始める前に

  • 「シングル サインオンのための SAML のセットアップ」の「制限事項」を参照してください。
  • Okta で Sumo のロールの割り当てを管理する予定がある場合は、先に進む前に次のように設定していることを確認してください。 
    • Sumo ロールごとに Okta グループを Sumo ロールと同じ名前で設定していること。たとえば、Okta では、Sumo の「Administrator」ロールとまったく同じ名前の「Administrator」グループが必要です。
    • それぞれのユーザに割り当てる Sumo ロールに基づいて、Sumo ユーザを適切な Okta グループに割り当てていること。  

ステップ 1: Okta での基本的な SAML の設定

  1. 管理者権限を持つユーザで、Okta 組織にログインします。
  2. [Admin (管理)] をクリックします。
    admin-button.png
  3. [Add Applications (アプリケーションの追加)] をクリックします。
    add-applications.png
  4. [Create New App (新しいアプリケーションの作成)] ショートカットをクリックします。
    create-new-app.png
  5. [Create a New Application Integration (新しいアプリケーション統合の作成)] ページで、SAML 2.0 オプションを選択し、[Create (作成)] をクリックします。
    new-app-int.png
  6. General Settings (一般設定):
    • App Name (アプリケーション名)。Sumo Logic 統合アプリケーションの名前を入力します。
    • App Logo (アプリケーションのロゴ): (省略可能) Okta ポータルでアプリケーションに表示するロゴをアップロードします。
    • Visibility (可視性): Sumo Logic 統合アプリケーションを Okta ポータルやモバイル アプリケーションのユーザに表示しない場合は、これらのオプションを使用します。
    • [Next (次へ)] をクリックします。
      general-settings.png
  7. [SAML Settings (SAML 設定)] で [General (一般)] を選択します。
    1. Single sign on URL (シングルサインオン URL): このプレースホルダ URL に貼り付けます。
      http://example.com/saml/sso/example-okta-com
      入力する実際の URL は「ステップ 5: Sumo での SAML の設定」を実行しているときに取得し、「Step 6: Okta での SAML 設定の完了」を実行しているときに入力します。
    2. Use this for Recipient URL and Destination URL (受信者 URL と宛先 URL にこれを使用する): このチェックボックスをクリックします。
      saml-settings-general.png
  8. Audience URI (SP Entity ID) (オーディエンス URI (SP エンティティ ID)): Sumo アカウントが存在する Sumo Logic デプロイのドメイン名を入力します。以下に例を示します。
    https://service.us2.sumologic.com
  9. [SAML Settings (SAML 設定)] の [Attribute Statements (属性ステートメント)] セクションで、次の 3 つの属性ステートメントを追加します。
    1. [Name (名前)] に「firstName」と入力し、[Value (値)] プルダウンから [user.firstName] を選択します。
    2. [Name (名前)] に「lastName」と入力し、[Value (値)] プルダウンから [user.lastName] を選択します。
    3. [Name (名前)] に「メール」と入力し、[Value (値)] プルダウンから [user.email] を選択します。
      attribute-statements.png

ステップ 2: Sumo にロールの割り当てを送信するための Okta の設定 (省略可能)

このステップでは、送信する SAML アサーションにグループ メンバーシップ情報を含めて送信するように Okta を設定します。これにより、Sumo ではログオンごとにユーザにロールを割り当てることができます。したがって、Okta で Sumo のロールの割り当てを管理できます。Okta で Sumo のロールを管理しない場合は、[Create SAML Integration (SAML 統合の作成)] ページの下部にある [Next (次へ)] をクリックして、以下の手順 3 に進みます。

手順 2 では、次のことを前提としています。

  • Sumo で定義されているロールの名前と一致する一連のグループを Okta に設定している。
  • ユーザに与えるロールにマップされた Okta グループに、Okta の各ユーザを割り当てている。

設定には、2 つの側面があります。Okta で [Group Attribute Statement (グループ属性ステートメント)] を、Sumo Logic で [Roles Attribute (ロール属性)] をそれぞれ同じ値で設定します。Okta では、SAML アサーションにその属性値が挿入されて Sumo に送信されます。 

group-attributes.png

  1. Name (名前): 「Sumo_Role」のように、何らかの名前を入力して、書き留めます。後から、Sumo Logic で SAML を設定するときに、[Roles Attribute (ロール属性)] フィールドに同じ値を入力します。 
  2. Name Format (名前の形式): 何も設定しないままにします。
  3. Filter (フィルタ): 左側のフィールドで、プルダウンからオプションのいずれかを選択して、入力する一致式の種類を選択します。
    1. Starts with (前方一致): Sumo ユーザと Okta グループのすべての名前が、同じ文字列で始まる場合に役立ちます。
    2. Equals (完全一致): Sumo ユーザ用に、単一の Okta グループがある場合に役立ちます。
    3. Contains (部分一致): Sumo ユーザを含んだすべての Okta グループの名前に同じ文字列が含まれている場合に役立ちます。
    4. Matches regex (正規表現による一致): 他のフィルタ タイプを使用してグループを指定できない場合は、このオプションを使用します。  
  4. 右側のフィールドに、選択したフィルタ タイプに応じて、文字列または正規表現を入力します。上のスクリーンショットでは、フィルタ タイプは [Matches regex (正規表現による一致)] であり、正規表現の Foo|A.* は Okta グループの「Foo」および名前が文字「A」で始まるグループと一致します。
  5. [Create SAML Integration (SAML 統合の作成)] ページの下部にある [Next (次へ)] をクリックして進みます。

