サポートセンターホーム


シングルサインオン

概要

LogicMonitorのシングルサインオン(SSO)ソリューションを使用すると、管理者はLogicMonitorユーザーをIDプロバイダー(IdP)から直接認証および管理できます。 これにより、ログインプロセスとパスワード管理が簡素化されると同時に、IdPのすべてのセキュリティ機能と効率を活用できるようになります。

LogicMonitorのSSOは、SAML2.0互換のIdPで動作するように作成できます。 つまり、これにより、LogicMonitorとIdPは、ハンドシェイクを介して相互に検証し、SAMLアサーションを介してユーザー認証情報を共有できます。 交換は次のようになります(サービスプロバイダーとしてLogicMonitorを使用)。

ディフューザーを支えるテクノロジー

交換はLogicMonitorから開始することもできます。 ユーザーエクスペリエンスの観点から、IdPを開始すると、ユーザーはIdPにログインし、そこから直接LogicMonitorを起動します。 サービスプロバイダーフローでは、ユーザーはcompany.logicmonitor.comに直接アクセスでき、IdPでログインしていることを確認するか、リダイレクトしてログインします。

SSOの有効化

LogicMonitorアカウントでSSOを有効にしても、既存のユーザーには影響しませんが、統合をテストすることはできます。

  1. 現在地に最も近い シングルサインオンを有効にする からの設定 設定 > ユーザーアクセス > シングルサインオン.
  2. サービスプロバイダーのメタデータをダウンロードします。 これをIdPにアップロードする必要があります。
  3. IdPを構成します。 必要なすべての情報は、サービスプロバイダーのメタデータに含まれている必要があります。 詳細については、「IdP設定」を参照してください。
  4. IdPメタデータをダウンロードします。 これをLogicMonitorポータルにアップロードする必要があります。

IdPメタデータがLogicMonitorアカウントにアップロードされたら、統合をテストできます。

IdP構成

次のフィールドはIdP構成に共通です。

  • エンティティID:https://会社名.logicmonitor.com
  • ログインURL, 受信者または アサーション消費者サービス:https://会社名.logicmonitor.com / santaba / saml / SSO /
  • ポストバックURL:https://会社名.logicmonitor.com / santaba / rpc / ssoSignIn?func = idpSso&c = testcompany
  • 認証を強制する: はい
  • 名前ID形式: 電子メールアドレス
  • グループ名:https://www.logicmonitor.com/saml/roles
  • 対応:署名済み
  • アサーション:署名済み
  • 登録リクエスト:圧縮
  • MaxAuthenticationAge:一部のIdPでは、このフィールドに値(秒単位)を設定することで、ユーザーが指定された時間認証されたままになることができます。

ユーザーのIdPから、次の属性名を自動入力できます。

  • メールアドレス:エンティティの電子メールアドレスを指定するクレームのURI、http://schemas.xmlsoap.org/ws/2005/05/identity/claims/email
  • :エンティティの指定された名前を指定するクレームのURI、http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
  • :エンティティの名前を指定するクレームのURI、http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
  • ご連絡先(電話番号):電話
  • COVID-XNUMX 役割、次の形式が受け入れられます。
    • 「http://schemas.microsoft.com/ws/2008/06/identity/claims/role」
    • 「memberof」
    • 「グループ」
    • "グループ"
    • 「役割」

注意: Microsoft Azure Active Directory(AD)IdPを使用している場合は、送信グループクレーム属性名の名前を「http://schemas.microsoft.com/ws/2008/06/identity/claims/groups」から「groups」に変更する必要があります。 」を使用して、属性がLogicMonitorによって認識され、役割が適切に割り当てられていることを確認します。 これは、Azure ADのLogicMonitorアプリケーションから実行され、Azure ADConnectの同期が有効になっているオンプレミス環境でのみ使用できます。 グループクレーム属性のカスタマイズが成功すると、[ユーザー属性とクレーム]の表示は次のようになります。

ADFSの構成

SSO構成の一般的な概要は、すべてのIDプロバイダー(IdP)で同じですが、ADFSを構成するためのヒントを次に示します。

  1. ADFS2.0がインストールされていることを確認します。デフォルトのADFSバージョンは1.0です。 ADFS2.0はここからダウンロードできます。 https://www.microsoft.com/en-us/download/details.aspx?id=10909.
  2. ADFSのインストールと展開の詳細については、を参照してください。 https://technet.microsoft.com/en-us/library/dn486820.aspx
  3. LogicMonitorアカウントからSPメタデータをダウンロードします(設定 > シングルサインオン > サービスプロバイダーのメタデータ > ダウンロード).
  4. Microsoft管理コンソールで、 依拠当事者の信頼を追加する。 選択する 証明書利用者に関するデータをファイルからインポートします SPメタデータファイルを選択します。 クリック .
  5. コメントを残す [クレームルールの編集]ダイアログを開きます オプションをオンにして、ウィザードを終了します。
  6. 次の項目を選択します。: ルールを追加する、選択する LDAP属性をクレームとして送信する をクリックし .
  7. 任意の名前を「クレームルール名」として設定し、 Active Directory 属性ストアとして。
  8. LDAP属性を次のLDAP属性と送信クレームタイプのペアでマップします。
    LDAP属性発信クレームタイプ
    SAM-アカウント名名前ID
    トークングループ–修飾されていない名前仕事の内容
    メールアドレスE-Mailアドレス

