チュートリアル: Microsoft Entra シングル サインオン (SSO) と SignalFx の統合

このチュートリアルでは、SignalFx と Microsoft Entra ID を統合する方法について説明します。 SignalFx と Microsoft Entra ID を統合すると、次のことができます。

  • SignalFx にアクセスできるユーザーを Microsoft Entra ID で制御する。
  • ユーザーが自分の Microsoft Entra アカウントで SignalFx に自動的にサインイン (シングル サインオン) するように設定できます。
  • 自分のアカウントを 1 か所 (Azure portal) で管理する。

前提条件

開始するには、次が必要です。

  • Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
  • SignalFx でのシングル サインオン (SSO) が有効なサブスクリプション

シナリオの説明

このチュートリアルでは、テスト環境で Microsoft Entra SSO を構成してテストします。

  • SignalFx では、IDP Initiated SSO がサポートされます。
  • SignalFx では、Just In Time ユーザー プロビジョニングがサポートされます。

手順 1:SignalFx アプリケーションを Azure に追加する

次の手順を使用して、マネージド SaaS アプリのリストに SignalFx アプリケーションを追加します。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
  3. [ギャラリーから追加する] セクションで、検索ボックスに、「SignalFx」と入力します。
  4. 結果パネルで [SignalFx] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。
  5. Microsoft Entra 管理センターを開いたままにして、新しいブラウザー タブを開きます。

手順 2:SignalFx SSO の構成を開始する

次の手順を使用して、SignalFx SSO の構成プロセスを開始します。

  1. 新しく開いたタブで、SignalFx UI にアクセスしてログインします。
  2. トップ メニューの [Integrations]\(統合\) をクリックします。
  3. 検索フィールドに「Microsoft Entra ID」と入力して選びます。
  4. [Create New Integration]\(新しい統合の作成\) をクリックします。
  5. [Name]\(名前\) に、ユーザーにとってわかりやすく認識しやすい名前を入力します。
  6. [Show on login page]\(ログイン ページに表示する\) をマークします。
    • この機能により、ユーザーがクリックできるカスタマイズされたボタンがログイン ページに表示されます。
    • [Name]\(名前\) に入力した情報がボタンに表示されます。 したがって、ユーザーが認識しやすい名前を入力してください。
    • このオプションが機能するのは、SignalFx アプリケーションにカスタム サブドメイン (yourcompanyname.signalfx.com など) を使用している場合のみです。 カスタム サブドメインを取得するには、SignalFx サポートにお問い合わせください。
  7. [Integration ID]\(統合 ID\) をコピーします。 この情報は後の手順で必要になります。
  8. SignalFx UI は開いたままにしておきます。

手順 3: Microsoft Entra SSO を構成する

Microsoft Entra SSO を有効にするには、次の手順を実行します。

  1. Microsoft Entra 管理センターに戻り、SignalFx アプリケーション統合ページで、[管理] セクションを見つけて、[シングル サインオン] を選択します。

  2. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。

  3. [SAML によるシングル サインオンのセットアップ] ページで、 [基本的な SAML 構成] の鉛筆アイコンをクリックして設定を編集します。

    Edit Basic SAML Configuration

  4. [SAML でシングル サインオンをセットアップします] ページで、次の手順を実行します。

    a. [ID] に URL 「https://api.<realm>.signalfx.com/v1/saml/metadata」を入力し、<realm> を実際の SignalFx 領域に置き換えます。

    b. [応答 URL] に URL 「https://api.<realm>.signalfx.com/v1/saml/acs/<integration ID>」を入力し、<realm> を実際の SignalFx 領域に置き換えるほか、<integration ID> を、先ほど SignalFx UI からコピーした統合 ID に置き換えます。

  5. SignalFx アプリケーションは、特定の形式の SAML アサーションを使用するため、カスタム属性のマッピングを SAML トークンの属性の構成に追加する必要があります。

  6. 次の要求が、Active Directory に設定されているソース属性と対応していることを確認します。

    名前 ソース属性
    User.FirstName User.givenname
    User.email User.mail
    PersonImmutableID user.userprincipalname
    User.LastName User.surname

    注意

    このプロセスでは、Active Directory が少なくとも 1 つの検証済みカスタム ドメインを使用して構成されていることと、そのドメインのメール アカウントにアクセスできることが必要です。 この構成に確信がない場合や支援が必要な場合は、SignalFx サポートにお問い合わせください。

