SAML SSOおよびSCIMドキュメントの概要については、最初にSAMLSSOおよびSCIMの概要 をお読みください。
これらのドキュメントは、 元のユーザーモデル のユーザーにSAMLSSOを設定するためのものです。
シングルサインオン(SSO)を使用すると、コンピューターユーザーは単一のポータルを介して複数のシステムにログインできます。New Relicアカウントの所有者が、組織のSSO統合を設定している場合は、組織のSSOログインURL(および場合によってはログアウトURL)を識別するSAML 証明書を取得する必要があります。SSO統合に必要な他の種類の情報は、使用されているSAMLサービスプロバイダーによって異なります。
要件 要件は次のとおりです。
これらのドキュメントは、元のユーザーモデル でユーザーを管理するために適用されます。新しいユーザーモデルのユーザーに対してSSOを有効にするには、 認証ドメイン を参照してください。 ProまたはEnterpriseエディションが必要です。 所有者の役割 が必要です。SSO設定UIページ New Relic SSO 設定ページを見つけるには、ユーザー メニュー からAccount settings クリックし、次にSecurity and authentication をクリックして、次にSingle sign-on をクリックします。
このUIが表示されない場合は、要件 を確認してください。
SAML SSOを最適に設定する方法については、以下の手順とヒントを参照してください。
NewRelicがサポートするプロバイダー 弊社のオリジナル ユーザー モデル のユーザーは、 New Relicが現在SSOインテグレーションでサポートしている SAML サービス プロバイダーの一覧を参照できます。New New Relicユーザー メニュー から、Account settings > Security and authentication > Single sign-on を選択します。 この UI が表示されない場合は、新しいユーザー モデル を使用している可能性があります。その場合は、別の方法で SAML SSO を設定する 必要があります。
元のユーザーモデルでユーザーをサポートするSAMLサービスプロバイダーは次のとおりです。
元のユーザーモデルユーザーのGoogleSSO を取得する方法については、この短いビデオ(約3:10分)。
SAMLプロバイダーと統合するには、プロバイダーはNewRelicアカウントに関する情報を必要とします。必要な情報のほとんどは、 NewRelicSSO設定のUIページ に表示されます。
メタデータURL:1つのXMLメッセージに複数の情報が含まれています SAMLバージョン:2.0 アサーションコンシューマーURL:New Relic SSOへのエンドポイント(たとえば、 https://rpm.newrelic.com/accounts/ACCOUNTID/sso/saml/finalize
) コンシューマーバインディング:送信方法はHTTP-POSTです NameID形式:メールアドレス 属性:不要 エンティティID:アカウントURL(デフォルトはrpm.newrelic.com
) NewRelicSAMLの実装 SAMLプロバイダーとサービスプロバイダー(New Relicなど)が連携できるようにするには、それらのプロセスを特定の方法で調整する必要があります。NewRelicがSSOを実装する方法のいくつかの側面を次に示します。これは、特定のSAMLプロバイダーがNew Relicで動作できることを確認する場合、または実装の問題をトラブルシューティングする場合に役立ちます。
SSO considerations
New Relic functions and preferences
ユーザー資格情報の範囲(IdP)
すべてのユーザーである必要があります。
接続の種類
IdPによって開始され、SPによって開始される必要があります。
予想されるSAMLプロファイル
New Relicは、SPが開始するリクエストにPOSTバインディングを使用します。
予想されるNameID値の形式
メールアドレスである必要があります。
SAMLアサーションで交換される機密情報?
いいえ、メールアドレスのみが送信されます。
セッション管理とログアウト
組織はログアウトにリダイレクトURLを使用していますか?そうでない場合、NewRelicはログアウトランディングページを提供できます。
アクセスする必要がなくなったユーザーを計画する
通常、アカウントの所有者または管理者による手動削除。
クロック同期
SAMLIDプロバイダーのクロックがNTPによって維持されていることを確認します。
SAMLSSOの機能と手順 元のユーザーモデル でユーザーのSAMLSSOを管理するための重要な手順は次のとおりです。
推奨:SAMLSSOプロセスをバイパスするようにドメインを要求します 組織が Pro または エンタープライズエディションを使用している場合は、ドメイン名を「許可」リストに登録するようリクエストできます。これにより、SAML SSO有効化プロセスが効率化されます。 ユーザーのメール アドレスのドメインが、申請したドメインと一致する場合、 New Relic自動的にそのユーザーを Active ユーザーとして追加し、現在のユーザー タイプを保持します。
ドメインを申請するメリットは次のとおりです。
管理者はユーザーのユーザータイプを調整する必要がないため、管理が簡単になります。
ユーザーがメールでユーザーレコードを確認する必要がないため、ユーザーがNewRelicの使用を簡単に開始できます。
組織外にユーザーを追加するときにセキュリティを維持します。
ドメインを申請するには、サポートにお問い合わせ ください。
SAMLSSOを設定する SAML IDプロバイダー証明書 (PEMでエンコードされたx509証明書である必要があります)とURLを取得した後、アカウント所有者はNew Relicでシングルサインオン(SSO)構成をセットアップ、テスト、および有効化できます。アカウントの他の役割は、アカウントのSSO構成を編集できません。
ヒント この機能へのアクセスは、サブスクリプションレベルによって異なります。アカウントがカスタマーパートナーシップ の下で設定されている場合、この機能へのアクセスは、そのパートナーシップサブスクリプションレベルの設定にも依存します。
要件 この機能が適用されるNewRelicユーザーを含む要件については、要件 を参照してください。
