メインコンテンツまでスキップ
Sumo Logic Japanese

Sumo Logic ユーザを認証するための ADFS のセットアップ

設定した値を Sumo Logic で利用できるようにします。Sumo Logic で SAML を設定する方法については、「シングル サインオンのための SAML のセットアップ」を参照してください。  

Sumo Logic ユーザを認証するように ADFS を設定するには、以下の手順を実行します。 

証明書利用者信頼 (Relying Party Trust) の追加

Sumo Logic と ADFS を接続するには、証明書利用者信頼の設定が必要です。

  1. 「シングル サインオンのための SAML のセットアップ」のプロビジョニング手順を完了します。
  2. ADFS 管理アプリケーションを開いて Relying Party Trusts フォルダを選択し、[Actions (アクション)] > [Add a new Standard Relying Party Trust (新規証明書利用者信頼の追加)] をクリックしてウィザードを立ち上げます。[Start (開始)] をクリックします。 
    証明書利用者信頼の追加
  3. [Select Data Source (データ Source の選択)] ウィンドウで [Enter Data About the Party Manually (利用者のデータを手動で入力)] を選択して [Next (次へ)] をクリックします。
    データの手動入力
  4. [Specify Display Name (表示名の指定)] ウィンドウで、表示名と注釈 (省略可能) を入力して [Next (次へ)] をクリックします。
    表示名と注釈
  5. [Choose Profile (プロファイル選択)] ウィンドウで [AD FS profile (AD FS プロファイル)] を選択して [Next (次へ)] をクリックします。
    AD FS プロファイル
  6. [Configure Certificate (証明書の設定)] ウィンドウで、デフォルトの証明書設定を選択した状態で [Next (次へ)] をクリックします。
    デフォルト設定
  7. [Configure URL (URL の設定)] ウィンドウで [Enable Support for the SAML 2.0 WebSSO protocol (SAML 2.0 WebSSO プロトコルのサポートを有効にする)] を選択します。[Relying Party SAML 2.0 SSO service URL (利用者信頼 SAML 2.0 SSO サービス URL)] フィールドに、Sumo SAML 設定の [SP Initiated Login Configuration (SP で開始されたログイン設定)] の POST URL を入力して [Next (次へ)] をクリックします。
    サポートの有効化
  8. [Configure Identifiers (ID の設定)] ウィンドウで、使用する Sumo サービス エンドポイントを特定するサブドメインを含めた証明書利用者信頼 ID を入力します。例:
    • service.us2.sumologic.com
    • service.eu.sumologic.com
      信頼 ID
  9. (省略可能) 多要素認証を設定したい場合は、ADFS のドキュメントを参照してください。そうでなければ、デフォルトの [I do not want to configure (設定しません)] を設定したままにします。[Next (次へ)] をクリックします。
    確認
  10. [Choose Issuance Authorization Rules (発行承認ルールの選択)] ウィンドウで、[Permit all users to access this relying party (この証明書利用者信頼へのアクセスをすべてのユーザに許可する)] を選択します。アクセスを ADFS 認証ユーザの一部に限定したい場合は [Deny all users access to this relying party (この証明書利用者信頼へのアクセスをすべてのユーザに禁止する)] を選択し、グループ メンバーシップに基づいてアクセスを許可するユーザを定義する発行承認ルールを作成します。 

    [Next (次へ)] をクリックします。 
    すべてのユーザを許可
  11. 設定を見直し、チェックボックスを選択した状態で [Close (閉じる)] をクリックしてウィンドウを閉じて、次の要求ルールの指定に進みます。
    閉じる

要求ルールの作成

証明書利用者信頼を作成したら、要求ルールを作成して、必要に応じて証明書利用者信頼を更新します。証明書利用者信頼ウィザードを終了すると、編集用のインターフェイスが自動的に開きます。

要求ルールでは、アサーションでメール属性 (各 SAML 設定で 1 つの SAML サブジェクトや他の SAML 属性) が必要です。メール属性の値は、有効なメール アドレスでなければなりません。組織内のユーザを一意に識別します。

Sumo Logic は、メール アドレスの形式のみを検証し、ログイン時にそのメール アドレスが実際に存在するかどうかは確認しません。存在しないメール アドレスを使用してもログインは可能ですが、システムからのメール通知を受け取れなかったり、メール アドレスの確認が必要なサードパーティ サービスを利用できなかったりといった不都合があります。

