ADFS での権限の管理
ADFS と SAML を使用して Sumo Logic のユーザ権限を管理できます。そのためには、SAML 経由でロールを Sumo Logic と同期させるように ADFS を設定する必要があります。
開始する前に、以下の重要なポイント、制限事項、そしてヒントを読んでください。
- ユーザ権限は SSO ログインごとに更新されます。これにより、Sumo Logic ユーザの権限を Active Directory 内で管理できます。
- SAML はデプロビジョニング メカニズムを提供しません。ユーザが Active Directory で削除または無効化されても、Sumo Logic には反映されません。そしてこれらのユーザは、SSO 経由で Sumo Logic にはログインできなくなります。例外はアクセス キーで、SAML のロックダウンが有効でない場合は、ユーザは引き続きネイティブ アカウントでログインできます。
- アクセス キーは SAML では管理されません。つまり、ユーザが SSO 側でオフになった場合は、そのユーザのアクセス キーはまだ有効ということになります。そのため、システム管理者はユーザを定期的に監査して、必要に応じてアクセス キーを無効にしてください。
- デフォルトでは、システム管理者は、SAML でプロビジョニングされたユーザに加えて、新しい Sumo Logic ログインを作成できます。これにより、アカウントを監査するか、または SAML ロックダウンの有効化を Sumo Logic サポートに依頼する必要が生じます。
- SAML ロックダウンは、ユーザがユーザ名とパスワードを使用して Sumo Logic に直接ログインできなくします。他にも、ユーザのアカウントが変更された場合にメールを送信しなくなったなど、ユーザ管理にはいくつかの細かい修正が加わっています。
- SAML 設定が正常に完了したら、Sumo Logic の SAML 設定でデバッグを有効にして、問題を特定できるようにします。
新規要求ルールの作成
AD グループを収集するための新しい要求ルールを作成します。
新しい要求ルールを作成する手順:
- 「シングル サインオンのための SAML のセットアップ」のプロビジョニング手順を完了します。
- ADFS 管理アプリケーションを開きます。
- [Edit Claims (要求の編集)] をクリックします。
- [Send Claims Using a Custom Rule (カスタム ルールを使用して要求を送信)] テンプレートを選択します。
- [Next (次へ)] をクリックします。
- [Claim rule name (要求ルール名)] に「Get AD Groups (AD グループの取得)」と入力します。
- [Custom rule (カスタム ルール)] には、以下のコードをコピーして貼り付けます。
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);
- [OK] をクリックします。
新規ロールの作成
グループ名を変更する新しいロールを作成して、ロールに渡す要求/属性名を入力します。
このロールは以下を行います。
- 認証ユーザが属するすべてのグループを
http://temp/variable
変数にパイプします。 http://temp/variable
の内容に対して「SUMO_ prefix
」を持つ Active Directory グループを検索します。SUMO_ prefix
は、すべてのユーザに割り当てられているロールのリストで、ADFS ルールが Sumo Logic グループを識別するために使用されます。グループが識別されると、SUMO_ prefix
は削除されます。- 結果は、
https://sumologic.com/SAML/Attributes/Role
という属性に渡されます。この属性には、Sumo Logic Active Directory グループを含む値のリストが含まれます。
XML アサーションに含まれるロール属性の例を示します。
<Attribute Name="https://sumologic.com/SAML/Attributes/Role"> <AttributeValue>Analyst</AttributeValue> <AttributeValue>Administrator</AttributeValue> </Attribute>
新しいロールを作成する手順:
- ADFS 管理アプリケーションで [Edit Claims (要求の編集)] をクリックします。
- [Send Claims Using a Custom Rule (カスタム ルールを使用して要求を送信)] テンプレートを選択します。
- [Claim rule name(要求ルール名)] に「Roles Translation (ロール変換)」と入力します。
- [Custom rule (カスタム ルール)] には、以下のコードをコピーして貼り付けます。
c:[Type == "http://temp/variable", Value =~ "(?i)^SUMO_"] => issue(Type = "https://sumologic.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "SUMO_", ""));
- [OK] をクリックします。
Sumo Logic でのロール属性の更新
SAML を正常に設定できましたので、Sumo Logic で [Roles Attribute (Optional) (ロール属性 (省略可能)] を更新して、ロール変換要求で定義した属性名と一致させます。
ロール属性を更新する手順
- Sumo Logic で、[Administration (管理)] > [Security (セキュリティ)] > [SAML] を選択します。
- [Configure (設定)] をクリックします。
- [Roles Attribute (Optional) (ロール属性 (省略可能)] チェックボックスをオンにします。
https://sumologic.com/SAML/Attributes/Role
などの URL を入力します。- [Save (保存)] をクリックします。