• ログイン今すぐ開始

本書は、お客様のご参考のために原文の英語版を機械翻訳したものです。

英語版と齟齬がある場合、英語版の定めが優先するものとします。より詳しい情報については、本リンクをご参照ください。

問題を作成する

認証ドメインの設定。SAML SSO、SCIM、その他

重要

このドキュメントは、 新しいユーザーモデルでユーザーを管理するためのものです。元のユーザーモデルでのユーザーの管理については、「元のユーザー」を参照してください。

ユーザーを管理するために、New Relic の組織は 1 つ以上の認証ドメインを設定することができます。認証ドメインは、ユーザーが New Relic アカウントに追加される方法や、認証方法などを制御します。

認証ドメインとは何ですか?

"認証ドメイン" は、 どのようにプロビジョニングされるか (追加と更新)、 どのように認証されるか (ログイン)、 セッション設定どのようにユーザーアップグレードが管理されるか など、同じユーザー管理設定によって管理される New Relic ユーザーのグループです。

誰かがNew Relicアカウントを作成したとき、デフォルトの認証設定は次のとおりです。

  • New Relicにユーザーを手動で追加
  • ユーザーはメールとパスワードを使って手動でログインする

これらのデフォルト設定は、1つの"認証ドメインの下にあります。" 別の認証ドメインは、次のように設定されます。

  • SCIMプロビジョニングを使用してアイデンティティ・プロバイダーからユーザーを追加・管理
  • アイデンティティ・プロバイダーからのSAMLシングル・サインオン(SSO)によるユーザーのログイン

New Relic にユーザーを追加すると、そのユーザーは特定の認証ドメインに追加されます。通常、組織は1つまたは2つの認証ドメインを持っています。1つは手動のデフォルトメソッド用、もう1つはIDプロバイダーに関連付けられたメソッド用です。詳しくはこちらのショートビデオ(4分26秒)をご覧ください。

要件

認証ドメインは、新しいユーザーモデルでユーザーを管理するためのものです。ユーザーが元のユーザーモデルを使用している場合は、 元のアカウントを参照してください。

認証ドメインを管理するための要件

認証ドメインの作成と設定

要件を満たしている場合 、認証ドメインを追加・管理することができます。

認証ドメインを表示および構成するには:アカウントのドロップダウンから、 [管理]>[アクセス管理]>[認証ドメイン]に移動します。

既存のドメインがある場合は、左に表示されます。ほとんどの組織では、せいぜい2つまたは3つのドメインを持っていることに注意してください。1つは手動のデフォルト設定、1つまたは2つはIDプロバイダーに関連する設定です。

認証ドメインUIページから新しいドメインを作成するには、 Create new をクリックします。設定オプションの詳細については、このままお読みください。

ユーザーのソース:手動プロビジョニングとSCIMプロビジョニングの比較

ヒント

当社のSAML SSOおよびSCIM製品の紹介については、 Get started with SSO and SCIM をご覧ください。

認証ドメイン UI から、ユーザーが New Relic に追加される方法について、2 つのオプションのうち 1 つを設定できます。

  • マニュアル: これは、ユーザーが ユーザー管理 UI から New Relic に手動で追加されることを意味します。
  • SCIM: 当社の自動ユーザー管理機能では、SCIMプロビジョニングを使用して、IDプロバイダーからユーザーをインポートして管理することができます。

これらの設定についての注意事項

  • Source of users を切り替えることはできません。つまり、すでに設定されている認証ドメインに対してこの設定を変更する場合は、新しいドメインを作成する必要があります。
  • SCIMを初めて有効にしたとき、ベアラートークンが生成され、一度だけ表示されます。後でベアラートークンを表示する必要がある場合は、新しいベアラートークンを生成するしかありません。この場合、古いベアラートークンと、古いベアラートークンを使用した統合は無効になります。

SCIMの設定方法については、 Automated user management を参照してください。

認証:ユーザー名/パスワードとSAML SSOの比較

認証方法とは、New Relic のユーザーが New Relic にログインする際の方法です。認証ドメイン内のすべてのユーザーは、1つの認証方法を持ちます。認証方法は 2 つあります。

  • ユーザー名/パスワード:ユーザーはメールとパスワードでログインします。
  • SAML SSO:ユーザーは、IDプロバイダーを介してSAMLシングルサインオン(SSO)でログインします。SSOの設定方法については、こちらをご覧ください。

SAML SSO認証の設定

以下の手順でSAML SSOを有効にする前に、理解しておくべきことや考慮すべきことがあります。

  • an introduction to getting started with SSO and SCIM をお読みください。
  • SAML SSO の要件 の確認を検討してください。
  • SAML SSOの設定方法については、 のビデオを見て検討してください
  • なお、SSOを有効にしているユーザーは、ログインとパスワードの情報がIDプロバイダーによって処理されるため、New Relicから認証メールの通知を受けることはありません。
  • ID プロバイダーサービスのドキュメントには、New Relic 固有の説明がある場合がありますので、そちらを参照してください。
  1. SCIMのプロビジョニングを設定している場合。

