メインコンテンツまでスキップ
Sumo Logic Japanese

Sumo Logic と Bitium との統合

Bitium は、クラウド ベースの ID 管理プロバイダであり、Sumo Logic の SAML 2.0 API と統合することで、Bitium のシングル サインオン (SSO) 資格情報を利用して Sumo Logic にログインできるようになります。

Bitum のサイトで、Bitum のトライアル アカウントにサインアップできます。 

Sumo Logic に接続するための Bitium SSO アプリケーションの作成

  1. Bitium にサインインします。
  2. Bitium のメニューから [Manage (管理)] を選択肢、[Manage Apps (アプリケーションの管理)] を選択します。
    アプリケーションの管理
  3. [Apps (アプリケーション)] ページで Add an App (アプリケーションの追加)] を選択します。
    アプリケーションの追加
  4. 「Sumo Logic」を検索して Sumo Logic App for Bitium を探します。
    Sumo Logic の検索
  5. [App Install (アプリケーションのインストール)] ページで [Individual Account (個別アカウント)] を選択します。[Single Sign-On (シングル サインオン)][SAML Authentication (SAML 認証)] を選択します。
    インストール
  6. [Install App (アプリケーションのインストール)] を選択して次のステップに進みます。
  7. [Install Success (インストール成功)] ページで [Configure Single Sign-On (シングル サインオンの設定)] をクリックします。
    インストールの成功
  8. [Single Sign-On Provider (シングル サインオン プロバイダ)][SAML Authentication (認証)] を選択します。
    SAML 認証
  9. アプリケーション用の SAML 設定の詳細が表示されます。Sumo Logic の設定では、このページの以下のパラメータを使用します。
    • EntityID
    • Login URL (ログイン URL)
    • LogOut URL (ログアウト URL)
    • X.509 Certificate (X.509 証明書) 
  10. これらのパラメータは次の手順「Sumo Logic での SAML の設定」で使用しますので、このページは開いたままにしておきます。

Sumo Logic での SAML の設定

  1. システム管理者として Sumo Logic にログインします。
  2. [Administration (管理)] > [Security (セキュリティ)] > [SAML] を選択します。
  3. [Configure (設定)] をクリックして SAML を設定します。
    • Configuration Name (設定名)。SSO ポリシーの名前 (または内部でポリシーを説明する名前) を入力します。
    • Debug Mode (デバッグ モード): このオプションを選択すると、エラー時に詳細が表示されます。詳細については「SAML デバッグ モードの使用」を参照してください。
    • Issuer (発行者)組織の SAML IdP に関連付けられている一意の URL を入力します。これは、前のセクションの手順 12 の Identity Provider Issuer (ID プロバイダ発行者) です。
    • X.509 Certificate (X.509 証明書)。SAML アサーションで署名を検証するために使用する組織の X.509 証明書をコピーして貼り付けます。これも手順 12 の Certificate (証明書) です。
    • AttributeMapping (属性のマッピング)。IdP により、以下を選択します。
      •  Use SAML subject (SAML サブジェクトを使用) または
      • Use SAML attribute (SAML 属性を使用)。テキスト ボックスにメール属性名を入力します。
    • SP Initiated Login Configuration (SP で開始されるログイン)。チェックボックスをオンにします。Issuer URL (発行者 URL) から一意のハッシュをコピーして、[Login Path (ログイン パス)] フィールドに貼り付けます。
      Login Path (ログイン パス)。組織の一意の ID を入力します。組織に対して一意であれば、どのような英数文字列でも構いません。入力した ID により、ユーザ ログイン用の一意の URL が生成されます。たとえば、「yourcompanyname」と入力すると、HTTP-REDIRECT バインディングのログイン URL は次のようになります。
      https://service.deployment.sumologic.com/sumo/saml/redirect/yourcompanyname
      また、HTTP-POST バインディングのログイン URL は次のようになります。https://service.deployment.sumologic.com/sumo/saml/post/yourcompanyname

      deployment にはユーザのデプロイ (us2|eu|au) が入ります。
    • Authn Request URL (認証リクエスト URL)。空白にしておきます。 
    • Disable Requested Authn Context (リクエストされた認証コンテキストの無効化)。このオプションをオンにすると、Sumo はユーザの IdP に送信した SAML AuthnRequests の RequestedAuthnContext 要素を除外します。このオプションは、IdP が RequestedAuthnContext 要素をサポートしていない場合に便利です。
    • Sign Authn Request (認証リクエストに署名)。(省略可能)このオプションを選択すると、Sumo は署名付きの認証リクエストを IdP に送信します。このオプションをクリックすると、Sumo から提供された X-509 証明書が表示されます。この証明書を Sumo が送信した認証リクエストの署名の検証に使用するように IdP を設定できます。 
    • Roles Attribute (ロール属性): このオプションをクリックすると、[Roles Attribute (ロール属性))] フィールドが表示されます。アサーションの一環として IdP から送信される SAML 属性名を入力します。詳細については、「シングル サインオンのための SAML のセットアップ」を参照してください。
    • On Demand Provisioning (オンデマンド プロビジョニング)。このオプションを選択すると、ユーザが最初にログインした時点で Sumo Logic がユーザ アカウントを作成します。詳細については、「シングル サインオンのための SAML のセットアップ」を参照してください。
      • First Name (名)
      • Last Name (姓)
      • On Demand Provisioning Roles (オンデマンド プロビジョニング ロール)。すべての Bitium ユーザのロール (システム管理者など) を追加します。
    • Logout Page (ログアウト ページ): このオプションを選択して URL を入力すると、Sumo Logic からログアウトしたすべてのユーザがその URL に送られます。詳細については、「シングル サインオンのための SAML のセットアップ」を参照してください。
  4. [Add (追加)] をクリックします。
  5. SAML 設定パラメータのサマリを表示します。Bitium でこれらの設定を使用できるように、このダイアログは開いたままにしておきます。
    saml-config-details.png