要求ルールの作成手順

  1. [Edit Claim Rules (要求ルールの編集)] ウィンドウで [Add Rule (ルールの追加)] をクリックします。

    要求ルール
  2. [Select Rule Template (ルール テンプレートの選択)] ウィンドウで、[Send LDAP Attributes as Claims (LDAP 属性を要求として送信)] テンプレートを選択して [Next (次へ)] をクリックします。

    ルールの追加
  3. [Edit Rules (ルールの編集)] ウィンドウで、以下を行います。
    1. 要求ルールの名前を入力します。
    2. 属性ストアとして [Active Directory] を選択します。
    3. LDAP 属性と要求タイプのどちらも [E-Mail Addresses (メール アドレス)] を選択します。
    4. Sumo SAML の設定時にオンデマンド プロビジョニングを設定してある場合は、LDAP 属性で [Given Name (名前)][Surname (名字)] も指定する必要があります。  ドロップダウンから [Given Name (名前)] と [Surname (名字)] を選択することで、ADFS は要求タイプを正しく送信します。
    5. [OK] をクリックしてルールを保存します。
    Active Directory
  4. [Add Rule (ルールの追加)] をクリックして別のルールを追加します。[Transform an Incoming Claim (受信要求を変換)] をテンプレートとして選択して [Next (次へ)] をクリックします。
    ルールの追加
  5. 要求ルールの名前を入力して、以下の設定を行います。
    • Incoming Claim Type (受信要求タイプ)。[Email Address (メール アドレス)] を選択します。
    • Outgoing Claim Type (送信要求タイプ)。[Name ID (名前 ID)] を選択します。
    • Outgoing Name ID Format (送信名前 ID 形式): [Email (メール)] を選択します。
    • [Pass through all claim values (すべての要求値をパススルー)] オプションを選択します。
      全要求のパス
  6. [OK] をクリックして設定を保存し、[OK] をもう一度クリックしてルール編集ウィンドウを閉じます。

信頼設定の調整

ウィザードではアクセスできない証明書利用者信頼の設定がいくつかあります。

  1. これらの設定を指定するには、ADFS 管理アプリケーションで証明書利用者信頼エントリを選択して、[Actions (アクション)] > [Properties (プロパティ)] を選択します。
  2. [Identifiers (ID)] タブに表示名を入力します。証明書利用者信頼 ID を入力して [Add (追加)] をクリックします。
    追加
  3. [Endpoints (エンドポイント)] タブで、Sumo Logic SAML 設定で指定したアサーション コンシューマを参照する SAML Assertion Consumer Endpoint URL (SAML アサーション コンシューマ エンドポイント URL) を追加します。例: 
    https://service.us2.sumologic.com/sumo/saml/consume/1234567890
    

    SumoEndpoints-4.png
  4. [Endpoints (エンドポイント)] タブに新しいエンドポイントが表示されます。
    SumoEndpoints-6.png
  5. [Endpoints (エンドポイント)] タブをクリックして新しいエンドポイントを追加します。
    • Endpoint type (エンドポイント タイプ)。[SAML Logout (SAML ログアウト)] を選択します。
    • Binding (バインディング)。[POST] を選択します。
    • Trusted URL (信頼された URL): 次のように URL を作成します。
      • ADFS サーバの URL
      • ADFS SAML エンドポイント (通常は /adfs/ls)
      • 「?wa=wsignout1.0」の文字列
    • 完成した URL は次のようになります。
      https://adfs.myserver.tld/adfs/ls/?wa=wsignout1.0
    • [Response URL (応答 URL)] は空白にしておきます。
  6. [OK] をクリックして作業を完了し、変更内容を保存します。

ADFS SSO のテスト 

ログイン URL からログインを試して、ADFS SSO 実装をテストします。問題がある場合は、Sumo Logic に戻って以下の手順を実行します。

  1. [Administration (管理)] > [Security (セキュリティ)] > [SAML] を選択します。
  2. [Debug Mode (デバッグ モード)] チェックボックスをオンにして [Save (保存)] をクリックします。
  3. テストを再び行います。
  • この記事は役に立ちましたか?