ユーザーを管理するために、New Relic 組織は 1 つまたは複数の認証ドメインを構成できます。これにより、ユーザーを New Relic アカウントに追加する方法、認証方法などを制御できます。
認証ドメインの説明
はauthentication domain 、プロビジョニング方法New Relic (追加と更新) や 認証方法 (ログイン) など、同じユーザー管理設定によって管理される ユーザーのグループです。
New Relic 組織を作成するときのデフォルトの認証設定は次のとおりです。
- ユーザーのソース: ユーザーは、(サードパーティのツールではなく) ユーザー管理ツールのみを使用して New Relic に追加されます。
- 認証: ユーザーは電子メールとパスワードを使用してログインします
これらのデフォルト設定は、1 つの認証ドメインの下にあります。別の認証ドメインを追加した場合は、次のように設定できます。
- ユーザーのソース: ユーザーは、SCIM プロビジョニングを介してサードパーティの ID プロバイダーから追加および管理されます
- 認証: ユーザーは ID プロバイダーからの SAML シングル サインオン (SSO) を使用してログインします。
ユーザーを New Relic に追加すると、常に特定の認証ドメインに追加されます。通常、組織には 1 つまたは 2 つの認証ドメインがあります。1 つは手動の方法を使用し、もう 1 つは ID プロバイダーに関連付けられた方法を使用します。この短いビデオ (4 分 26 秒) で詳細をご覧ください。
要件
認証ドメインを管理するには:
編集可能な認証ドメインを持つには、組織が Pro または Enterprise エディション のいずれかである必要があります。
認証ドメインを表示または編集するには、ユーザーが必要です。
- コアユーザーまたはフルプラットフォームユーザーのうち、 ユーザータイプ を持つ。
- Authentication domain管理設定のグループに所属してください。
SCIMプロビジョニング(自動ユーザー管理)は、ProまたはEnterpriseエディションが必要です。 要件について詳しくはこちら。
SAML SSO には 有料版が必要です。SAML SSO サポートには次のものが含まれます。
Active Directory Federation Services (ADFS)
Auth0
Azure AD (Microsoft Azure Active Directory)
Google
Okta
OneLogin
Ping Identity
Salesforce
SAML2.0を使用するSSOシステムの一般的なサポート
認証ドメインの作成と設定
要件を満たしている場合 、認証ドメインを追加・管理することができます。
認証ドメインを表示および構成するには、ユーザー メニューからAdministration > Authentication domainsに移動します。
既存のドメインがある場合は、左に表示されます。ほとんどの組織では、せいぜい2つまたは3つのドメインを持っていることに注意してください。1つは手動のデフォルト設定、1つまたは2つはIDプロバイダーに関連する設定です。
認証ドメイン UI ページから新しいドメインを作成するには、 Create authentication domainをクリックします。 設定オプションの詳細については、読み続けてください。
別のドメインに切り替える
複数の認証ドメインにユーザー レコードがある場合は、ドメインを切り替えることができます。
ユーザーのソース: ユーザーの追加方法と管理方法
ヒント
当社のSAML SSOおよびSCIM製品の紹介については、 Get started with SSO and SCIM をご覧ください。
認証ドメイン UIから、ユーザーのソースの 2 つのオプションのいずれかを設定できます。
- Manual (デフォルト): これは、ユーザーがUser management UIから New Relic に手動で追加されることを意味します。
- SCIM: 自動化されたユーザー管理機能を使用すると、SCIM プロビジョニングを使用して、ID プロバイダーからユーザーをインポートおよび管理できます。
これらの設定についての注意事項
- Source of usersを切り替えることはできません。 つまり、すでに設定されている認証ドメインに対してこれを変更する場合は、新しい認証ドメインを作成する必要があります。
- SCIMを初めて有効にしたとき、ベアラートークンが生成され、一度だけ表示されます。後でベアラートークンを表示する必要がある場合は、新しいベアラートークンを生成するしかありません。この場合、古いベアラートークンと、古いベアラートークンを使用した統合は無効になります。
SCIMの設定方法については、 Automated user management を参照してください。
ユーザータイプの管理方法
Authentication Domain UIで、ユーザーのプロビジョニング方法として SCIM を選択した場合、ユーザーのユーザー タイプを管理する方法について 2 つのオプションがあります。
- Manage user type in New Relic: これはデフォルトのオプションです。 New Relicからユーザーのユーザータイプを管理できるようになります。
- Manage user type with SCIM: これを有効にすると、New Relic からユーザー タイプを管理できなくなります。 変更および管理できるのは、ID プロバイダーからのみです。
この2つの選択肢については
認証: ユーザーのログイン方法
認証方法とは、New Relic のユーザーが New Relic にログインする際の方法です。認証ドメイン内のすべてのユーザーは、1つの認証方法を持ちます。認証方法は 2 つあります。
- ユーザー名/パスワード (デフォルト): ユーザーは電子メールとパスワードでログインします。
- SAML SSO: ユーザーは、ID プロバイダーを使用して SAML シングル サインオン (SSO) 経由でログインします。その設定方法については、読み続けてください。
SAML SSO認証の設定
以下の手順でSAML SSOを有効にする前に、理解しておくべきことや考慮すべきことがあります。
- New Relic SSO および SCIM の紹介を読むことを検討してください。