Bitium への Sumo Logic の SAML 設定の追加

  1. Bitium の [SAML Configuration (SAML の設定)] ページに戻ります。
  2. [SAML URL] テキスト ボックスに、前のセクションの手順 6 で表示した Authentication Request (認証リクエスト) URL を入力します。
    SAML URL
  3. [Save Changes (変更内容を保存)] をクリックして、アプリケーションのインストールを完了します。
  4. 必要に応じて Sumo Logic アプリケーションにユーザを追加します。
  5. これで、Bitium 経由で Sumo Logic にログインできるようになりました。

 

複数の SAML 設定の作成

Sumo では複数の SAML 設定を作成できます。追加の SAML 設定を作成するには、プラス ([+]) アイコンをクリックして、新しい設定を作成します。前のセクションの説明に従って、設定内容を入力します。

saml-config-list.png

SAML でのサインインを要求する

SAML 設定を作成したら、ユーザ名とパスワードによるサインインを禁止し、SAML を使用してサインインするようにユーザに要求することができます。先に、「SAML の使用状況を確認する」の手順を実行してください。

SAML の使用状況を確認する

次のセクション「SAML でのサインインを要求する」で説明するように、Sumo ユーザに SAML を使用してサインインするように求める予定であれば、SAML を使用せずに直接サインインしているユーザを最初に確認するのがベストプラクティスです。特定の時間範囲に対して次のクエリを実行して、ユーザが SAML またはユーザ名とパスワードのどちらを使用してサインインしているかを確認します。

_index=sumologic_audit action=login | count by class, sourceuser 

クエリ結果には、指定した時間範囲において Sumo にアクセスした各ユーザについて、SAML を使用するか、またはユーザ名とパスワードを入力してサインインした回数が示されています。class 列では:

  •  「SAML」は、ユーザが SAML を使用してサインインしたことを示しています。  
  •  「SESSION」は、ユーザがユーザ名とパスワードで認証したことを示しています。  

指定した時間範囲において、同じユーザが両方の方式 (SAML ダイレクトサインイン) で Sumo にアクセスしている場合、クエリ結果には各方式に対して行を作成し、それぞれの方法によるサインイン回数を示します。 

saml-use-query.png

SAML でのサインインを要求する 

[Require SAML Sign In (SAML サインインを要求)] をクリックして、SAML によるサインインをユーザに要求します。

require-saml.png

Sumo は、問題が発生した場合でも Sumo にアクセスできるようにするための予防策として、ユーザのアカウントを自動的に [Allow these users to sign in using passwords in addition to SAML (このユーザに SAML に加えてパスワードを使用したサインインを許可する)] の下にホワイトリスト ユーザとして登録します。

世界規模の会社や大規模のチームの場合は、SAML をバイパスできるユーザを 1 人だけ登録しても実用的ではありません。[Allow these users to sign in using passwords in addition to SAML (このユーザに SAML に加えてパスワードを使用したサインインを許可する)] の隣にある (+) アイコンをクリックすることで、ホワイトリスト ユーザを追加できます。

allow-users.png

SAML によるサインインを強制したい場合でも、すべてのユーザにパスワードによる Sumo へのアクセスを禁止することはお勧めしません。最後のホワイトリスト ユーザを削除しようとすると、その行為は推奨されないことを通知する警告が表示されます。

prevent-password-based-login.png

SAML ロックダウンの制限

[Require SAML Sign In (SAML サインインを要求)] オプションが選択されている場合、システム管理者は、ユーザ アカウントについて以下の 2 つの変更を行うことはできません。

  • SAML がロックダウンされている間は、ユーザのログイン メール アドレスを変更できません。
  • ログインの失敗が規定回数を超えてユーザのアカウントがロックダウンされた場合は、SAML がロックダウンされている間はアカウントのロックを解除できません。

ユーザのログイン メール アドレスを変更する、またはユーザ アカウントのロックを解除するには、[Require SAML Sign In (SAML サインインを要求)] オプションをオフにしてから変更を行い、その後で再び [Require SAML Sign In (SAML サインインを要求)] をオンにしてください。

 

  • この記事は役に立ちましたか?