ステップ 3: Okta フィードバック情報の入力

手順 3 の「フィードバック」では、[I'm an Okta customer adding an internal app (内部アプリケーションを追加する Okta の顧客)] および [This is an internal app that we have created (これは作成済みの内部アプリケーションです)] を選択し、[Finish (完了)] をクリックします。
feedback.png

ステップ 4: Sumo 用の Okta SAML 設定の表示

この手順では、Okta によって生成された SAML 設定を表示します。これは、Sumo で SAML 設定を完了するときに必要になります。

  1. [Sign On Methods (サインオン メソッド)] セクションが表示されます。[View Setup Instructions (セットアップ手順を表示)] をクリックします。settings.png
  2. このページには、「手順 5: Sumo での SAML の設定」を実行するために必要な情報が表示されます。このページを開いたままにします。
    config-instructions.png

ステップ 5: Sumo での SAML の設定

このセクションでは、Sumo Logic で基本的な SAML を設定する手順について説明します。

  1. [Administration (管理)] > [Security (セキュリティ)] > [SAML] を選択します。
  2. [Add Configuration (設定の追加)] をクリックします。
    sumo-saml-config-list.png                                                                                            
  3. [Add Configuration (設定の追加)] ページが表示されます。
    sumo-saml-config.png
  4. Configuration Name (設定名): SSO ポリシーを識別するための名前 (または内部でポリシーを説明する名前) を入力します。
  5. Debug Mode (デバッグ モード): このオプションを選択すると、ユーザの認証エラー時に詳細が表示されます。詳細については「SAML デバッグ情報の表示」を参照してください。
  6. Issuer (発行者): 「手順 4 Sumo 用の Okta SAML 設定の表示」で Okta が提示した Identity Provider Issuer (ID プロバイダ発行者) を貼り付けます。
  7. X.509 Certificate (X.509 証明書): 「手順 4 Sumo 用の Okta SAML 設定の表示」で Okta が提示した証明書を貼り付けます。
  8. Attribute Mapping (属性のマッピング): [Use SAML subject (SAML サブジェクトを使用)] を選択します。
  9. Roles Attribute (ロール属性): (この手順は、「手順2: Sumo にロールの割り当てを送信するための Okta の設定」の手順を実行した場合に行う必要があります)。[Roles Attribute (ロール属性)] オプションを指定すると、ユーザがログインするたびに Sumo Logic がそのユーザにロールを割り当てます。ロールは、Okta 管理者が設定し、SAML アサーションの一環として割り当てられます。
    1. [Roles Attribute (ロール属性)] チェックボックスをクリックします。[Roles Attribute (ロール属性)] フィールドが表示されます。
    2. Roles Attribute (ロール属性)。「手順 2: Sumo にロールの割り当てを送信するための Okta の設定」で定義した、たとえば「Sumo_Role」などのグループの属性名を入力します。
  10. On-Demand Provisioning (オンデマンド プロビジョニング): この機能を設定すると、ユーザが Okta を使用して最初に Sumo にログインしたときに、新しいユーザ アカウントが作成されます。この手順については、「オンデマンド プロビジョニング」を参照してください。
  11. Logout Page (ログアウト ページ): Sumo ユーザが Sumo Logic からログアウトするか、ユーザのセッションがタイムアウトすると、指定したログアウト ページにリダイレクトされます。たとえば、次の URL で Okta ドメインを置き換えることにより、ユーザを Okta ホームページにリダイレクトできます。
    https://YourOktaDomain.onelogin.com/app/UserHome
  12. [Save (保存)] をクリックします。 
  13. 設定の詳細を表示するには、[Configuration List (設定リスト)] から選択します。このパネルを開いたままにします。次の手順 3 の Okta の設定を完了するとき、[Authentication Request (認証リクエスト)][Assertion Consumer (アサーション コンシューマ)] の値を Okta にコピーします。