- SAML SSO の要件 の確認を検討してください。
- SAML SSOの設定方法については、 のビデオを見て検討してください 。
- なお、SSOを有効にしているユーザーは、ログインとパスワードの情報がIDプロバイダーによって処理されるため、New Relicから認証メールの通知を受けることはありません。
- ID プロバイダーサービスのドキュメントには、New Relic 固有の説明がある場合がありますので、そちらを参照してください。
SCIMのプロビジョニングを設定している場合。
only SCIM ではなく SAML SSO を有効にする場合、および Azure、Okta、または OneLogin を使用する場合は、関連するアプリを構成するための次の手順に従ってください。
- 上記に記載されていない別の ID プロバイダを使用して SAML を実装する場合は、以下の SAML の説明を使用して統合を試みる必要がある。ID プロバイダは、SAML 2.0 プロトコルを使用し、署名された SAML アサーションを必要とする必要があることに注意する。
次に、認証ドメイン UI に移動します。 ユーザーメニューから、 Administrationクリックし、 Authentication domainsをクリックします。 まだドメインがない場合は、SAML 認証ユーザーに使用する新しいドメインを作成します。
Authenticationの下で、 Configureをクリックします。 Method of authenticating usersの下でSAML SSOを選択します。
Okta、OneLogin、または Azure AD アプリを使用している場合は、この手順をスキップできます。 Provided by New Relicの下には、New Relic 固有の情報がいくつかあります。 これらを ID プロバイダー サービスの関連フィールドに配置する必要があります。 保存場所がわからない場合は、ID プロバイダーのドキュメントを参照してください。
Provided by youの下にSource of SAML metadataを入力します。 この URL は ID プロバイダーによって提供され、別の名前が付けられる場合があります。 SAML V2.0 メタデータ標準に準拠する必要があります。 アイデンティティプロバイダーdoesn'tが動的設定をサポートしている場合は、 Upload a certificateを使用してこれを実行できます。 これは PEM でエンコードされた x509 証明書である必要があります。
Provided by youの下に、ID プロバイダーから提供されたSSO target URLを設定します。 これは、 Source of SAML metadataに移動して POST バインディング URL を見つけることで見つけることができます。 次のようになります:
https://newrelic.oktapreview.com/app/newreliclr/1234567890abcdefghij/sso/saml
。ID プロバイダーにログアウト用のリダイレクト URL がある場合は、それをLogout redirect URLに入力します。それ以外の場合は空白のままにします。
ID プロバイダー アプリを使用している場合は、アプリに認証ドメイン ID を入力する必要があります。その ID は、New Relic の認証ドメイン UI ページの上部にあります。
オプション: New Relic の認証ドメイン UI では、ブラウザー セッションの長さやユーザーのアップグレード方法など、他の設定を調整できます。これらの設定はいつでも調整できます。
SAML のみを有効にする場合は、グループを作成する必要があります。(SCIM を有効にしている場合は、この手順は既に完了しています。)グループは、ユーザーが New Relic アカウントにアクセスできるようにするものです。グループに割り当てられていない場合、ユーザーは New Relic でプロビジョニングされますが、アカウントやロールにはアクセスできません。これを行う方法を学ぶには:
- ユーザー グループ アクセスの仕組みを学ぶ
- ユーザー管理のチュートリアルを読んでください。
- Okta のみ: Okta の New Relic アプリに戻り、 Add New Relic by organizationページで 2 つのApplication visibility "Do not display..."チェックボックスをオフにして、 Doneをクリックします。
正しく設定されていることを確認するために、ユーザーがIDプロバイダー経由でNew Relicにログインできるかどうかを確認し、ユーザーが自分のアカウントにアクセスできることを確認します。
その他のユーザー関連の設定
セッション関連の設定、およびユーザーが自己アップグレードできるかどうかを管理するには:
- User management UI のスイッチャーから認証ドメインを選択します。
- 歯車アイコンをクリック。
- 以下で詳しく説明する設定を編集します。
セッション関連の設定
セッション関連の設定は次のとおりです。
- ユーザーがログイン状態を維持できる時間
- ユーザーのセッションが期限切れになるまでのアイドル時間 ( セッションの制限について学ぶ)
ユーザーのアップグレード設定
ユーザーが上位のユーザー タイプにアップグレードする方法に関連する設定には、次のものが含まれます。
- Automatic approval: これにより、ユーザーは承認なしに、自分自身ですぐに上位のユーザー タイプにアップグレードできるようになります。 これにより、ユーザーは問題に迅速に対応できるようになります。
- Require review: このオプションを使用すると、ユーザーがアップグレードをリクエストしたときに、 Authentication domain 管理設定を持つ管理者ユーザーがメールを受信し、 User management UIでそれらのリクエストを承認または拒否できます。
- ユーザーは、24 時間のスライディング ウィンドウで 6 回のアップグレード リクエストに制限されています。たとえば、午前 8 時から午前 10 時までの間に 6 回のアップグレード リクエストを行った場合、次のアップグレード リクエストを行う前に、翌日の午前 8 時まで待つ必要があります。