    注意: この構成では、ADFSがSamAccount-Nameと一致するLogicMonitorユーザー名を検索するため、LMユーザー名はSAMAccount-Nameと一致している必要があります。 代わりに電子メールアドレスを一致させたい場合は、SAMAccount-Nameマッピングを省略し、送信クレームとして名前IDを持つXNUMX番目のE-Mail-Addressesルールを含めることができます。

    1. (重要)プロバイダーをダブルクリックして開き、[詳細設定]タブを選択して、[セキュアハッシュアルゴリズム]をSHA-1以降に変更します。
    2. IdPメタデータ(https:// [NameOfYourADFSServer] /FederationMetadata/2007-06/FederationMetadata.xmlからダウンロード)をLogicMonitorアカウントにアップロードします。 メタデータファイルは64KB未満である必要があります。 ADFSに不要な情報が含まれることがあります。ファイルが64KBを超える場合は、SPSRoleDescriptorおよびRoleDescriptorの情報を削除してください。 エンティティ情報とIDPSSODescriptorセクションが必要です。

    注意: ChromeとADFS認証には既知の問題があります。 Chromeを認証に使用するには、ADFSWebポータルの「拡張保護」を無効にします。 通常、ADFSサーバーで拡張保護をオフにするには、次の作業が必要です。

    1. IISマネージャーを起動します。
    2. 次の項目を選択します。: サイト > デフォルトのWebサイト > ADFS > ls.
    3. 認証アイコンをダブルクリックし、右クリックします Windows認証 をクリックして [詳細設定].
    4. [詳細設定]ダイアログで、[ 拡張保護のためにオフ.

    SLOの有効化

    LogicMonitorのSSO統合には、SAMLシングルログアウト(SLO)プロトコルのサポートが含まれています。 SLOが有効になっている場合、LogicMonitorポータルから開始されたログアウトは、IdPをトリガーして、LogicMonitorからだけでなく、 そのユーザーが現在サインオンしているSSOアプリケーション。

    SLO機能は、SSOが構成されているのと同じダイアログから、 シングルログアウトを有効にする オプション。 このチェックボックスは、正確なIdPメタデータがアップロードされた後にのみ選択できます。

    注意: SLOは、SAMLv2仕様に従って実装されています。 機能はいくつかの標準ベースのIdPで検証されていますが、SAML仕様を完全にサポートしていないものもあるため、すべてのIdPとの互換性を保証することはできません。

    SSOを介したユーザーの作成

    LogicMonitorでユーザーセッションを開始する方法はXNUMXつあります。

    • ユーザーアカウントはすでにLogicMonitorに存在します。 これは、IdPユーザー識別子の場合です( NameID形式を電子メールに設定し、 メールアドレスになります)LogicMonitorユーザー名と一致します。 セッションでは、ユーザーの既存の役割が尊重されます。 LM管理者がユーザーの役割を手動で変更した場合、この新しい役割とSAMLアサーションからの役割の両方が存在します。
    • ユーザーアカウントが存在せず、ロール属性(memberof、role、group、またはgroups)がSAMLアサーションに含まれています。 ユーザーは、LogicMonitorロールで完全に一致する限り、対応するロールで作成されます。
    • ユーザーアカウントが存在せず、SAMLアサーションにロール属性が含まれていません。 ユーザーが作成され、 デフォルトの役割 (SSO設定で構成)が割り当てられます。

    注意: 新しいユーザーアカウントは、デフォルトの「グループ化されていない」ユーザーグループに配置されます。

    SSOの実施

    ユーザーにIDプロバイダーによる認証を強制するには、[ シングルサインオンを制限する。 ユーザーがhttps://companyname.logicmonitor.comにアクセスすると、アクティブなIdPセッションがあるかどうかが確認されます。 そうでない場合は、ログインにリダイレクトされます。 IdPに問題がある場合に、管理者がアカウントにアクセスする別の方法があります。 詳細については、サポートにお問い合わせください。

    注意: シングルサインオンを制限すると、2FAを適用する機能が無効になります。 さらに、LogicMonitorのREST APIを使用する場合、ユーザーはユーザー名/パスワードまたはAPIトークンを介してAPIリクエストを認証できます。

    IdPパートナー

    LogicMonitor環境を次のようなさまざまなSaaSIDプロバイダーと統合できます。 マイクロソフト, OneLogin, PingIdentity, 中心化する, ビチウム 影響により オクタ。 LogicMonitorアプリケーションは、各パートナーのアプリカタログにあります。

記事上で