メインコンテンツまでスキップ
Sumo Logic Japanese

ADFS での権限の管理

ADFS と SAML を使用して Sumo Logic のユーザ権限を管理できます。そのためには、SAML 経由でロールを Sumo Logic と同期させるように ADFS を設定する必要があります。

開始する前に、以下の重要なポイント、制限事項、そしてヒントを読んでください。

  • ユーザ権限は SSO ログインごとに更新されます。これにより、Sumo Logic ユーザの権限を Active Directory 内で管理できます。
  • SAML はデプロビジョニング メカニズムを提供しません。ユーザが Active Directory で削除または無効化されても、Sumo Logic には反映されません。そしてこれらのユーザは、SSO 経由で Sumo Logic にはログインできなくなります。例外はアクセス キーで、SAML のロックダウンが有効でない場合は、ユーザは引き続きネイティブ アカウントでログインできます。
  • アクセス キーは SAML では管理されません。つまり、ユーザが SSO 側でオフになった場合は、そのユーザのアクセス キーはまだ有効ということになります。そのため、システム管理者はユーザを定期的に監査して、必要に応じてアクセス キーを無効にしてください。
  • デフォルトでは、システム管理者は、SAML でプロビジョニングされたユーザに加えて、新しい Sumo Logic ログインを作成できます。これにより、アカウントを監査するか、または SAML ロックダウンの有効化を Sumo Logic サポートに依頼する必要が生じます。
  • SAML ロックダウンは、ユーザがユーザ名とパスワードを使用して Sumo Logic に直接ログインできなくします。他にも、ユーザのアカウントが変更された場合にメールを送信しなくなったなど、ユーザ管理にはいくつかの細かい修正が加わっています。 
  • SAML 設定が正常に完了したら、Sumo Logic の SAML 設定でデバッグを有効にして、問題を特定できるようにします。

新規要求ルールの作成

AD グループを収集するための新しい要求ルールを作成します。

新しい要求ルールを作成する手順:

  1. 「シングル サインオンのための SAML のセットアップ」のプロビジョニング手順を完了します。
  2. ADFS 管理アプリケーションを開きます。
  3. [Edit Claims (要求の編集)] をクリックします。
  4. [Send Claims Using a Custom Rule (カスタム ルールを使用して要求を送信)] テンプレートを選択します。
  5. [Next (次へ)] をクリックします。
    ルールの編集
  6. [Claim rule name (要求ルール名)]「Get AD Groups (AD グループの取得)」と入力します。
  7. [Custom rule (カスタム ルール)] には、以下のコードをコピーして貼り付けます。
    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
    => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);
    
  8. [OK] をクリックします。

新規ロールの作成

グループ名を変更する新しいロールを作成して、ロールに渡す要求/属性名を入力します。

このロールは以下を行います。

  • 認証ユーザが属するすべてのグループを http://temp/variable 変数にパイプします。
  • http://temp/variable の内容に対して「SUMO_ prefix」を持つ Active Directory グループを検索します。SUMO_ prefix は、すべてのユーザに割り当てられているロールのリストで、ADFS ルールが Sumo Logic グループを識別するために使用されます。グループが識別されると、SUMO_ prefix は削除されます。
  • 結果は、https://sumologic.com/SAML/Attributes/Role という属性に渡されます。この属性には、Sumo Logic Active Directory グループを含む値のリストが含まれます。

XML アサーションに含まれるロール属性の例を示します。

<Attribute Name="https://sumologic.com/SAML/Attributes/Role">
    <AttributeValue>Analyst</AttributeValue>
    <AttributeValue>Administrator</AttributeValue>
</Attribute>

新しいロールを作成する手順:

  1. ADFS 管理アプリケーションで [Edit Claims (要求の編集)] をクリックします。
  2. [Send Claims Using a Custom Rule (カスタム ルールを使用して要求を送信)] テンプレートを選択します。
    カスタム ルール
  3. [Claim rule name(要求ルール名)]「Roles Translation (ロール変換)」と入力します。
  4. [Custom rule (カスタム ルール)] には、以下のコードをコピーして貼り付けます。
    c:[Type == "http://temp/variable", Value =~ "(?i)^SUMO_"]
    => issue(Type = "https://sumologic.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "SUMO_", ""));
  5. [OK] をクリックします。

Sumo Logic でのロール属性の更新

SAML を正常に設定できましたので、Sumo Logic で [Roles Attribute (Optional) (ロール属性 (省略可能)] を更新して、ロール変換要求で定義した属性名と一致させます。

ロール属性を更新する手順

  1. Sumo Logic で、[Administration (管理)] > [Security (セキュリティ)] > [SAML] を選択します。
  2. [Configure (設定)] をクリックします。
    ロール属性
  3. [Roles Attribute (Optional) (ロール属性 (省略可能)] チェックボックスをオンにします。
  4. https://sumologic.com/SAML/Attributes/Role などの URL を入力します。
  5. [Save (保存)] をクリックします。
  • この記事は役に立ちましたか?