メインコンテンツまでスキップ
Sumo Logic Japanese

Sumo Logic と Google Apps (G Suite) IAM サービスとの統合

このページでは、Sumo Logic SAML と Google Apps IAM を統合する方法について説明します。これにより、Sumo ユーザは Google Apps の資格情報を使用して、シングル サインオン (SSO) で Sumo Logic にログインできるようになります。

詳細については Google のサポート ドキュメントを参照してください。

始める前に

Sumo の SAML に関する重要な情報については、「シングル サインオンのための SAML のセットアップ」ページの「制限事項」セクションを参照してください。

カスタム アプリケーション用の SSO の設定

  1. Google 管理コンソールにログインします。  
  2. [Apps (アプリケーション)] > [SAML Apps (SAML アプリケーション)] を選択します。
  3. 設定する新規 SAML アプリケーションを選択するか、またはページの一番下にある [+] アイコンをクリックします。
  4. [Enable SSO for SAML Application (SAML アプリケーションで SSO を有効にする)] ページの一番下にある [Setup my own Custom App (自分のカスタム アプリケーションを設定する)] を選択します
  5. [Google IdP Information (Google IdP 情報)] ページが表示されます。以下の URL をメモします。これらは、Sumo で SAML を設定する際に使用します。
    • SSO URL
    • Entity ID (エンティティ ID)
  6. Certificate (証明書) の [Download (ダウンロード)] をクリックします。
  7. [Next (次へ)] をクリックします。
  8. [Basic Information for your Custom App (カスタム アプリケーションの基本情報)] ページで以下を入力します。
    • Application Name (アプリケーション名)。「Sumo Logic」と入力します。
    • Description (説明): Sumo Logic is the industry's leading, secure cloud-based log monitoring, management and analytics service that leverages big data for real-time IT insights. (Sumo Logic は、ビッグ データを活用してリアルタイムの IT インサイトを提供する業界最先端のセキュア クラウド ベースのログ モニタリング、管理、およびアナリティクス サービスです。)
    • Upload Logo (ロゴのアップロード)。sumologic.png を使用します。
  9. [Next (次へ)] をクリックします。

Sumo Logic SAML の設定

  1. Sumo Web アプリケーションで、[Administration (管理)] > [Security (セキュリティ)] > [SAML] を選択します。
  2. [+] アイコンをクリックして新しい設定を作成します。
    saml-config-list.png
  3. [Add Configuration (設定の追加)] ページで以下の詳細情報を入力します。
    • Configuration Name (設定名)。Google Apps Auth (あるいは他の好きな名前)。
    • Debug Mode (デバッグ モード): 任意。この設定をオンにしておくと、後でトラブルシューティングする場合に便利です。このオプションを選択すると、ユーザの認証エラー時に詳細が表示されます。詳細については「SAML デバッグ情報の表示」を参照してください。
    • Issuer (発行者)。[Google IdP Information (Google IdP 情報)] ダイアログの [Entity ID (エンティティ ID)] の値を入力します。
    • X.509 Certificate (X.509 証明書)。[Google IdP Information (Google IdP 情報)] ダイアログからダウンロードした証明書ファイルを開きます。ファイルの内容をコピーしてこのフィールドに貼り付けます。
    • Attribute Mapping (属性のマッピング): [Use SAML attribute (SAML 属性を使用)] を選択して、テキスト ボックスにメール属性名を入力します。 
    • SP Initiated Login Configuration (SP で開始されるログイン): このオプションをクリックします。[Login Path (ログイン パス)] フィールドが表示されます。組織の一意の ID を入力します。組織に対して一意であれば、どのような英数文字列でも構いません (スペースを入れることはできません)。(他の Sumo ユーザがすでに使用しているログイン パスは使用できません。)入力した ID により、ユーザ ログイン用の一意の URL が生成されます。たとえば、「yourcompanyname」と入力すると、HTTP-REDIRECT バインディングのログイン URL は次のようになります。
      https://service.deployment.sumologic.com/sumo/saml/redirect/yourcompanyname

      また、HTTP-POST バインディングのログイン URL は次のようになります。
      https://service.deployment.sumologic.com/sumo/saml/post/yourcompanyname
      
       deployment にはユーザのデプロイ (us2|eu|au) が入ります。
    • Authn Request URL (認証リクエスト URL)。[Google IdP Information (Google IdP 情報)] ダイアログの [SSO URL] の値を入力します。
    • Disable Requested Authn Context (リクエストされた認証コンテキストの無効化)。このオプションをオンにすると、Sumo はユーザの IdP に送信した SAML AuthnRequests の RequestedAuthnContext 要素を除外します。このオプションは、IdP が RequestedAuthnContext 要素をサポートしていない場合に便利です。
    • Roles Attribute (ロール属性): このオプションをクリックすると、[Roles Attribute (ロール属性))] フィールドが表示されます。アサーションの一環として IdP から送信される SAML 属性名を入力します。詳細については、「シングル サインオンのための SAML のセットアップ」を参照してください。
    • On-Demand Provisioning (オンデマンド プロビジョニング)。このオプションを選択して以下の属性を設定すると、ユーザが最初にログインした時点で Sumo Logic がユーザ アカウントを作成します。詳細については、「シングル サインオンのための SAML のセットアップ」を参照してください。
      • First Name Attribute (名属性)。FirstName
      • Last Name Attribute (姓属性)。LastName
    • On-Demand Provisioning Roles (オンデマンド プロビジョニング ロール)。Analyst (アナリスト)
    • Logout Page (ログアウト ページ): このオプションを選択して URL を入力すると、Sumo Logic からログアウトしたすべてのユーザがその URL に送られます。詳細については、「シングル サインオンのための SAML のセットアップ」を参照してください。
  4. [Add (追加)] をクリックします。 
  5. 設定の詳細を表示するには、[Configuration List (設定リスト)] を選択します。ページの右側に以下の情報が表示されます。IdP 用に設定を行う場合は、これらの URL のいずれかを指定する必要があります。
    • SP Initiated (SP で開始) (REDIRECT および POST 値)
    • Authentication Request (認証リクエスト)
    • Assertion Consumer (アサーション コンシューマ)

