• ログイン今すぐ開始

本書は、お客様のご参考のために原文の英語版を機械翻訳したものです。

英語版と齟齬がある場合、英語版の定めが優先するものとします。より詳しい情報については、本リンクをご参照ください。

問題を作成する

認証ドメインの設定。SAML SSO、SCIM、その他

重要

このドキュメントは、 新しいユーザーモデルでユーザーを管理するためのものです。元のユーザーモデルでのユーザーの管理については、「元のユーザー」を参照してください。

ユーザーを管理するために、New Relic 組織は 1 つまたは複数の認証ドメインを構成できます。これにより、ユーザーを New Relic アカウントに追加する方法、認証方法などを制御できます。

認証ドメインの説明

認証ドメインは、同じユーザー管理設定によって管理される New Relic ユーザーのグループです。たとえば、プロビジョニング方法(追加および更新)、認証方法(ログイン)、セッション設定ユーザー アップグレードの管理方法などです。

New Relic 組織を作成するときのデフォルトの認証設定は次のとおりです。

  • ユーザーのソース: ユーザーは、(サードパーティのツールではなく) ユーザー管理ツールのみを使用して New Relic に追加されます。
  • 認証: ユーザーは電子メールとパスワードを使用してログインします

これらのデフォルト設定は、1 つの認証ドメインの下にあります。別の認証ドメインを追加した場合は、次のように設定できます。

  • ユーザーのソース: ユーザーは、SCIM プロビジョニングを介してサードパーティの ID プロバイダーから追加および管理されます
  • 認証: ユーザーは ID プロバイダーからの SAML シングル サインオン (SSO) を使用してログインします。

ユーザーを New Relic に追加すると、常に特定の認証ドメインに追加されます。通常、組織には 1 つまたは 2 つの認証ドメインがあります。1 つは手動の方法を使用し、もう 1 つは ID プロバイダーに関連付けられた方法を使用します。この短いビデオ (4 分 26 秒) で詳細をご覧ください。

要件

認証ドメインは、新しいユーザーモデルでユーザーを管理するためのものです。ユーザーが元のユーザーモデルを使用している場合は、 元のアカウントを参照してください。

認証ドメインを管理するための要件

認証ドメインの作成と設定

要件を満たしている場合 、認証ドメインを追加・管理することができます。

認証ドメインを表示および構成するには、ユーザー メニューから、 [管理] > [認証ドメイン] に移動します。

既存のドメインがある場合は、左に表示されます。ほとんどの組織では、せいぜい2つまたは3つのドメインを持っていることに注意してください。1つは手動のデフォルト設定、1つまたは2つはIDプロバイダーに関連する設定です。

認証ドメイン UI ページから新しいドメインを作成するには、[認証ドメインの作成] をクリックします。構成オプションの詳細については、読み続けてください。

別のドメインに切り替える

複数の認証ドメインにユーザー レコードがある場合は、ドメインを切り替えることができます。

ユーザーのソース: ユーザーの追加方法と管理方法

ヒント

当社のSAML SSOおよびSCIM製品の紹介については、 Get started with SSO and SCIM をご覧ください。

認証ドメイン UIから、ユーザーのソースの 2 つのオプションのいずれかを設定できます。

  • 手動(デフォルト): これは、ユーザーがユーザー管理UIから New Relic に手動で追加されることを意味します。
  • SCIM: 当社の自動ユーザー管理機能では、SCIMプロビジョニングを使用して、IDプロバイダーからユーザーをインポートして管理することができます。

これらの設定についての注意事項

  • Source of users を切り替えることはできません。つまり、すでに設定されている認証ドメインに対してこの設定を変更する場合は、新しいドメインを作成する必要があります。
  • SCIMを初めて有効にしたとき、ベアラートークンが生成され、一度だけ表示されます。後でベアラートークンを表示する必要がある場合は、新しいベアラートークンを生成するしかありません。この場合、古いベアラートークンと、古いベアラートークンを使用した統合は無効になります。

SCIMの設定方法については、 Automated user management を参照してください。

ユーザータイプのアップグレードリクエスト

Source of users UI では、ユーザーのユーザー タイプを管理する方法について 2 つのオプションがあります。

  • Manage user type in New Relic: これはデフォルトのオプションです。これにより、New Relic からユーザーのユーザータイプを管理することができます。
  • Manage user type with SCIM: これを有効にすると、 New Relic からのユーザータイプの管理ができなくなります 。ID プロバイダからのみ変更・管理できるようになります。

この2つの選択肢については

なお、当社のオリジナルユーザーモデル の場合は、アップグレードの方法が異なります。

認証: ユーザーのログイン方法 [#authentication]

認証方法とは、New Relic のユーザーが New Relic にログインする際の方法です。認証ドメイン内のすべてのユーザーは、1つの認証方法を持ちます。認証方法は 2 つあります。

    • ユーザー名/パスワード (デフォルト): ユーザーは電子メールとパスワードでログインします。

    • SAML SSO: ユーザーは、ID プロバイダーを使用して SAML シングル サインオン (SSO) 経由でログインします。その設定方法については、読み続けてください。

SAML SSO認証の設定 [#saml]