  7. [SAML によるシングル サインオンのセットアップ] ページの [SAML 署名証明書] セクションで [証明書 (Base64)] を探し、 [ダウンロード] を選択します。 証明書をダウンロードして、コンピューターに保存します。 次に、 [アプリのフェデレーション メタデータ URL] の値をコピーします。この情報は、SignalFx UI の後続の手順で必要になります。

    The Certificate download link

  8. [SignalFx のセットアップ] セクションで、[Microsoft Entra 識別子] の値をコピーします。 この情報は、SignalFx UI の後続の手順で必要になります。

手順 4: Microsoft Entra テスト ユーザーを作成する

このセクションでは、B.Simon というテスト ユーザーを作成します。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  3. 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
  4. [ユーザー] プロパティで、以下の手順を実行します。
    1. "表示名" フィールドに「B.Simon」と入力します。
    2. [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、「 B.Simon@contoso.com 」のように入力します。
    3. [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
    4. [Review + create](レビュー + 作成) を選択します。
  5. [作成] を選択します。

手順 5: Microsoft Entra テスト ユーザーを割り当てる

このセクションでは、B.Simon に SignalFx へのアクセスを許可することで、このユーザーがシングル サインオンを使用できるようにします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID][アプリケーション][エンタープライズ アプリケーション][SignalFx] の順に移動します。
  3. アプリの概要ページで、[ユーザーとグループ] を選択します。
  4. [ユーザーまたはグループの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。
    1. [ユーザーとグループ] ダイアログの [ユーザー] の一覧から [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。
    2. ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
    3. [割り当ての追加] ダイアログで、 [割り当て] をクリックします。

手順 6:SignalFx SSO の構成を完了する

  1. 前のタブを開き、SignalFx UI に戻って現在の Microsoft Entra 統合ページを表示します。
  2. [証明書 (Base64)] の横にある [ファイルのアップロード] をクリックし、以前にダウンロードした Base64 でエンコードされた証明書ファイルを検索します。
  3. [Microsoft Entra 識別子] の横に、先ほどコピーした Microsoft Entra 識別子の値を貼り付けます。
  4. [フェデレーション メタデータ URL] の横に、先ほどコピーしたアプリのフェデレーション メタデータ URL の値を貼り付けます。
  5. [保存] をクリックします。

手順 7:SSO のテスト

SSO のテスト方法および SignalFx への初回ログインに対する期待については、次の情報を確認してください。

ログインのテスト

  • ログインをテストするには、プライベート (シークレット) ウィンドウを使用する必要があります。または、ログアウトしてもかまいません。そうしないと、アプリケーションを構成したユーザーの Cookie が妨げとなり、テスト ユーザーでの正常なログインができなくなります。

  • 新しいテスト ユーザーが初めてログインすると、Azure によってパスワードの変更が強制されます。 この場合は SSO ログイン プロセスが完了しないため、テスト ユーザーには Azure portal が表示されます。 トラブルシューティングを行うには、テスト ユーザーはパスワードを変更し、SignalFx のログイン ページまたはマイ アプリに移動して再試行する必要があります。

    • マイ アプリで [SignalFx] タイルをクリックすると、自動的に SignalFx にログインします。
  • SignalFx アプリケーションには、マイ アプリから、または組織に割り当てられたカスタム ログイン ページを介してアクセスできます。 テスト ユーザーは、そのいずれかの場所から統合をテストする必要があります。

    • テスト ユーザーは、先ほどこのプロセスで作成された、b.simon@contoso.com の資格情報を使用できます。

初回ログイン

  • ユーザーが SAML SSO から初めて SignalFx にログインすると、リンクが記載された SignalFx のメールがそのユーザーに送信されます。 ユーザーは認証のためにそのリンクをクリックする必要があります。 このメール検証は、初めて使用するユーザーに対してのみ実施されます。

  • SignalFx は Just-In-Time のユーザー作成をサポートしています。つまり、SignalFx にユーザーが存在しない場合、初回ログイン試行時にそのユーザーのアカウントが作成されます。

次のステップ

SignalFx を構成したら、組織の機密データの流出と侵入をリアルタイムで保護するセッション制御を適用することができます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。