ステップ 6: Okta での SAML 設定の完了

  1. Okta の [Admin (管理者)] パネルに戻ります。
  2. [General (一般)] タブに移動します。
  3. [SAML Settings (SAML 設定)] の下で [Edit (編集)] をクリックします。 
    edit-saml-settings.png
  4. [General Settings (一般設定)] ページが表示されます。[Next (次へ)] をクリックします。 
  5. [Edit SAML Integration (SAML 統合の編集)] ペインが表示されます。
    edit-saml-integration.png
  6. Single sign on URL (シングルサインオン URL): Sumo Logic SAML の設定から Assertion Consumer (アサーション コンシューマ) URL に変更します。これは、前の手順「手順 5: Sumo での SAML の設定」で取得したものです。
  7. Use this for Recipient URL and Destination URL (受信者 URL と宛先 URL にこれを使用する):  このチェックボックスをオフにします。
  8. Recipient URL (受信者 URL) と (Destination URL (宛先 URL): Sumo Logic SAML の設定からの Authentication Request (認証リクエスト) URL を入力します。これは、前の手順「手順 5: Sumo での SAML の設定」の両方のフィールドから取得したものです。
  9. Audience URI (SP Entity ID) (オーディエンス URI (SP エンティティ ID)): SP で開始される認証を設定しない限り、このフィールドは必要ありません。詳細については、「SP で開始されるログイン」を参照してください。
  10. [Next (次へ)] をクリックして [Finish (完了)] をクリックします。

これで Sumo Logic が Okta とリンクされました。 

ステップ 7: Okta の Sumo Logic アプリケーションへの Okta ユーザの追加 

  1. [Directory (ディレクトリ)] タブをクリックします。アプリケーションに追加するユーザをクリックします。
    directory.png
  2. [Assign Applications (アプリケーションの割り当て)] をクリックします。
    assign-applications.png
  3. ユーザを追加するアプリケーションの行で [Assign (割り当て)] をクリックします。
    assign-applications2.png
  4. [Save and Go Back (保存して戻る)] をクリックします。
    assign-applications3.png
  5. [Done (完了)] をクリックします。

これで、設定した Sumo Logic アプリケーションがユーザの Okta 作業ページに表示されます。統合が機能することを確認するには、ユーザにアプリケーションのアイコンをクリックしてもらい、Sumo Logic にログオンしていることを確認します。 
 

SAML 機能 (省略可能) の設定

SP で開始される SSO の設定

この設定により、Sumo ユーザは Sumo Logic Web アプリケーションからログインを開始できます。Sumo は、Okta でのユーザ認証に必要な情報を含む SAML AuthnRequest を使用して、ユーザを Okta にリダイレクトします。Okta は、Sumo に SAML アサーションで返信します。 

  1. Sumo の [Add Configuration (設定の追加)] ページで、[SP Initiated (SP で開始)] チェックボックスをクリックします。 
    sp-settings.png
  2. Login Path (ログイン パス)。組織の一意の ID を入力します。組織に対して一意であれば、どのような英数文字列でも構いません (スペースを入れることはできません)。(他の Sumo ユーザがすでに使用しているログイン パスは使用できません。)入力した ID により、ユーザ ログイン用の一意の URL が生成されます。たとえば、
    yourcompanyname

    を入力した場合、すべての Sumo 組織で一意ではないログイン パスを入力すると、次のエラーが表示されます。 
    SP Initiated login path in use. Please enter a different path.
     
  3. Authn Request URL (認証リクエスト URL)。  「手順 4 Sumo 用の Okta SAML 設定の表示」で Okta が提示した IP プロバイダのシングル サインオン URL を貼り付けます。

オンデマンド プロビジョニングの設定

オンデマンド プロビジョニングを設定すると、Sumo Logic は、ユーザが Okta シングル サインオンを使用して最初に Sumo にログインした時点で、ユーザ アカウントを作成します。  ユーザが Okta で Sumo Logic アプリケーションをクリックすると、Okta によって SAML アサーションが Sumo に送信されます。このアサーションには、ユーザ アカウントを作成し、そのユーザを Sumo ロールに割り当てるために必要な情報が含まれています。 

オンデマンド プロビジョニングを設定するには、[First Name (名)][Last Name (姓)] の属性を指定します。これは、Okta でユーザを識別するために使用されます。さらに、作成したアカウントに割り当てる Sumo ロールを指定します。

  1. [On Demand Provisioning (オンデマンド プロビジョニング)] チェックボックスをクリックします。
    on-demand-provisioning.png
  2. First Name (名): Okta デプロイで名に使用する属性の名前を入力します。次の例とは異なることがあります。 
    firstName 
  3. Last Name (姓): Okta デプロイで名に使用する属性の名前を入力します。次の例とは異なることがあります。
    lastName 
  4. On Demand Provisioning Roles (オンデマンド プロビジョニング ロール)。ユーザ アカウントのプロビジョニング時に割り当てる Sumo RBAC ロールを指定します。(このロールは Sumo Logic にすでに存在している必要があります)。複数のロールを入力する場合は、ロール間にコンマを挿入します。例:
    Analyst, CollectorManager

SAML のロックダウン

SAML の使用状況の確認

SAML でのサインインを要求する