    • Azure、Okta、または OneLogin を使用している場合は、まず以下の手順に従ってください。 Azure | OneLogin | Okta.
    • 別のIDプロバイダーを使用している場合は、以下のSAML手順に従い、当社の SCIM API を使用してSCIMを有効にしてください。
  2. のみ SCIMではなくSAML SSOを有効にしたい場合、また、Azure、Okta、またはOneLoginを使用している場合は、以下の手順で関連アプリを設定してください。

    • 上記に記載されていない別の ID プロバイダを使用して SAML を実装する場合は、以下の SAML の説明を使用して統合を試みる必要がある。ID プロバイダは、SAML 2.0 プロトコルを使用し、署名された SAML アサーションを必要とする必要があることに注意する。
  3. 次に、認証ドメインUIに移動します。アカウントのドロップダウンから、[アクセス管理]をクリックし、[認証ドメイン]をクリックします。まだ持っていない場合は、SAML認証ユーザーが使用する新しいドメインを作成します。

  4. Authentication の下で、 Configure をクリックします。 Method of authenticating users の下で、 SAML SSO を選択します。

  5. Okta、OneLogin、Azure AD のアプリを使用している場合は、このステップを省略できます。 Provided by New Relic の下には、New Relic 固有の情報があります。これらは、ID プロバイダ サービスの関連するフィールドに配置する必要があります。どこに入れるかわからない場合は、ID プロバイダのドキュメントを参照してください。

  6. Provided by you の下に、 Source of SAML metadata を入力する。この URL は、ID プロバイダが提供するものであり、他の名称で呼ばれることもある。これは、SAML V2.0 メタデータ標準に準拠する必要がある。ID プロバイダ 動的構成をサポートしていない場合は、 Upload a certificate.これは、PEM エンコードされた x509 証明書である必要がある。

  7. [提供者]で、IDプロバイダーから提供されたSSOターゲットURLを設定します。これは、SAMLメタデータのソースに移動し、POSTバインディングURLを見つけることで見つけることができます。次のようになります: https://newrelic.oktapreview.com/app/newreliclr/1234567890abcdefghij/sso/saml

  8. ID プロバイダーがログアウト用のリダイレクト URL を持っている場合は、その URL を Logout redirect URL に入力します。そうでない場合は、空欄のままにします。

  9. ID プロバイダー アプリを使用している場合は、アプリで認証ドメイン ID を入力する必要があります。このIDは、New Relicの認証ドメインUIページの上部に記載されています。

  10. オプション:New Relicの認証ドメインUIでは、ブラウザのセッション長やユーザーのアップグレード方法など、 その他の設定を調整することができます。これらの設定は、いつでも調整できます。

  11. * SAML のみを有効にする場合は、グループを作成する必要があります。(SCIM を有効にしている場合は、この手順は既に完了しています。)グループは、ユーザーが New Relic アカウントにアクセスできるようにするものです。グループに割り当てられていない場合、ユーザーは New Relic でプロビジョニングされますが、アカウントやロールにはアクセスできません。これを行う方法を学ぶには:

  1. Okta のみ。Okta の New Relic アプリに戻り、 Add New Relic by organization ページから、 Application visibility"Do not display..." の2つのチェックを外し、 Done をクリックします。

正しく設定されていることを確認するために、ユーザーがIDプロバイダー経由でNew Relicにログインできるかどうかを確認し、ユーザーが自分のアカウントにアクセスできることを確認します。

セッション期間とタイムアウト

認証ドメインのUI で、 管理 の下で、そのドメインのユーザーの他のいくつかの設定を制御することができます。

ユーザータイプとアップグレードリクエストの管理

認証ドメイン UI で、 管理 の下で、ユーザーの ユーザータイプ の管理方法を制御することができます。これには、ユーザータイプの編集方法や、アップグレード要求の処理方法が含まれます。

設定は大きく分けて2つあります。

  • Manage user type in New Relic: これはデフォルトのオプションです。これにより、New Relic からユーザーのユーザータイプを管理することができます。
  • Manage user type with SCIM: これを有効にすると、 New Relic からのユーザータイプの管理ができなくなります 。ID プロバイダからのみ変更・管理できるようになります。

この2つの選択肢については

ユーザータイプについては、 ユーザータイプ を参照してください。

なお、当社のオリジナルユーザーモデル の場合は、アップグレードの方法が異なります。

Copyright © 2022 New Relic株式会社。

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.