Splunk のSAML JIT設定方法

 項目

内容 

事前確認

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(GMOトラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(GMOトラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

設定の流れ

トラスト・ログイン Splunk

1. 事前準備
  ①ユーザー情報にカスタム属性を追加
  ②グループを作成しメンバーを割り当て

 

2. トラスト・ログインの管理ページの設定

 
 

3. Splunk の設定
  ①SAMLの設定
  ②SAMLグループの設定

4. トラスト・ログインのユーザーの設定

 

 

事前準備

SplunkにSAML認証によるログインを行うと、JITプロビジョニングによりSplunkにユーザー情報の同期が行われるため、以下二つの設定を事前に行います。

①ユーザー情報にカスタム属性を追加

トラスト・ログインのメンバー情報にカスタム属性で「フルネーム」を追加します。カスタム属性の属性名は任意です。

【設定例】
11.png

カスタム属性の設定方法は以下のページをご参照ください。

    カスタム属性 設定方法(個別登録)

    カスタム属性 設定方法(一括登録)

②グループを作成しメンバーを割り当て

Splunkロールのグループ(後述)にマッピングするグループを作成し、メンバーを割り当てます。
(既存のグループで運用が可能な場合は既存グループでも構いません。)
グループ名は任意です。

グループの方法、メンバーの割り当て方法は以下のページをご参照ください。
    グループを登録する

【設定例】

  • 「splunk_admin」グループを作成し、Splunkの「sc_admin」ロールのメンバーを割り当て
  • 「splunk_user」グループを作成し、Splunkの「user」ロールのメンバーを割り当て

これにより「splunk_admin」に属するユーザーがSplunk にSAMLログインを行うと、自動的に「sc_admin」ロールが割り当てられます。設定したグループに属さないユーザーはSplunkへのログインができなくなります。

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    01.png

  2. 「アプリケーション名」「アイコン」(任意)を登録します。
    02.png

  3. 「IDプロバイダーの情報」の「IDプロバイダーURL」「発行者・エンティティID」を控え「証明書」をダウンロードしておきます。
    03.png

  4. 「サービスプロバイダーの設定」の各項目を以下のとおり設定します。
    ネームID用値

    「メンバー」-「email」を選択 (デフォルトのまま)

    エンティティID

    「Splunk-[お客様のSplunkのサブドメイン]」

    例:SplunkのサイトURLが https://abc.splunkcloud.com/ の場合、
    Splunk-abc」と入力

    ネームIDフォーマット 「emailAddress」を選択
    サービスへのACS URL

    「[お客様のSplunkのサイトURL]/saml/acs」

    例:SplunkのサイトURLが https://abc.splunkcloud.com/ の場合、
    https://abc.splunkcloud.com/saml/acs」と入力


    04.png

  5. 「SAML属性の設定」の「SAML属性を追加」ボタンで行(属性)を追加し、以下の通り設定します。
    グループ属性値はプルダウンからグループ名を選択し、右の「+」マークで複数追加できます。
    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値
    role Unspecified role グループ 設定したグループ名
    mail Unspecified mail メンバー メンバーーメールアドレス
    realName Unspecified realName カスタム属性 設定した属性名
    05.png

  6. 「登録」ボタンで保存します。

Splunk の設定

①SAMLの設定

  1. 管理者アカウントでSplunkを開き、「設定 > 認証方法」を開きます。
    06.png

  2. 認証方法「SAML」を選択し、「Splunkを設定してSAMLを使用」を押下します。
    07.png

  3. SAML設定画面が開いたら各項目を以下の通り設定し、最後に「保存」ボタンで保存します。
    (記載のない項目はディフォルト設定から変更不要です)
    トラスト・ログインから控えた「IDプロバイダーURL」
    IdP認証チェーン トラスト・ログインからダウンロードした証明書を開き中身を貼り付ける
    発行者ID トラスト・ログインから控えた「発行者・エンティティID」
    エンティティID 「Splunk-[お客様のSplunkのサブドメイン]」
    (トラスト・ログイン側に設定したエンティティID)
    名前ID形式 「電子メールアドレス」を選択
    完全修飾ドメイン名またはロードバランスのIPです お客様のSplunkのサイトURL
    例:https://abc.splunkcloud.com/
    リダイレクトポート-ロードバランスのポート
    SSOバインディング 「HTTP Post」を選択

    08.png
    09.png
    10.png

②SAMLグループの設定

  1. SAMLグループの画面で「新しいグループ」を押下します。
    12.png

  2. グループ名、Splunkロールを設定し、「保存」ボタンで保存します。
    ※ グループ名はトラスト・ログインで作成したグループ名と同一である必要があります。
    13.png

  3. 同様にトラスト・ログインの「SAML属性の設定」で設定したグループをすべて作成します。
    14.png

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
  4. 「マイページ」または「拡張機能」でアプリをクリックし、ログインが成功するかご確認ください。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。

Splunk のSAML JIT設定方法

 項目

内容 

事前確認

ネームID

メールアドレス

 

カスタム属性 ※ カスタム属性の設定方法はこちら

SP側の設定

管理者様にて設定

 

SPへ設定を依頼

プロビジョニング

 

APIによるプロビジョニング対応(GMOトラスト・ログインでアカウント管理可)

SAML JITプロビジョニング対応(GMOトラスト・ログインでアカウント管理可・ユーザー削除不可)

 

なし(各システムでアカウント作成)

