Sumo Logic と Bitium との統合

最後の更新
PDFとして保存

Bitium は、クラウドベースの ID 管理プロバイダであり、Sumo Logic の SAML 2.0 API と統合することで、Bitium のシングルサインオン (SSO) 資格情報を利用して Sumo Logic にログインできるようになります。

Bitum のサイトで、Bitum のトライアルアカウントにサインアップできます。

Sumo Logic に接続するための Bitium SSO アプリケーションの作成

Bitium にサインインします。
Bitium のメニューから [Manage (管理)] を選択肢、[Manage Apps (アプリケーションの管理)] を選択します。
[Apps (アプリケーション)] ページで Add an App (アプリケーションの追加)] を選択します。
「Sumo Logic」を検索して Sumo Logic App for Bitium を探します。
[App Install (アプリケーションのインストール)] ページで [Individual Account (個別アカウント)] を選択します。[Single Sign-On (シングルサインオン)] で [SAML Authentication (SAML 認証)] を選択します。
[Install App (アプリケーションのインストール)] を選択して次のステップに進みます。
[Install Success (インストール成功)] ページで [Configure Single Sign-On (シングルサインオンの設定)] をクリックします。
[Single Sign-On Provider (シングルサインオンプロバイダ)] で [SAML Authentication (認証)] を選択します。
アプリケーション用の SAML 設定の詳細が表示されます。Sumo Logic の設定では、このページの以下のパラメータを使用します。
- EntityID
- Login URL (ログイン URL)
- LogOut URL (ログアウト URL)
- X.509 Certificate (X.509 証明書)
これらのパラメータは次の手順「Sumo Logic での SAML の設定」で使用しますので、このページは開いたままにしておきます。

Sumo Logic での SAML の設定

システム管理者として Sumo Logic にログインします。
[Administration (管理)] > [Security (セキュリティ)] > [SAML] を選択します。
[Configure (設定)] をクリックして SAML を設定します。
- Configuration Name (設定名)。SSO ポリシーの名前 (または内部でポリシーを説明する名前) を入力します。
- Debug Mode (デバッグモード): このオプションを選択すると、エラー時に詳細が表示されます。詳細については「SAML デバッグモードの使用」を参照してください。
- Issuer (発行者)。組織の SAML IdP に関連付けられている一意の URL を入力します。これは、前のセクションの手順 12 の Identity Provider Issuer (ID プロバイダ発行者) です。
- X.509 Certificate (X.509 証明書)。SAML アサーションで署名を検証するために使用する組織の X.509 証明書をコピーして貼り付けます。これも手順 12 の Certificate (証明書) です。
- AttributeMapping (属性のマッピング)。IdP により、以下を選択します。
  - Use SAML subject (SAML サブジェクトを使用) または
  - Use SAML attribute (SAML 属性を使用)。テキストボックスにメール属性名を入力します。
- SP Initiated Login Configuration (SP で開始されるログイン)。チェックボックスをオンにします。Issuer URL (発行者 URL) から一意のハッシュをコピーして、[Login Path (ログインパス)] フィールドに貼り付けます。
- Login Path (ログインパス)。組織の一意の ID を入力します。組織に対して一意であれば、どのような英数文字列でも構いません。入力した ID により、ユーザログイン用の一意の URL が生成されます。たとえば、「yourcompanyname」と入力すると、HTTP-REDIRECT バインディングのログイン URL は次のようになります。
  https://service.deployment.sumologic.com/sumo/saml/redirect/yourcompanyname
  また、HTTP-POST バインディングのログイン URL は次のようになります。https://service.deployment.sumologic.com/sumo/saml/post/yourcompanyname
  
  deployment にはユーザのデプロイ (us2|eu|au) が入ります。
- Authn Request URL (認証リクエスト URL)。空白にしておきます。
- Disable Requested Authn Context (リクエストされた認証コンテキストの無効化)。このオプションをオンにすると、Sumo はユーザの IdP に送信した SAML AuthnRequests の RequestedAuthnContext 要素を除外します。このオプションは、IdP が RequestedAuthnContext 要素をサポートしていない場合に便利です。
- Sign Authn Request (認証リクエストに署名)。(省略可能)このオプションを選択すると、Sumo は署名付きの認証リクエストを IdP に送信します。このオプションをクリックすると、Sumo から提供された X-509 証明書が表示されます。この証明書を Sumo が送信した認証リクエストの署名の検証に使用するように IdP を設定できます。
- Roles Attribute (ロール属性): このオプションをクリックすると、[Roles Attribute (ロール属性))] フィールドが表示されます。アサーションの一環として IdP から送信される SAML 属性名を入力します。詳細については、「シングルサインオンのための SAML のセットアップ」を参照してください。
- On Demand Provisioning (オンデマンドプロビジョニング)。このオプションを選択すると、ユーザが最初にログインした時点で Sumo Logic がユーザアカウントを作成します。詳細については、「シングルサインオンのための SAML のセットアップ」を参照してください。
  - First Name (名)
  - Last Name (姓)
  - On Demand Provisioning Roles (オンデマンドプロビジョニングロール)。すべての Bitium ユーザのロール (システム管理者など) を追加します。
- Logout Page (ログアウトページ): このオプションを選択して URL を入力すると、Sumo Logic からログアウトしたすべてのユーザがその URL に送られます。詳細については、「シングルサインオンのための SAML のセットアップ」を参照してください。
[Add (追加)] をクリックします。
SAML 設定パラメータのサマリを表示します。Bitium でこれらの設定を使用できるように、このダイアログは開いたままにしておきます。

