メインコンテンツまでスキップ
Sumo Logic Japanese

Sumo と Azure AD との統合

Azure Active Directory (AD) で Sumo Logic へのシングル サインオン (SSO) を有効にします。

Group 3 Copy 5.png

Enterprise アカウントを持つ組織では、Security Assertion Markup Language (SAML) 2.0 をプロビジョニングして Sumo Logic へのユーザ アクセスのためにシングル サインオン (SSO) を有効にできます。このページでは、Sumo と Azure AD を統合する方法について説明します。

ステップ 1: Azure AD でのエンタープライズ アプリケーションとしての Sumo の設定

この手順では、Azure AD で Sumo を非ギャラリー エンタープライズ アプリケーションとして設定する方法を説明します。

  1. Microsoft Azure マネジメント コンソールの左側にあるナビゲーション ペインで [Azure Active Directory] を選択します。
  2. [Overview (概要)] ブレードで [Manage (管理)] > [Enterprise Applications (エンタープライズ アプリケーション)] を選択します。 
    enterprise-apps.png
  3. [Manage (管理)] > [All Applications (すべてのアプリケーション)] を選択します。
  4. [All Applications (すべてのアプリケーション)] ブレードの一番上にある [New application (新規アプリケーション)] をクリックします。 
    new-app-icon.png
  5. [Categories (カテゴリ)] を選択して [ALL (すべて)] を選択します。
  6.  [Non-gallery application (非ギャラリー アプリケーション)] を選択します。non-gallery-app.png
  7. [Add your own application (自分のアプリケーションの追加)] ページでアプリケーションに名前を付けてから [Add (追加)] をクリックします。手順の説明では、アプリケーション名を <app-name> と表記します。
    add-you-own-app.png
  8. アプリケーション リストから新しいアプリケーションを選択します。
  9. 左側のナビゲーション ペインで [Single sign-on (シングル サインオン)] を選択します。
  10. [Single sign-on (シングル サインオン)] ダイアログで [SAML-based Sign-on (SAML ベースのサインオン)] を選択します。
    click-single-signon.png
  11. [SAML Signing Certificate (SAML 署名証明書)] セクションで [Certificate (Base64) (証明書 (base64))] の [Download (ダウンロード)] リンクをクリックして <app-name>.cer ファイルをダウンロードします。
  12. [Set Up Sumo Logic (Sumo Logic の設定)] セクションで、以下のフィールドの内容をコピーしてテキスト ドキュメントに貼り付けます。これらの値は、次の手順で必要になります。 
    • Login URL (ログイン URL)
    • Azure AD ID

    • ログアウト URL


ステップ 2: Sumo での SAML の設定

  1. [Administration (管理)] > [Security (セキュリティ)] > [SAML] を選択します。
  2. 既存の設定を選択するか、またはプラス ([+]) アイコンをクリックして、新しい設定を作成します。
    saml-config-list.png 
  3. [Add Configuration (設定の追加)] ページが表示されます。saml-add-config.png
  4. Configuration Name (設定名)。SSO ポリシーを識別するための名前 (または内部でポリシーを説明する名前) を入力します。
  5. Debug Mode (デバッグ モード): このオプションを選択すると、ユーザの認証エラー時に詳細が表示されます。詳細については「SAML デバッグ情報の表示」を参照してください。
  6. Issuer (発行者): 手順 1 のサブステップ 12 でコピーしてある Azure AD ID を入力します。 
  7. X.509 Certificate (X.509 証明書): 手順 1 のサブステップ 11 でダウンロードした証明書ファイルをテキスト エディターで開きます。ファイルの内容をフィールドにコピーします。 
  8. Attribute Mapping (属性のマッピング): [Use SAML subject (SAML サブジェクトを使用)] を選択します。
  9. Configure SP-initiated Login (SP で開始されるログインの設定)。このセクションでは、SP で開始されるログインの設定方法を説明します。この設定では、Sumo ユーザがログインすると、Sumo は SAML AuthnRequest でユーザを適切な IdP にリダイレクトします。リクエストには、IdP がユーザを認証するために必要な情報が含まれます。IdP は、SAML アサーション (SAMLResponse) で Sumo に応答します。以下の手順では、Sumo が IdP に対して AuthnRequest を発行するために必要な情報を提供します。
    1. SAML 設定ページの [Optional Settings (省略可能な設定)] セクションで [SP Initiated Login Configuration (SP で開始されるログインの設定)] をクリックします。このオプションをクリックすると、[Login Path (ログイン パス)] フィールドと [Authn Request URL (認証要求 URL)] フィールドが表示されます。 

    2. Login Path (ログイン パス)。組織の一意の ID を入力します。組織に対して一意であれば、どのような英数文字列でも構いません (スペースを入れることはできません)。(他の Sumo ユーザがすでに使用しているログイン パスは使用できません。)入力した ID により、ユーザ ログイン用の一意の URL が生成されます。たとえば、「yourcompanyname」と入力すると、HTTP-REDIRECT バインディングのログイン URL は次のようになります。

      たとえば、「yourcompanyname」と入力すると、HTTP-REDIRECT バインディングのログイン URL は次のようになります。

      https://service.deployment.sumologic.com/sumo/saml/redirect/yourcompanyname
       

      また、HTTP-POST バインディングのログイン URL は次のようになります。

      https://service.deployment.sumologic...ourcompanyname

      deployment にはユーザのデプロイ (us2|eu|au) が入ります。
       
    3. Authn Request URL (認証リクエスト URL)。手順 1 のサブステップ 12 でコピーしてあるログイン URL を入力します。

  10. Disable Requested Authn Context (リクエストされた認証コンテキストの無効化)。このオプションをチェックします。 

  11. Configure on-demand provisioning (オンデマンド プロビジョニングの設定)。(省略可能) オンデマンド プロビジョニングを設定すると、Sumo Logic は、ユーザが最初に Sumo にログインした時点でユーザ アカウントを作成します。アカウントが作成されると、Sumo Logic の資格情報がユーザにメールで送信されます。(ユーザは、Sumo Logic の資格情報と SAML の権限の両方が必要です。)この手順を完了するためには、Azure AD がユーザの識別に使用する First Name (名) 属性と Last Name (姓) 属性を指定します。