アクセス方法

SP-Initiated SSO

IdP-Initiated SSO

デバイス別動作検証状況

PC - ブラウザ

PC - デスクトップアプリ

iOS - 標準ブラウザ (Safari)

iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ

iOS - ネイティブアプリ

Android - 標準ブラウザ (Chrome)

Android - トラスト・ログイン モバイルアプリ 内部ブラウザ

Android - ネイティブアプリ

 

設定の流れ

トラスト・ログイン Splunk

1. 事前準備
  ①ユーザー情報にカスタム属性を追加
  ②グループを作成しメンバーを割り当て

 

2. トラスト・ログインの管理ページの設定

 
 

3. Splunk の設定
  ①SAMLの設定
  ②SAMLグループの設定

4. トラスト・ログインのユーザーの設定

 

 

事前準備

SplunkにSAML認証によるログインを行うと、JITプロビジョニングによりSplunkにユーザー情報の同期が行われるため、以下二つの設定を事前に行います。

①ユーザー情報にカスタム属性を追加

トラスト・ログインのメンバー情報にカスタム属性で「フルネーム」を追加します。カスタム属性の属性名は任意です。

【設定例】
11.png

カスタム属性の設定方法は以下のページをご参照ください。

    カスタム属性 設定方法(個別登録)

    カスタム属性 設定方法(一括登録)

②グループを作成しメンバーを割り当て

Splunkロールのグループ(後述)にマッピングするグループを作成し、メンバーを割り当てます。
(既存のグループで運用が可能な場合は既存グループでも構いません。)
グループ名は任意です。

グループの方法、メンバーの割り当て方法は以下のページをご参照ください。
    グループを登録する

【設定例】

  • 「splunk_admin」グループを作成し、Splunkの「sc_admin」ロールのメンバーを割り当て
  • 「splunk_user」グループを作成し、Splunkの「user」ロールのメンバーを割り当て

これにより「splunk_admin」に属するユーザーがSplunk にSAMLログインを行うと、自動的に「sc_admin」ロールが割り当てられます。設定したグループに属さないユーザーはSplunkへのログインができなくなります。

トラスト・ログインの管理ページの設定

  1. トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
    01.png

  2. 「アプリケーション名」「アイコン」(任意)を登録します。
    02.png

  3. 「IDプロバイダーの情報」の「IDプロバイダーURL」「発行者・エンティティID」を控え「証明書」をダウンロードしておきます。
    03.png

  4. 「サービスプロバイダーの設定」の各項目を以下のとおり設定します。
    ネームID用値

    「メンバー」-「email」を選択 (デフォルトのまま)

    エンティティID

    「Splunk-[お客様のSplunkのサブドメイン]」

    例:SplunkのサイトURLが https://abc.splunkcloud.com/ の場合、
    Splunk-abc」と入力

    ネームIDフォーマット 「emailAddress」を選択
    サービスへのACS URL

    「[お客様のSplunkのサイトURL]/saml/acs」

    例:SplunkのサイトURLが https://abc.splunkcloud.com/ の場合、
    https://abc.splunkcloud.com/saml/acs」と入力


    04.png

  5. 「SAML属性の設定」の「SAML属性を追加」ボタンで行(属性)を追加し、以下の通り設定します。
    グループ属性値はプルダウンからグループ名を選択し、右の「+」マークで複数追加できます。
    サービスプロバイダー属性 トラスト・ログイン(IdP)属性
    属性指定名 属性種類 属性名   属性値
    role Unspecified role グループ 設定したグループ名
    mail Unspecified mail メンバー メンバーーメールアドレス
    realName Unspecified realName カスタム属性 設定した属性名
    05.png

  6. 「登録」ボタンで保存します。

Splunk の設定

①SAMLの設定

  1. 管理者アカウントでSplunkを開き、「設定 > 認証方法」を開きます。
    06.png

  2. 認証方法「SAML」を選択し、「Splunkを設定してSAMLを使用」を押下します。
    07.png

  3. SAML設定画面が開いたら各項目を以下の通り設定し、最後に「保存」ボタンで保存します。
    (記載のない項目はディフォルト設定から変更不要です)
    トラスト・ログインから控えた「IDプロバイダーURL」
    IdP認証チェーン トラスト・ログインからダウンロードした証明書を開き中身を貼り付ける
    発行者ID トラスト・ログインから控えた「発行者・エンティティID」
    エンティティID 「Splunk-[お客様のSplunkのサブドメイン]」
    (トラスト・ログイン側に設定したエンティティID)
    名前ID形式 「電子メールアドレス」を選択
    完全修飾ドメイン名またはロードバランスのIPです お客様のSplunkのサイトURL
    例:https://abc.splunkcloud.com/
    リダイレクトポート-ロードバランスのポート
    SSOバインディング 「HTTP Post」を選択

    08.png
    09.png
    10.png

②SAMLグループの設定

  1. SAMLグループの画面で「新しいグループ」を押下します。
    12.png

  2. グループ名、Splunkロールを設定し、「保存」ボタンで保存します。
    ※ グループ名はトラスト・ログインで作成したグループ名と同一である必要があります。
    13.png

  3. 同様にトラスト・ログインの「SAML属性の設定」で設定したグループをすべて作成します。
    14.png

トラスト・ログインのユーザーの設定

① ユーザーがマイページで追加する場合

  1. 「マイページ」で「アプリ追加」ボタンを押します。
  2. 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
  3. 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
  4. 「マイページ」または「拡張機能」でアプリをクリックし、ログインが成功するかご確認ください。

②管理者がメンバーを追加する場合

  1. 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
  2. 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。