Google SAML アプリケーション設定の完了

  1. [Google Auth Configuration – Service Provider Details (Google 認証設定 - サービス プロバイダの詳細)] ダイアログに戻って以下の情報を入力します。
    • ACS URL。Sumo Logic の Assertion Consumer (アサーション コンシューマ) です。
    • Entity ID (エンティティ ID)。Sumo Logic にアクセスするための URL を入力します。例:
      https://service.sumologic.com
    • Name ID (名前 ID)。Basic Information (基本情報) – Primary Email (プライマリ メール)
    • Name ID Format (名前 ID 形式)。EMAIL
  2. [Next (次へ)] をクリックします。
  3. [Attribute Mapping (属性のマッピング)] ダイアログで以下を選択します。
    • FirstName (名前)。[Basic Information (基本情報)][First Name (名)] を選択します。
    • LastName (名字)。[Basic Information (基本情報)][Last Name (姓)] を選択します。
    • Email (メール)。[Basic Information (基本情報)][Primary Email (プライマリ メール)] を選択します。
  4. [Finish (完了)] をクリックします。
  5. [Settings for Sumo Logic (Sumo Logic の設定)] ページが開き、「Setting up SSO for Sumo Logic (Sumo Logic の SSO を設定しています)」という成功メッセージが表示されます。[OK] をクリックします。
  6. Sumo Logic アプリケーションを全員が使えるようにするには、メニューから [On for everyone (全員に有効)] を選択します。
  7. 少し経つと、新しい Sumo Logic SAML アプリケーションが Google Apps のログイン メニューに表示されます。

複数の SAML 設定の作成

Sumo では複数の SAML 設定を作成できます。追加の SAML 設定を作成するには、プラス ([+]) アイコンをクリックして、新しい設定を作成します。前のセクションの説明に従って、設定内容を入力します。

saml-config-list.png

SAML でのサインインを要求する

SAML 設定を作成したら、ユーザ名とパスワードによるサインインを禁止し、SAML を使用してサインインするようにユーザに要求することができます。先に、「SAML の使用状況を確認する」の手順を実行してください。

SAML の使用状況を確認する

次のセクション「SAML でのサインインを要求する」で説明するように、Sumo ユーザに SAML を使用してサインインするように求める予定であれば、SAML を使用せずに直接サインインしているユーザを最初に確認するのがベストプラクティスです。特定の時間範囲に対して次のクエリを実行して、ユーザが SAML またはユーザ名とパスワードのどちらを使用してサインインしているかを確認します。

_index=sumologic_audit action=login | count by class, sourceuser 

クエリ結果には、指定した時間範囲において Sumo にアクセスした各ユーザについて、SAML を使用するか、またはユーザ名とパスワードを入力してサインインした回数が示されています。class 列では:

  •  「SAML」は、ユーザが SAML を使用してサインインしたことを示しています。  
  •  「SESSION」は、ユーザがユーザ名とパスワードで認証したことを示しています。  

指定した時間範囲において、同じユーザが両方の方式 (SAML ダイレクトサインイン) で Sumo にアクセスしている場合、クエリ結果には各方式に対して行を作成し、それぞれの方法によるサインイン回数を示します。 

saml-use-query.png

SAML でのサインインを要求する 

[Require SAML Sign In (SAML サインインを要求)] をクリックして、SAML によるサインインをユーザに要求します。

require-saml.png

Sumo は、問題が発生した場合でも Sumo にアクセスできるようにするための予防策として、ユーザのアカウントを自動的に [Allow these users to sign in using passwords in addition to SAML (このユーザに SAML に加えてパスワードを使用したサインインを許可する)] の下にホワイトリスト ユーザとして登録します。

世界規模の会社や大規模のチームの場合は、SAML をバイパスできるユーザを 1 人だけ登録しても実用的ではありません。[Allow these users to sign in using passwords in addition to SAML (このユーザに SAML に加えてパスワードを使用したサインインを許可する)] の隣にある (+) アイコンをクリックすることで、ホワイトリスト ユーザを追加できます。

allow-users.png

SAML によるサインインを強制したい場合でも、すべてのユーザにパスワードによる Sumo へのアクセスを禁止することはお勧めしません。最後のホワイトリスト ユーザを削除しようとすると、その行為は推奨されないことを通知する警告が表示されます。

prevent-password-based-login.png

SAML ロックダウンの制限

[Require SAML Sign In (SAML サインインを要求)] オプションが選択されている場合、システム管理者は、ユーザ アカウントについて以下の 2 つの変更を行うことはできません。

  • SAML がロックダウンされている間は、ユーザのログイン メール アドレスを変更できません。
  • ログインの失敗が規定回数を超えてユーザのアカウントがロックダウンされた場合は、SAML がロックダウンされている間はアカウントのロックを解除できません。

ユーザのログイン メール アドレスを変更する、またはユーザ アカウントのロックを解除するには、[Require SAML Sign In (SAML サインインを要求)] オプションをオフにしてから変更を行い、その後で再び [Require SAML Sign In (SAML サインインを要求)] をオンにしてください。

 

  • この記事は役に立ちましたか?