明書です。
  8. Attribute Mapping (属性のマッピング): IdP により、以下を選択します。 
    • Use SAML subject (SAML サブジェクトを使用)
    • Use SAML attribute (SAML 属性を使用)。テキスト ボックスにメール属性名を入力します。
  9. SAML の設定が完了したら、[Add (追加)] をクリックして変更内容を保存し、「SAML 設定の確認」に進んでください。省略可能な SAML 機能を設定するには、次の項を参照してください。 

SAML 設定の確認

設定の詳細を表示するには、[Configuration List (設定リスト)] を選択します。ページの右側に以下の情報が表示されます。IdP 用に設定を行う場合は、これらの URL のいずれかを指定する必要があります。

  • IdP で HTTP-POST バインディングが必要な場合は、POST URL をコピーして、自分の IdP のサイトに貼り付けてください。
  • IdP で HTTP-REDIRECT バインディングが必要な場合は、REDIRECT URL をコピーして、自分の IdP のサイトに貼り付けてください。
    SAML の詳細設定

設定を変更したい場合は鉛筆アイコンをクリックします。そうでなければ [X] をクリックしてダイアログ ボックスを閉じます。 

省略可能な設定

このセクションでは、いくつかの省略可能な SAML 機能の設定方法を説明します。

SP で開始されるログインの設定 

このセクションでは、SP で開始されるログインの設定方法を説明します。この設定では、Sumo ユーザがログインすると、Sumo は SAML AuthnRequest でユーザを適切な IdP にリダイレクトします。リクエストには、IdP がユーザを認証するために必要な情報が含まれます。IdP は、SAML アサーション (SAMLResponse) で Sumo に応答します。

以下の手順では、Sumo が IdP に対して AuthnRequest を発行するために必要な情報を提供します。

  1. SAML 設定ページの [Optional Settings (省略可能な設定)] セクションで [SP Initiated Login Configuration (SP で開始されるログインの設定)] をクリックします。  このオプションをクリックすると、[Login Path (ログイン パス)] フィールドと [Authn Request URL (認証要求 URL)] フィールドが表示されます。 

  2. Login Path (ログイン パス)。組織の一意の ID を入力します。組織に対して一意であれば、どのような英数文字列でも構いません (スペースを入れることはできません)。(他の Sumo ユーザがすでに使用しているログイン パスは使用できません。)入力した ID により、ユーザ ログイン用の一意の URL が生成されます。たとえば、「yourcompanyname」と入力すると、HTTP-REDIRECT バインディングのログイン URL は次のようになります。

    https://service.deployment.sumologic.com/sumo/saml/redirect/yourcompanyname

    また、HTTP-POST バインディングのログイン URL は次のようになります。

    https://service.deployment.sumologic.com/sumo/saml/post/yourcompanyname

    deployment にはユーザのデプロイ (us2|eu|au) が入ります。

  3. Authn Request URL (認証リクエスト URL)。IdP への SAML 認証リクエストの送信用に Sumo Logic に割り当てた URL を入力します。  [SP Initiated Login Configuration (SP で開始されるログインの設定)] チェックボックスをオンにしてある場合は、このフィールドは必須です。

    ADFS の例:

    https://adfs.myserver.tld/adfs/ls/

  4. Disable Requested Authn Context (リクエストされた認証コンテキストの無効化)。このオプションをオンにすると、Sumo はユーザの IdP に送信した SAML AuthnRequests の RequestedAuthnContext 要素を除外します。このオプションは、IdP が RequestedAuthnContext 要素をサポートしていない場合に便利です。

  5. (省略可能) Sign Authn Request (認証リクエストに署名)。このオプションを選択すると、Sumo は署名付きの認証リクエストを IdP に送信します。このオプションをクリックすると、Sumo から提供された X-509 証明書が表示されます。この証明書を Sumo が送信した認証リクエストの署名の検証に使用するように IdP を設定できます。 

  6. SAML の省略可能な機能の設定が完了したら、[Add (追加)] をクリックして変更内容を保存し、「SAML 設定の確認」に進んでください。省略可能な SAML 機能を設定するには、次の項を参照してください。 

オンデマンド ロール プロビジョニングの設定 

[Roles Attribute (ロール属性)] オプションを有効にすると、Sumo Logic は、ユーザがログインするたびにユーザにロールを割り当てます。ロールは、ユーザの IdP によって設定され、SAML アサーションの一環として割り当てられます。この機能を使用するには、次の設定が必要です。

  • Sumo ロールごとに IdP のグループを Sumo ロールと同じ名前で設定していること。たとえば、IdP では、Sumo の「Administrator」ロールとまったく同じ名前の「Administrator」グループが必要です。
  • それぞれのユーザに割り当てる Sumo ロールに基づいて、Sumo ユーザを IdP の適切なグループに割り当てていること。  
  1. [Roles Attribute (ロール属性)] チェックボックスをクリックします。[Roles Attribute (ロール属性)] フィールドが表示されます。
  2. Roles Attribute (ロール属性)。アサーションの一環として IdP から送信される SAML 属性名を入力します。たとえば、「Sumo_Role」などです。
  3. SAML の省略可能な機能の設定が完了したら、[Add (追加)] をクリックして変更内容を保存し、「SAML 設定の確認」に進んでください。省略可能な SAML 機能を設定するには、次の項を参照してください。 