Bitium への Sumo Logic の SAML 設定の追加

Bitium の [SAML Configuration (SAML の設定)] ページに戻ります。
[SAML URL] テキストボックスに、前のセクションの手順 6 で表示した Authentication Request (認証リクエスト) URL を入力します。
[Save Changes (変更内容を保存)] をクリックして、アプリケーションのインストールを完了します。
必要に応じて Sumo Logic アプリケーションにユーザを追加します。
これで、Bitium 経由で Sumo Logic にログインできるようになりました。

複数の SAML 設定の作成

Sumo では複数の SAML 設定を作成できます。追加の SAML 設定を作成するには、プラス ([+]) アイコンをクリックして、新しい設定を作成します。前のセクションの説明に従って、設定内容を入力します。

SAML でのサインインを要求する

SAML 設定を作成したら、ユーザ名とパスワードによるサインインを禁止し、SAML を使用してサインインするようにユーザに要求することができます。先に、「SAML の使用状況を確認する」の手順を実行してください。

SAML の使用状況を確認する

次のセクション「SAML でのサインインを要求する」で説明するように、Sumo ユーザに SAML を使用してサインインするように求める予定であれば、SAML を使用せずに直接サインインしているユーザを最初に確認するのがベストプラクティスです。特定の時間範囲に対して次のクエリを実行して、ユーザが SAML またはユーザ名とパスワードのどちらを使用してサインインしているかを確認します。

_index=sumologic_audit action=login | count by class, sourceuser

クエリ結果には、指定した時間範囲において Sumo にアクセスした各ユーザについて、SAML を使用するか、またはユーザ名とパスワードを入力してサインインした回数が示されています。class 列では:

「SAML」は、ユーザが SAML を使用してサインインしたことを示しています。
「SESSION」は、ユーザがユーザ名とパスワードで認証したことを示しています。

指定した時間範囲において、同じユーザが両方の方式 (SAML とダイレクトサインイン) で Sumo にアクセスしている場合、クエリ結果には各方式に対して行を作成し、それぞれの方法によるサインイン回数を示します。

SAML でのサインインを要求する

[Require SAML Sign In (SAML サインインを要求)] をクリックして、SAML によるサインインをユーザに要求します。

Sumo は、問題が発生した場合でも Sumo にアクセスできるようにするための予防策として、ユーザのアカウントを自動的に [Allow these users to sign in using passwords in addition to SAML (このユーザに SAML に加えてパスワードを使用したサインインを許可する)] の下にホワイトリストユーザとして登録します。

世界規模の会社や大規模のチームの場合は、SAML をバイパスできるユーザを 1 人だけ登録しても実用的ではありません。[Allow these users to sign in using passwords in addition to SAML (このユーザに SAML に加えてパスワードを使用したサインインを許可する)] の隣にある (+) アイコンをクリックすることで、ホワイトリストユーザを追加できます。

SAML によるサインインを強制したい場合でも、すべてのユーザにパスワードによる Sumo へのアクセスを禁止することはお勧めしません。最後のホワイトリストユーザを削除しようとすると、その行為は推奨されないことを通知する警告が表示されます。

SAML ロックダウンの制限

[Require SAML Sign In (SAML サインインを要求)] オプションが選択されている場合、システム管理者は、ユーザアカウントについて以下の 2 つの変更を行うことはできません。

SAML がロックダウンされている間は、ユーザのログインメールアドレスを変更できません。
ログインの失敗が規定回数を超えてユーザのアカウントがロックダウンされた場合は、SAML がロックダウンされている間はアカウントのロックを解除できません。

ユーザのログインメールアドレスを変更する、またはユーザアカウントのロックを解除するには、[Require SAML Sign In (SAML サインインを要求)] オプションをオフにしてから変更を行い、その後で再び [Require SAML Sign In (SAML サインインを要求)] をオンにしてください。