認証ドメイン：ユーザーのログイン方法と管理方法

ユーザーを管理するために、New Relic組織は1つ以上の認証ドメインを設定できます。これにより、ユーザーをNew Relicアカウントに追加する方法や認証方法などを制御できます。

認証ドメインの説明

authentication domainは、同じ管理設定（プロビジョニング（追加と更新）方法や認証（ログイン）方法など）によって管理されるNew Relicユーザーのグループです。

New Relic組織を作成する際のデフォルトの認証設定は以下のとおりです。

• ユーザープロビジョニング方法：手動
  • ユーザーの追加は、ユーザー管理UIまたはNerdgraph APIを介して行います。
• ユーザータイプの管理方法：New Relicで管理する
  • ユーザータイプは、ユーザー管理UIまたはNerdgraph APIを介して管理します。
• ユーザー認証方法：ユーザー名／パスワード
  • ユーザーは、メールアドレスとパスワードを使用してNew Relicに直接ログインします。

これらのデフォルト設定は、単一の認証ドメインに属します。別の認証ドメインを追加した場合は、次のように設定できます。

• ユーザーのプロビジョニング方法：SCIM
  • ユーザーの追加と管理は、SCIMプロビジョニング、Okta、OneLogin、Azure/Entraなどのサードパーティアイデンティティプロバイダーから、または当社のSCIM APIを介して行います。
• ユーザー認証方法：SAML SSO
  • ユーザーは、Okta、OneLogin、Azure/EntraといったアイデンティティプロバイダーのSAMLシングルサインオン（SSO）を使用してログインします。

New Relicにユーザーを追加すると、必ず特定の認証ドメインに追加されます。通常、組織は1つまたは2つの認証ドメインを持っており、そのうち1つは手動による認証方法用、もう1つはアイデンティティプロバイダーに関連付けられた認証方法用です。

要件

認証ドメインを管理する方法：

• 編集可能な認証ドメインを持てるのは、組織がProまたはエンタープライズエディションに登録している場合のみです。

• 認証ドメインを表示・編集するには、次の操作を行う必要があります。

  • ユーザータイプとして、コアユーザーまたはフルプラットフォームユーザーを設定します。
  • Authentication domain管理設定グループに所属させます。

• SCIMプロビジョニング（自動ユーザー管理とも呼ばれます）には、Proまたはエンタープライズエディションが必要です。要件の詳細についてはこちらをご覧ください。

• SAML SSOには有料版が必要です。当社のSAML SSOサポートには以下が含まれます。

  • Active Directory Federation Services (ADFS)

  • Auth0

  • Azure AD (Microsoft Azure Active Directory)

  • Google

  • Okta

  • OneLogin

  • Ping Identity

  • Salesforce

  • SAML 2.0を使用するSSOシステムに対する一般的なサポート

認証ドメインを作成・構成する

要件を満たしていれば、認証ドメインを追加・管理できます。

認証ドメインを表示・設定するには、ユーザーメニューからAdministration > Authentication domainsに移動します。

既存のドメインがある場合は、それらは表に表示されます。ほとんどの組織では、通常は2つか3つのドメインしかありません。1つは手動のデフォルト設定用、残りの1つか2つはアイデンティティプロバイダー関連の設定用です。

認証ドメインUIページから新しいドメインを作成するには、Create authentication domainをクリックします。認証ドメインを管理または削除するには、各認証ドメインのメニュー項目を選択してください。

別のドメインに切り替える

複数の認証ドメインにユーザーレコードがある場合は、ドメインを切り替えることができます。

ユーザーのプロビジョニング方法：ユーザーの追加と管理方法

認証ドメインのUIから、「ユーザーのプロビジョニング方法」として、次の2つのオプションのいずれかを設定できます。

• SCIM: 当社の自動ユーザー管理機能を使用すると、サードパーティのアイデンティティプロバイダーからSCIMプロビジョニングを利用できます。
• Manual: その場合、ユーザー管理UIまたはNerdgraph APIを介してNew Relicにユーザーを手動で追加することになります。

これらの設定に関する注意事項：

• Method of provisioning usersを切り替えることはできません。つまり、既に設定済みの認証ドメインを変更したい場合は、新しい認証ドメインを作成する必要があります。
• SCIMを初めて有効にした際、Bearerトークンが生成され、一度だけ表示されます。後でBearerを表示するには、新しいBearerを生成しなければなりません。その場合、古いBearerは無効になり、古いトークンを使用した統合は正常にプロビジョニングできなくなります。

SCIMの設定方法については、「自動ユーザー管理」を参照してください。

ユーザータイプの管理方法

Authentication Domain UIで、ユーザーのプロビジョニング方法としてSCIMを選択した場合、ユーザータイプを管理する方法には2つのオプションがあります。