オンデマンド ユーザ アカウント プロビジョニングの設定

オンデマンド プロビジョニングを設定すると、Sumo Logic は、ユーザが最初に Sumo にログインした時点でユーザ アカウントを作成します。この手順を完了するためには、IdP がユーザの識別に使用する First Name (名) 属性と Last Name (姓) 属性を指定する必要があります。

アカウントが作成されると、Sumo Logic の資格情報がユーザにメールで送信されます。(ユーザは、Sumo Logic の資格情報と SAML の権限の両方が必要です。)

  1. [On Demand Provisioning (オンデマンド プロビジョニング)] チェックボックスをクリックします。
  2. First Name Attribute (名属性)。ADFS のバージョンによっては、属性へのフル パスを指定する必要があります (実際のパスは SAML のアサーションで確認できます)。例を示します。

    http://schemas.microsoft.com/ws/2008/06/identity/claims/givenname
     
  3. Last Name Attribute (姓属性)。ADFS のバージョンによっては、属性へのフル パスを指定する必要があります (実際のパスは SAML のアサーションで確認できます)。例を示します。

    http://schemas.microsoft.com/ws/2008/06/identity/claims/surname
     
  4. On Demand Provisioning Roles (オンデマンド プロビジョニング ロール)。ユーザ アカウントのプロビジョニング時に割り当てる Sumo RBAC ロールを指定します。(ロールはすでに存在する必要があります。)
  5. SAML の省略可能な機能の設定が完了したら、[Add (追加)] をクリックして変更内容を保存し、「SAML 設定の確認」に進んでください。  

ログアウト ページの設定

Sumo Logic からログアウトした後、またはセッションがタイムアウトになった後で Sumo ユーザを特定の URL に送りたい場合は、ログアウト ページを設定します。たとえば、会社のイントラネットや、組織のユーザにアクセスさせたい他のサイトなどを選択できます。

  1. [Logout Page (ログアウト ページ)] チェックボックスをクリックします。
  2. Sumo からログアウトした後にユーザを送りたいページの URL を入力します。
  3. [Add (追加)] をクリックして設定内容を保存し、「SAML 設定の確認」に進んでください。  

複数の SAML 設定の作成

Sumo では複数の SAML 設定を作成できます。追加の SAML 設定を作成するには、プラス ([+]) アイコンをクリックして、新しい設定を作成します。前のセクションの説明に従って、設定内容を入力します。

saml-config-list.png

SAML でのサインインを要求する

SAML 設定を作成したら、ユーザ名とパスワードによるサインインを禁止し、SAML を使用してサインインするようにユーザに要求することができます。先に、「SAML の使用状況を確認する」の手順を実行してください。

SAML の使用状況を確認する

次のセクション「SAML でのサインインを要求する」で説明するように、Sumo ユーザに SAML を使用してサインインするように求める予定であれば、SAML を使用せずに直接サインインしているユーザを最初に確認するのがベストプラクティスです。特定の時間範囲に対して次のクエリを実行して、ユーザが SAML またはユーザ名とパスワードのどちらを使用してサインインしているかを確認します。

_index=sumologic_audit action=login | count by class, sourceuser 

クエリ結果には、指定した時間範囲において Sumo にアクセスした各ユーザについて、SAML を使用するか、またはユーザ名とパスワードを入力してサインインした回数が示されています。class 列では:

  •  「SAML」は、ユーザが SAML を使用してサインインしたことを示しています。  
  •  「SESSION」は、ユーザがユーザ名とパスワードで認証したことを示しています。  

指定した時間範囲において、同じユーザが両方の方式 (SAML ダイレクトサインイン) で Sumo にアクセスしている場合、クエリ結果には各方式に対して行を作成し、それぞれの方法によるサインイン回数を示します。 

saml-use-query.png

SAML でのサインインを要求する 

[Require SAML Sign In (SAML サインインを要求)] をクリックして、SAML によるサインインをユーザに要求します。

require-saml.png

Sumo は、問題が発生した場合でも Sumo にアクセスできるようにするための予防策として、ユーザのアカウントを自動的に [Allow these users to sign in using passwords in addition to SAML (このユーザに SAML に加えてパスワードを使用したサインインを許可する)] の下にホワイトリスト ユーザとして登録します。

世界規模の会社や大規模のチームの場合は、SAML をバイパスできるユーザを 1 人だけ登録しても実用的ではありません。[Allow these users to sign in using passwords in addition to SAML (このユーザに SAML に加えてパスワードを使用したサインインを許可する)] の隣にある (+) アイコンをクリックすることで、ホワイトリスト ユーザを追加できます。

allow-users.png

SAML によるサインインを強制したい場合でも、すべてのユーザにパスワードによる Sumo へのアクセスを禁止することはお勧めしません。最後のホワイトリスト ユーザを削除しようとすると、その行為は推奨されないことを通知する警告が表示されます。

prevent-password-based-login.png

SAML ロックダウンの制限

[Require SAML Sign In (SAML サインインを要求)] オプションが選択されている場合、システム管理者は、ユーザ アカウントについて以下の 2 つの変更を行うことはできません。

  • SAML がロックダウンされている間は、ユーザのログイン メール アドレスを変更できません。
  • ログインの失敗が規定回数を超えてユーザのアカウントがロックダウンされた場合は、SAML がロックダウンされている間はアカウントのロックを解除できません。

ユーザのログイン メール アドレスを変更する、またはユーザ アカウントのロックを解除するには、[Require SAML Sign In (SAML サインインを要求)] オプションをオフにしてから変更を行い、その後で再び [Require SAML Sign In (SAML サインインを要求)] をオンにしてください。

 

  • この記事は役に立ちましたか?