以下の手順でSAML SSOを有効にする前に、理解しておくべきことや考慮すべきことがあります。

  • New Relic SSO および SCIM の紹介を読むことを検討してください。
  • SAML SSO の要件 の確認を検討してください。
  • SAML SSOの設定方法については、 のビデオを見て検討してください
  • なお、SSOを有効にしているユーザーは、ログインとパスワードの情報がIDプロバイダーによって処理されるため、New Relicから認証メールの通知を受けることはありません。
  • ID プロバイダーサービスのドキュメントには、New Relic 固有の説明がある場合がありますので、そちらを参照してください。
  1. SCIMのプロビジョニングを設定している場合。

    • Azure、Okta、または OneLogin を使用している場合は、まず以下の手順に従ってください。 Azure | OneLogin | Okta.
    • 別のIDプロバイダーを使用している場合は、以下のSAML手順に従い、当社の SCIM API を使用してSCIMを有効にしてください。
  2. のみ SCIMではなくSAML SSOを有効にしたい場合、また、Azure、Okta、またはOneLoginを使用している場合は、以下の手順で関連アプリを設定してください。

    • 上記に記載されていない別の ID プロバイダを使用して SAML を実装する場合は、以下の SAML の説明を使用して統合を試みる必要がある。ID プロバイダは、SAML 2.0 プロトコルを使用し、署名された SAML アサーションを必要とする必要があることに注意する。
  3. 次に、認証ドメイン UI に移動します。ユーザー メニューから [管理] をクリックし、[認証ドメイン] をクリックします。まだ持っていない場合は、SAML 認証ユーザーに使用する新しいドメインを作成します。

  4. Authentication の下で、 Configure をクリックします。 Method of authenticating users の下で、 SAML SSO を選択します。

  5. Okta、OneLogin、Azure AD のアプリを使用している場合は、このステップを省略できます。 Provided by New Relic の下には、New Relic 固有の情報があります。これらは、ID プロバイダ サービスの関連するフィールドに配置する必要があります。どこに入れるかわからない場合は、ID プロバイダのドキュメントを参照してください。

  6. Provided by you の下に、 Source of SAML metadata を入力する。この URL は、ID プロバイダが提供するものであり、他の名称で呼ばれることもある。これは、SAML V2.0 メタデータ標準に準拠する必要がある。ID プロバイダ 動的構成をサポートしていない場合は、 Upload a certificate.これは、PEM エンコードされた x509 証明書である必要がある。

  7. [提供者]で、IDプロバイダーから提供されたSSOターゲットURLを設定します。これは、SAMLメタデータのソースに移動し、POSTバインディングURLを見つけることで見つけることができます。次のようになります: https://newrelic.oktapreview.com/app/newreliclr/1234567890abcdefghij/sso/saml

  8. ID プロバイダーがログアウト用のリダイレクト URL を持っている場合は、その URL を Logout redirect URL に入力します。そうでない場合は、空欄のままにします。

  9. ID プロバイダー アプリを使用している場合は、アプリに認証ドメイン ID を入力する必要があります。その ID は、New Relic の認証ドメイン UI ページの上部にあります。

  10. オプション: New Relic の認証ドメイン UI では、ブラウザー セッションの長さやユーザーのアップグレード方法など、他の設定を調整できます。これらの設定はいつでも調整できます。

  11. SAML のみを有効にする場合は、グループを作成する必要があります。(SCIM を有効にしている場合は、この手順は既に完了しています。)グループは、ユーザーが New Relic アカウントにアクセスできるようにするものです。グループに割り当てられていない場合、ユーザーは New Relic でプロビジョニングされますが、アカウントやロールにはアクセスできません。これを行う方法を学ぶには:

  1. Okta のみ。Okta の New Relic アプリに戻り、 Add New Relic by organization ページから、 Application visibility"Do not display..." の2つのチェックを外し、 Done をクリックします。

正しく設定されていることを確認するために、ユーザーがIDプロバイダー経由でNew Relicにログインできるかどうかを確認し、ユーザーが自分のアカウントにアクセスできることを確認します。

その他のユーザー関連の設定

セッション関連の設定、およびユーザーが自己アップグレードできるかどうかを管理するには:

  1. ユーザー管理UIから、スイッチャーから認証ドメインを選択します。

  2. 歯車のアイコンをクリックします

    .

  3. 以下で詳しく説明する設定を編集します。

セッション関連の設定

セッション関連の設定は次のとおりです。

ユーザーのアップグレード設定

ユーザーが上位のユーザー タイプにアップグレードする方法に関連する設定には、次のものが含まれます。

  • 自動承認: これにより、ユーザーは承認なしで自分自身ですぐに上位のユーザー タイプにアップグレードできるようになります。これにより、これらのユーザーは問題により迅速に対応できるようになります。

  • 要確認: このオプションを使用すると、ユーザーがアップグレードを要求すると、管理者 ( 認証ドメイン管理設定を持つユーザー) は電子メールを受信し、 ユーザー管理UIでそれらの要求を承認または拒否できます。

    • ユーザーは、24 時間のスライディング ウィンドウで 6 回のアップグレード リクエストに制限されています。たとえば、午前 8 時から午前 10 時までの間に 6 回のアップグレード リクエストを行った場合、次のアップグレード リクエストを行う前に、翌日の午前 8 時まで待つ必要があります。
Copyright © 2023 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.