• Manage user type in New Relic：デフォルトのオプションです。New Relicから各ユーザーのユーザータイプを管理できるようになります。
• Manage user type with SCIM：これを有効にすると、New Relicからユーザータイプを管理できなくなります。変更や管理は、アイデンティティプロバイダーからのみ可能です。

これら2つのオプションについての詳細は以下のとおりです。

認証：ユーザーがログインする方法

認証方法とは、New RelicユーザーがNew Relicにログインする方法です。認証ドメイン内のすべてのユーザーは、単一の認証方法を使用します。認証方法は2種類あります。

• ユーザー名/パスワード（デフォルト）：ユーザーはメールアドレスとパスワードでログインします。
• SAML SSO：ユーザーは、アイデンティティプロバイダーを使用してSAMLシングルサインオン（SSO）経由でログインします。その設定方法については、このまま読み進めてください。

SAML SSO認証を設定する

以下の手順に従ってSAML SSOを有効にする前に、理解しておくべき事項と考慮すべき事項がいくつかあります。

• New Relic SSOとSCIMの入門記事を読むことをお勧めします。
• SAML SSOの要件をご覧になることをお勧めします。
• SAML SSOの設定方法に関する動画をご覧になることをお勧めします。
• SSOを有効にしているユーザーは、ログイン情報とパスワードがアイデンティティプロバイダーによって処理されるため、New Relicからはメールによる確認通知が送信されません。
• ご利用のアイデンティティプロバイダーサービスのドキュメントを参照してください。New Relic向けの手順が記載されている場合があります。

1. SCIMプロビジョニングを設定する場合：

   • Azure、Okta、またはOneLoginを使用する場合は、まず以下の手順に従ってください。Azure | OneLogin | Okta。
   • 別のアイデンティティプロバイダーを使用する場合は、以下のSAML手順に従い、当社のSCIM APIを使用してSCIMを有効にしてください。

2. SAML SSO onlyを有効にしてSCIMを有効にしない場合、またAzure、Okta、またはOneLoginを使用している場合は、関連するアプリを設定するために以下の手順に従ってください。

   Azureアプリ

   Azure ADは、 New Relicが提供するものを含む、Azure ADのさまざまな統合を含むアプリケーショギャラリーを提供します。New Relic SCIM/SSOアプリケーションをアプリケーションのリストに追加します。

   1. Azure Active Directory管理センターにアクセスし、必要に応じてサインインしてください。aad.portal.azure.com/
   2. 左側のメニューでAll servicesをクリックします。
   3. メインパネルで、Enterprise applicationsをクリックします。
   4. +New applicationをクリックします。
   5. 名前検索ボックスにNew Relicと入力してSCIM/SSOアプリケーションを見つけ、アプリケーションNew Relic by organization（New Relic by accountではありません）をクリックします。
   6. Addをクリックします。

   Oktaアプリ

   New Relic SCIM/SSOアプリケーションをOktaアプリケーションに追加します。

   1. okta.com/に移動し、アドミニストレーター権限を持つアカウントでサインインします。
   2. OktaのホームページからAdminをクリックします。
   3. Okta管理DashboardからApplicationsページを選択してください。
   4. Browse app catalogをクリックし、「New Relic by Organization」を検索して選択します。
   5. New Relic by Organizationページから、Addをクリックします。
   6. 「New Relic by Organization」ページから、2つのApplication visibility "Do not display..."チェックボックスをオンにして、Doneをクリックします。設定が完了し、プロビジョニングが開始された後、アプリケーションが表示されます。
   7. Oktaで新しく作成したアプリケーションを開き、Assignmentsタブに移動します。ここでは、認証用のユーザーとグループを追加できます。
   8. そこから、Sign Onタブに移動します。Advanced Sign-on Settingsの下にAuthentication Domain IDが表示されます。このフィールドは、以下の一般的な手順のステップ9で編集する必要があります。右側のView SAML setup instructionsをクリックします。これらの手順のStep 7の下に、以下の一般的な手順にあるステップ6とステップ7に必要なURLが記載されています。

   OneLoginアプリ

   New Relic SCIM/SSOアプリケーションをOneLoginアプリケーションに追加します。

   1. OneLogin Webサイトにアクセスし、アドミニストレーター権限を持つアカウントでサインインしてください。
   2. OneLoginのホームページからAdministrationをクリックします。
   3. OneLogin管理ページから、Applicationsメニューを選択します。
   4. OneLogin Applicationsページで、Add appをクリックします。
   5. OneLogin Find Applicationsページの検索フィールドに「New Relic by organization」（「New Relic by account」ではありません）と入力し、検索結果にアプリケーションが表示されたらクリックします。
   6. Add New Relic by organizationページからSaveをクリックします。
   • 上記以外のアイデンティティプロバイダーを使用してSAMLを実装する場合は、以下のSAML手順に従って統合を試みる必要があります。なお、アイデンティティプロバイダーはSAML 2.0プロトコルを使用し、署名付きSAMLアサーションを要求する必要があります。

