項目 |
内容 |
|
---|---|---|
事前確認 |
|
|
ネームID |
〇 |
メールアドレス |
カスタム属性 ※ カスタム属性の設定方法はこちら |
||
SP側の設定 |
〇 |
管理者様にて設定 |
SPへ設定を依頼 |
||
プロビジョニング |
APIによるプロビジョニング対応(GMOトラスト・ログインでアカウント管理可) |
|
〇 |
SAML JITプロビジョニング対応(GMOトラスト・ログインでアカウント管理可・ユーザー削除不可) |
|
|
なし(各システムでアカウント作成) |
|
アクセス方法 |
〇 |
SP-Initiated SSO |
〇 |
IdP-Initiated SSO |
|
デバイス別動作検証状況 |
〇 |
PC - ブラウザ |
ー |
PC - デスクトップアプリ |
|
〇 |
iOS - 標準ブラウザ (Safari) |
|
〇 |
iOS - トラスト・ログイン モバイルアプリ 内部ブラウザ |
|
ー |
iOS - ネイティブアプリ |
|
〇 |
Android - 標準ブラウザ (Chrome) |
|
〇 |
Android - トラスト・ログイン モバイルアプリ 内部ブラウザ |
|
ー |
Android - ネイティブアプリ |
設定の流れ
トラスト・ログイン | Splunk |
1. 事前準備 |
|
3. Splunk の設定 |
|
4. トラスト・ログインのユーザーの設定 |
事前準備
SplunkにSAML認証によるログインを行うと、JITプロビジョニングによりSplunkにユーザー情報の同期が行われるため、以下二つの設定を事前に行います。
①メンバー情報にカスタム属性を追加
トラスト・ログインのメンバー情報にカスタム属性で「フルネーム」を追加します。カスタム属性の属性名は任意です。
【設定例】
カスタム属性の設定方法は以下のページをご参照ください。
②グループを作成しメンバーを割り当て
Splunkロールのグループ(後述)にマッピングするグループを作成し、メンバーを割り当てます。
(既存のグループで運用が可能な場合は既存グループでも構いません。)
グループ名は任意です。
グループの方法、メンバーの割り当て方法は以下のページをご参照ください。
グループを登録する
【設定例】
- 「splunk_admin」グループを作成し、Splunkの「sc_admin」ロールのメンバーを割り当て
- 「splunk_user」グループを作成し、Splunkの「user」ロールのメンバーを割り当て
これにより「splunk_admin」に属するユーザーがSplunk にSAMLログインを行うと、自動的に「sc_admin」ロールが割り当てられます。設定したグループに属さないユーザーはSplunkへのログインができなくなります。
トラスト・ログインの管理ページの設定
- トラスト・ログインにログインし、「管理ページ > アプリ」メニューを開き、画面右上の「SAMLアプリ登録」ボタンを押します。
- 「アプリケーション名」「アイコン」(任意)を登録します。
- 「IDプロバイダーの情報」の「IDプロバイダーURL」「発行者・エンティティID」を控え「証明書」をダウンロードしておきます。
- 「サービスプロバイダーの設定」の各項目を以下のとおり設定します。
ネームID用値 「メンバー」-「email」を選択 (デフォルトのまま)
エンティティID 「Splunk-[お客様のSplunkのサブドメイン]」
例:SplunkのサイトURLが https://abc.splunkcloud.com/ の場合、「Splunk-abc」と入力
ネームIDフォーマット 「emailAddress」を選択 サービスへのACS URL 「[お客様のSplunkのサイトURL]/saml/acs」
例:SplunkのサイトURLが https://abc.splunkcloud.com/ の場合、「https://abc.splunkcloud.com/saml/acs」と入力
- 「SAML属性の設定」の「SAML属性を追加」ボタンで行(属性)を追加し、以下の通り設定します。
グループ属性値はプルダウンからグループ名を選択し、右の「+」マークで複数追加できます。
サービスプロバイダー属性 トラスト・ログイン(IdP)属性 属性指定名 属性種類 属性名 属性値 role Unspecified role グループ 設定したグループ名 mail Unspecified mail メンバー メンバーーメールアドレス realName Unspecified realName カスタム属性 設定した属性名 - 「登録」ボタンで保存します。
Splunk の設定
①SAMLの設定
- 管理者アカウントでSplunkを開き、「設定 > 認証方法」を開きます。
- 認証方法「SAML」を選択し、「Splunkを設定してSAMLを使用」を押下します。
- SAML設定画面が開いたら各項目を以下の通り設定し、最後に「保存」ボタンで保存します。
(記載のない項目はディフォルト設定から変更不要です)
トラスト・ログインから控えた「IDプロバイダーURL」 IdP認証チェーン トラスト・ログインからダウンロードした証明書を開き中身を貼り付ける 発行者ID トラスト・ログインから控えた「発行者・エンティティID」 エンティティID 「Splunk-[お客様のSplunkのサブドメイン]」
(トラスト・ログイン側に設定したエンティティID)名前ID形式 「電子メールアドレス」を選択 完全修飾ドメイン名またはロードバランスのIPです お客様のSplunkのサイトURL
例:https://abc.splunkcloud.com/リダイレクトポート-ロードバランスのポート 0 SSOバインディング 「HTTP Post」を選択
②SAMLグループの設定
- SAMLグループの画面で「新しいグループ」を押下します。
- グループ名、Splunkロールを設定し、「保存」ボタンで保存します。
※ グループ名はトラスト・ログインで作成したグループ名と同一である必要があります。 -
同様にトラスト・ログインの「SAML属性の設定」で設定したグループをすべて作成します。
トラスト・ログインのユーザーの設定
① ユーザーがマイページで追加する場合
- 「マイページ」で「アプリ追加」ボタンを押します。
- 「アプリ登録」画面で作成した独自SAMLアプリを選択し、画面右上の「次へ」ボタンを押します。
- 「表示名」を変更する場合は入力し、「登録」ボタンを押します。
- 「マイページ」または「拡張機能」でアプリをクリックし、ログインが成功するかご確認ください。
②管理者がメンバーを追加する場合
- 「管理ページ > アプリ」メニューで作成した独自SAMLアプリを検索しクリックします。
- 「メンバー追加」をクリックし、メンバー一覧から追加するユーザーを選択し「登録」ボタンを押して追加します。