    1. [On Demand Provisioning (オンデマンド プロビジョニング)] チェックボックスをクリックします。
    2. First Name Attribute (名属性)。以下を入力します。
      Givenname
    3. Last Name Attribute (姓属性)。以下を入力します。
      Surname
    4. On Demand Provisioning Roles (オンデマンド プロビジョニング ロール)。(省略可能) ユーザ アカウントのプロビジョニング時に割り当てる Sumo RBAC ロールを指定します。(ロールはすでに存在する必要があります。)
  12. Configure logout page (ログアウト ページの設定)。(省略可能) Sumo Logic からログアウトした後、またはセッションがタイムアウトになった後で、すべての Sumo ユーザを特定の URL に送りたい場合は、ログアウト ページを設定します。たとえば、会社のイントラネットや、組織のユーザにアクセスさせたい他のサイトなどを選択できます。
    1. [Logout Page (ログアウト ページ)] チェックボックスをクリックします。
    2. Sumo からログアウトした後にユーザを送りたいページの URL を入力します。
  13. [Add (追加)] をクリックして設定を保存します。
  14. [Configuration List (設定リスト)] から新しい設定を選択します。
  15. [Copy (コピー)] をクリックして、[Assertion Consumer URL (アサーション コンシューマ URL)] をコピーして、テキスト ファイルに保存します。

ステップ 3: Azure 設定の完了

  1. Azure マネジメント コンソールのアプリケーション リストからアプリケーションを選択します。 
  2. 左側にあるメニューからアプリケーションの [Single sign-on (シングル サインオン)] を選択します。
  3. セクション 1 の [Basic SAML Configuration (基本 SAML 設定)] で設定を変更します。
    1. Identifier (Entity ID) (ID (エンティティ ID)https://service.us2.sumologic.com と入力します。アカウントで使用しているポッドを見分けるための最も簡単な方法は、Sumo Logic の URL を確認することです。us2 と表示されている場合は、US2 ポッドで実行中であることを意味し、サービス エンドポイントは https://service.us2.sumologic.com になります。eu または au と表示されている場合は、それらのポッドのいずれかで実行中であることを意味し、サービス エンドポイントはそれぞれ https://service.eu.sumologic.comhttps://service.au.sumologic.com となります。何も表示されていない場合は、US1 デプロイで、サービス エンドポイントは https://service.sumologic.com となります。
    2. Reply URL (Assertion Consumer URL) (返信 URL (アサーション コンシューマ URL))手順 2 のサブステップ 15 でコピーしてある URL を貼り付けます。
    3. [Save (保存)] をクリックします。
  4. 左側のナビゲーション ペインで、[Manage (管理)] セクションの [Properties (プロパティ)] をクリックします。
    1. Enabled for users to sign in? (ユーザのサインイン用に有効にしますか?)Yes に設定します。 
    2. User assignment required? (ユーザの割り当ては必要ですか?)Yes に設定します。(このオプションは、このグループにユーザを割り当てる必要があるか、あるいは Azure AD テナントの任意のユーザが Sumo Logic を使用できるかを制御します。Sumo 環境には限られた人数のユーザしかいませんので、Yes に設定することをお勧めします。)
    3. [Save (保存)] をクリックします。
  5. [Appname] ブレード (タイトルに選択されたアプリケーションの名前が表示されたブレード) で [Users and Groups (ユーザとグループ)] を選択します。
  6. [appname - User and Group Assignment (ユーザとグループの割り当て)] ブレードで [Add (追加)] コマンドを選択します。
  7. [Add Assignment (割り当ての追加)] ブレードで、[Users and groups (ユーザとグループ)] を選択します。
  8. [Users and groups (ユーザとグループ)] ブレードで、リストから 1 人または複数のユーザまたはグループを選択してから、ブレードの一番下にある [Select (選択)] ボタンをクリックします。
  9. [Add Assignment (割り当ての追加)] ブレードで [Role (ロール)] を選択します。次に、[Select Role (ロールの選択)] ブレードで、選択したユーザまたはグループに適用するロールを選択してから、ブレードの一番下にある [OK] ボタンをクリックします。
  10. [Add Assignment (割り当ての追加)] ブレードで、ブレードの一番下にある [Assign (割り当て)] ボタンをクリックします。割り当てられたユーザまたはグループには、選択したロールで定義されている権限が付与されます。

SAML 認証のテスト

  • Test IdP-initiated authentication (IdP で開始される認証のテスト)。自分の Microsoft 資格情報で https://myapps.microsoft.com/ にログインして、上記で作成した Sumo Logic アプリケーションのタイルをクリックします。
    azure-ad.png
  • Test SP-initiated authentication (SP で開始される認証のテスト)。手順 2ログイン パスの手順 (サブステップ 9b) で入手した HTTP-REDIRECT バインディングの URL をブラウザのアドレス バーに入力します。 

    https://service.deployment.sumologic.com/sumo/saml/redirect/OrganizationName

    ただし、

    deployment は自分の Sumo デプロイで、

    OrganizationName は入力したログイン パスです。

    welcome-to-sumo.png


 

  • この記事は役に立ちましたか?