3. 次に、認証ドメインUIに移動します。ユーザーメニューからAdministrationをクリックし、次にAuthentication domainsをクリックします。まだドメインをお持ちでない場合は、SAML認証ユーザーに使用する新しいドメインを作成してください。

4. Authenticationの下で、Configureをクリックします。Method of authenticating usersの下で、SAML SSOを選択します。

5. Okta、OneLogin、またはAzure ADアプリを使用している場合は、この手順をスキップできます。Provided by New Relicの下には、New Relic 固有の情報があります。これらの情報は、ご利用のアイデンティティプロバイダーサービスの該当するフィールドに入力する必要があります。それらの情報がどこに送られるか分からない場合は、アイデンティティプロバイダーのドキュメントを参照してください。

6. Provided by youの下にSource of SAML metadataを入力します。このURLはアイデンティティプロバイダーによって提供されるものであり、異なる場合もあります。SAML V2.0メタデータ標準に準拠している必要があります。アイデンティティプロバイダーdoesn'tが動的設定をサポートしている場合は、Upload a certificateを使用してこれを行うことができます。これはPEMエンコードされたX509証明書である必要があります。

7. Provided by youの下に、アイデンティティプロバイダーから提供されたSSO target URLを設定します。これを確認するには、Source of SAML metadataにアクセスし、POSTバインディングURLを探してください。表示例：https://newrelic.oktapreview.com/app/newreliclr/1234567890abcdefghij/sso/saml。

8. アイデンティティプロバイダーがログアウト用のリダイレクトURLを提供している場合は、Logout redirect URLにそのURLを入力してください。そうでない場合は、空欄のままにしてください。

9. アイデンティティプロバイダーのアプリを使用している場合は、アプリに認証IDを入力する必要があります。認証IDはNew Relicの認証ドメインUIページの上部に表示されています。

10. オプション：New Relicの認証ドメインUIでは、ブラウザセッションの長さやユーザーのアップグレード方法などの他の設定を調整できます。これらの設定はいつでも変更できます。

11. SAMLのみを有効にする場合は、グループを作成する必要があります（SCIMを有効にしている場合、この手順は既に完了しています）。グループとは、ユーザーがNew Relicアカウントにアクセスできるようにするためのものです。グループに割り当てられていないユーザーは、New Relicにプロビジョニングされますが、アカウントやロールへのアクセス権はありません。この方法は以下のリソースをご確認ください。

• ユーザーグループアクセスの仕組み
• ユーザー管理チュートリアルをお読みください。

12. Oktaのみ：OktaのNew Relicアプリに戻り、Add New Relic by organizationページから2つのApplication visibility "Do not display..."チェックボックスのチェックを外し、Doneをクリックします。

正しく設定されていることを確認するには、ユーザーがアイデンティティプロバイダー経由でNew Relicにログインできるかどうか、また、ユーザーが自分のアカウントにアクセスできるかどうかを確認してください。

多要素認証（MFA）の設定

認証ドメイン内のすべてのユーザーに多要素認証（MFA）を要求することで、データのセキュリティを強化できます。有効になると、認証ドメイン内のすべてのユーザーは、ログインのたびに確認メールを受け取ります。また、ユーザーがメールアカウントの認証を初めて求められた際、メールにアクセスできない場合に使用できるバックアップコードが10個送られます。ユーザーには、これらのコードを安全な場所にコピーさせてください。

その他のユーザー関連設定

セッション関連の設定を管理する方法と、ユーザーによる自己アップグレードの可否を設定する方法

1. User management UIから、スイッチャーで認証ドメインを選択します。
2. 歯車アイコンをクリックしてください。
3. 設定を編集します（詳細は下記を参照）。

セッション関連の設定

セッション関連の設定には以下が含まれます。

• ユーザーがログイン状態を維持できる期間
• ユーザーセッションが期限切れになるまでのアイドル時間（セッション制限について詳しくはこちらを参照）

ユーザーアップグレード設定

ユーザーが上位のユーザータイプにアップグレードする方法に関連する設定には次のものが含まれます。

• Automatic approval：このオプションを選択すると、ユーザーは承認なしに、より高いレベルのユーザーに即座にアップグレードできます。これにより、ユーザーは問題に対してより迅速に対応できるようになります。
• Require review：このオプションを使用すると、管理者（Authentication domain管理設定を持つユーザー）は、ユーザーがアップグレードを申請したときに電子メールを受信し、User management UIでそのリクエストを承認または拒否できます。
  • ユーザーは、24時間の期間内に最大6回のアップグレードリクエスト行うことができます。例えば、午前8時から午前10時の間に6回のアップグレードリクエストを行った後、次のアップグレードリクエストを行うには、翌日の午前8時まで待つ必要があります。