自動化されたユーザー管理により、SCIM を介して ID プロバイダーから New Relic ユーザーとグループをインポートして構成できます。このガイドでは、New Relic Okta SCIM/SSO アプリケーションの設定方法に関する Okta 固有の詳細を提供します。
要件
このガイドを使用する前に、 自動ユーザー管理の要件 をお読みください。
なお、この手順では、IDプロバイダーとNew Relicの間を行き来する必要があります。
Step 1.認証ドメインの作成とSCIMの有効化
New Relic 認証ドメイン UI にアクセスするには、 one.newrelic.comからユーザー メニューをクリックし、 Access managementをクリックして、 Authentication domainsをクリックします。
まだ認証ドメインがない場合は、 + Add newをクリックして、SCIM プロビジョニングされたユーザー用の新しい認証ドメインを作成します。
その認証ドメインに対して、 Source of usersの下でSCIMを選択します。 後で使用するために API トークンをコピーして保存します。 これは一度だけ表示されることに注意してください。
ステップ2.OktaのNew Relicアプリを設定する
次にOktaのNew Relic SCIM/SSOアプリケーションを設定します。
okta.com/ にアクセスし、管理者権限のあるアカウントでサインインします。
Okta ホームページから、
Admin
をクリックします。
Okta 管理者
Dashboard
から、
Applications
ページを選択します。
Browse app catalog
をクリックして、「 New Relic by 組織」(「 New Relic by アカウント」ではありません)を検索し、結果からそれを選択します。
New Relic by Organization
ページから
Add
をクリックします。
Add New Relic by organization
ページで、2 つの
Application visibility "Do not display..."
チェックボックスをオンにして、
Done
をクリックします。 設定が完了し、プロビジョニングが開始された後に、アプリケーションが表示されるようになります。
Step 3.プロビジョニングの設定
OktaのNew Relic SCIM/SSOアプリケーションを設定して、ユーザーをNew Relicに自動的にプロビジョニングします。
アプリから、
Provisioning
タブをクリックします。
Integration
フォームから
Configure API integration
をクリックし、
Enable API integration
チェックボックスをオンにします。
手順 1で保存した API トークンを取得し、Okta New Relic アプリの
API token
フィールドに入力します。
オプション:
Test API credentials
をクリックして、New Relic への SCIM 接続を確立できることを確認します。 接続を確立できる場合は、成功メッセージが表示されます。 接続が確立されなかった場合は、API トークンを再入力して、再度テストを試してください。
Save
クリックします。 保存プロセスでは API 資格情報のテストが実行されることに注意してください。 New Relic への接続が確立されていない場合、保存は失敗します。
新しく表示された
To App
フォームで、
Edit
をクリックします。
Create users
、
Update user attributes
、
Deactivate users
セクションの
Enable
チェックボックスをオンにします。
Save
をクリックします。
Sign on
タブに移動します。 認証ドメイン フィールドに、 認証ドメイン UIで確認できる認証ドメイン ID を入力します。
ステップ4.ユーザーとグループの割り当て
Okta でユーザー グループをまだ設定していない場合は、作成する必要があります。これらは、後で New Relic でロールとアカウント アクセスを割り当てるグループになります。グループの作成方法については 、グループに関する Okta のドキュメントを参照してください。
アサインメントタブ
次に、ユーザーを割り当てます。 ユーザーの割り当ては、アプリ内の 2 つの異なるタブを使用して行われます。 Assignmentsタブで New Relic ユーザーを選択し、 Push groupsタブでその関連グループを選択することをお勧めします。
アプリで、
Assignments
タブをクリックします。
Assignments
フォームから
Assign
をクリックします。
ポップアップ メニューから
Assign to groups
をクリックします。
Assign ... to groups
フォームから、アプリケーションに割り当てるグループの
Assign
をクリックします。
Highly recommended
: Okta でユーザーのタイムゾーンを設定します。 これにより、New Relic でユーザーの日付と時刻がどのように表示されるかが決まります。 タイムゾーンを設定しない場合は、ユーザーが独自のタイムゾーンを設定しない限り、UTC 時間が使用されます。 タイム ゾーンは、IANA タイム ゾーン データベース形式 (「Olson」タイム ゾーン データベース形式とも呼ばれます) で指定されます (例: 「America/Los_Angeles」)。 Okta ではタイムゾーン設定を構成する方法がいくつかあるため、詳細が必要な場合は Okta のドキュメントを参照してください。
Assignments
タブでこれを行う方法の 1 つを次に示します。
Time zone
フィールドに、グループのメンバーのデフォルトのタイムゾーンを入力します。
Save and go back
をクリックします。
必要なグループがすべてアプリケーションに割り当てられるまで、グループを追加する手順を繰り返します。
Done
をクリックします。
プッシュグループタブ
アプリで、
Push groups
タブをクリックします。
Push groups
フォームから
Push groups
をクリックします。
ポップアップ メニューから
Find groups by name
をクリックします。
Push groups to...
フォームの検索フィールドに、New Relic に送信するグループ名の最初の数文字を入力します。
Push group memberships immediately
チェックボックスをオンのままにしておきます。
ポップアップした検索結果リストの中から、あなたのグループをクリックしてください。
Match result & push action
セクションに
No match found
が表示されます。これは、グループが New Relic にまだ存在しないことを意味します。 セレクターを
Create group
に設定したままにして、グループのデフォルト名をそのままにします。 ここでの目的は、New Relic に同じ名前のグループを作成することです。
これが New Relic に送信する最後のグループである場合は、
Save
をクリックします。 それ以外の場合、設定するグループがさらにある場合は、
Save & add another
をクリックして手順を繰り返し、グループを追加します。
1 つ以上のグループを追加すると、 User management UI ページに移動して追加したユーザーを確認できるようになります。
ステップ5.ユーザーのユーザータイプの設定
ユーザーが New Relic でプロビジョニングされると、 User management UIで確認できるようになります。
SCIMを介してNewRelicにユーザーを追加しているが、SCIMを介してユーザータイプを管理していない場合、ユーザーは基本ユーザーとして開始されます。ユーザーをアップグレードするには、次の2つのオプションがあります。
- ユーザーの編集には、ユーザー管理UI を使用します。
- * Oktaからユーザータイプを管理する(後述)。
ユーザーのユーザータイプをOktaから管理するためのものです。
New Relic 認証ドメイン UIに移動し、 Enable Manage user type with SCIMをクリックします。 これを有効にすると、New Relic UI からユーザー タイプを管理できなくなり、Okta からのみ管理できるようになることに注意してください。
あなたのOktaインスタンスに入ります。ここから先の説明はOktaから行います。
次に、新しい属性
nrUserTypeを送信できるようにOktaを構成します。手順:Profile editor
に移動します。
Attributes
セクションで、
Add attribute
をクリックします。
以下のスクリーンショットに合わせて設定を行ってください。 完全に一致する必要があるフィールドは、
External name
(値:
nrUserType) とExternal namespace
(値:
urn:ietf:params:scim:schemas:extension:newrelic:2.0:User) の 2 つだけです。variable値は任意の値にすることができます。
次に、このフィールドを持つようにOktaのユーザープロファイルを設定します。手順は以下の通りです。
Profile editor
で、
Users
に移動し、
User (default)
プロファイルをクリックします。
そのプロファイルに新しい
New Relic user type
属性を追加します ( Okta ユーザー プロファイルの手順を参照)。 これを設定する方法は、ユーザー タイプを定義するための独自の設定と設定によって異なります。 ユーザー タイプに期待される値は
Basic User、Core User、およびFull Userであることに注意してください。 以下は情報が入力された例です。
Peopleセクションで、ユーザーのユーザー タイプを定義します。 これを実行する方法は、設定と好みによって異なります。 たとえば、各ユーザーのユーザー タイプを設定して手動で設定することも、Okta を使用して一括管理することもできます。
次に、その属性のマッピングを設定します。手順をご紹介します。
アプリの
Provisioning
セクションで、
Unmapped attributes
をクリックします。
マップされていないNew Relicのユーザータイプ属性の編集モードに入ります。
ユーザータイプをどのように設定するかに基づいて設定します。ユーザータイプの選択については、 ユーザータイプ を参照してください。 Okta 属性マッピングについては、こちらを参照してください。
ステップ 6. グループ アクセスの割り当て
これらの手順が完了すると、 ユーザー管理 UI にアクセスして、New Relic でユーザーを確認することができます。ユーザーがNew Relicに存在するようになったので、特定のアカウントの特定のロールへのアクセス権を付与する必要があります。これが行われていない場合、ユーザーはまだ New Relic へのアクセス権を持っていません。この方法については、以下を参照してください。
Step 7.SAML SSOの設定
SAML SSOを有効にするには、 SAMLの手順 を参照してください。
その他の考慮事項
このセクションでは、New Relic SCIM/SSO アプリケーションを使用する際に知っておくべきその他の重要事項について説明します。このセクションでは、Okta と New Relic の間で統合する際に望ましくない結果を引き起こす可能性のある潜在的な問題を回避するためのヒントが含まれています。
グループ間のユーザー移動
グループ間でユーザーを移動させる場合、古いグループのメンバーシップを手動でNew Relicに同期させる必要があります。これは、Oktaがユーザーをグループから削除するためのSCIMリクエストを送信しないためです。そのため、管理者が手動で旧グループのメンバーシップをNew Relicにプッシュして、ユーザーが旧グループのメンバーでなくなったことをNew Relicに知らせる必要があります。
ここでは、グループのメンバーシップを手動で同期する手順をご紹介します。
New Relic SCIM/SSO アプリケーション ページで、
Push groups
タブをクリックします。
Push groups
フォームから、
Push Status
列の下にある目的のグループのボタンの選択リストを開きます。
ボタンに表示された選択リストから、
Push now
をクリックします。 これにより、グループのメンバーシップが New Relic とすぐに同期されます。