親子アカウント アカウントに子アカウントがある場合、通常は親アカウントレベルでのみSSO構成を設定します。子アカウントのユーザーは、親アカウントのSAML SSO構成を継承するため、引き続きSSOを介してログインできます。個別のSAMLIDを使用して(たとえば、パートナーシップアカウントを使用して)複数のアカウントを構成する必要がある場合は、カスタムエンティティID機能 を使用します。
SSOを構成する セキュリティを確保し、ネットワーク時間とクロックスキューを考慮に入れるために、SAML IDプロバイダーの検証応答を実用的な最短時間(たとえば、5分)に構成します。NewRelicでは最大30分かかります。
元のユーザーモデル でユーザーのSSO構成を設定するには:
オプションですが推奨: SAMLSSOプロセスを合理化するためのドメインの要求についてお 読みください。
user menu > Account settings > Security and authentication > Single sign-on に移動します。
SAML single sign-on ページから、 New Relic SAML サービス プロバイダーの詳細を確認します。
SAML ID プロバイダー証明書をアップロードするには、 Choose file を選択し、標準の手順に従ってファイルを選択して保存します。
ユーザーがシングル サインオンに使用するRemote login URL を指定します。
組織の SAML インテグレーションがログアウト用のリダイレクト URL を提供している場合は、 Logout landing URL をコピーして貼り付けます (または入力します)。それ以外の場合は空白のままにします。
変更を保存します。
ヒント 組織が特定のリダイレクトURLを使用していない場合、NewRelicはデフォルトでログアウトランディングページを提供します。
SSOをテストする SSO 設定を正しく構成して保存すると、 Test ページが自動的に表示されます。 各テストの後、New Relic は診断結果を含む SAML SSO ページを返します。
戻って構成設定を変更するには、 1 CONFIGURE を選択します。
SSOを有効にする テストが正常に完了すると、会社のランディングページで使用できるリンクが表示され、NewRelicで簡単にシングルサインオンできます。New Relicでドメインを申請して いない限り、ユーザーはNewRelicが自動的に送信する確認メールを完了する までログインできません。ユーザーが確認メールでリンクを選択すると、組織に割り当てられたユーザー名とパスワードを使用して安全にサインインできます。そこから、New Relicを含め、使用が許可されている任意のアプリケーションを選択できます。
注意 SAML SSO を無効にする と、New Relic はすべてのPending ユーザーにActive のフラグを自動的に設定します。 後で SAML SSO を再度有効にする場合、New Relic は所有者を除くすべてのユーザーにPending のフラグを自動的に設定し、ユーザーは電子メールでアカウント アクセスを確認する必要があります。
セッションタイムアウトのログアウトURLを追加します New Relic のSession configuration 機能では、SAML SSO 対応アカウントのログアウト URL が 必要です。 ログアウト URL なしで SAML SSOすでに構成、テスト、有効化している場合は、 New Relic自動的にアカウント管理者に連絡し、アカウント所有者に通知します。 さらに、アカウント所有者の場合、New Relic はSession configuration から SAML シングル サインオンに直接アクセスしてログアウト URL を追加するためのリンクを自動的に提供します。
重要 ログアウト URL cannot の URL のどこかにnewrelic.com
が含まれています。
Session configuration 機能には、SAML 認証されたbrowser セッションの再認証の 自動タイムアウト を選択するオプションも含まれています。
SAMLアカウントにユーザーを追加する SAML SSOおよびSCIMドキュメントの概要については、最初にSAMLSSOおよびSCIMの概要 をお読みください。
New Relic(推奨)でドメインを申請して いない限り、SAML SSOが有効になると自動的に送信される確認メールが完了するまで、ユーザーはNewRelicに追加されません。これは追加のセキュリティ対策です。保留状態(まだ確認されていない)のユーザーは、通知(アラート通知など)を受信しません。
SAML SSO が有効になっている組織without の場合、所有者または管理者は電子メールの確認を必要とせずに新しいユーザーを追加できます。
要件 この機能が適用されるNewRelicユーザーを含む要件については、要件 を参照してください。
ユーザーを追加して確認する 次のプロセスに従って、SAMLSSOを介して認証している元のユーザーモデル のユーザーを追加して確認します。
アカウントの所有者またはアドミニストレーターが新しいユーザーを追加しました: user menu > Account settings > Account > Summary に移動します。
ドメインを申請して いない限り、ユーザーはPending としてマークされ、確認メールが送信されます。 (保留中のユーザーには、集計 通知 などのNew Relic製品 通知 は届きません。)
ユーザーは電子メール内のリンクを選択してアカウントを確認します。これにより、SAMLプロバイダーのログインURLに移動します。
ユーザーが SAML SSO エンドポイント ( Auth0 、 Okta 、 OneLogin 、 Ping Identity 、 Salesforceなど) に正常にサインインすると、New Relic はユーザーにActive のフラグを設定します。
注意 SAML SSO を無効にすると、New Relic はすべてのPending ユーザーにActive のフラグを自動的に設定します。 後で SAML SSO を再度有効にする場合、New Relic は所有者を除くすべてのユーザーにPending のフラグを自動的に設定し、ユーザーは電子メールでアカウント アクセスを確認する必要があります。
複数のアカウントのSAML SAML プロトコルでは、entity ID はサービスプロバイダー ( New Relic ) を SAML プロバイダーに対して一意に識別します。 New Relic のデフォルトのエンティティ ID はrpm.newrelic.com
です。 SAML 対応アカウントが 1 つしかない場合はこれで十分です。
SAMLを使用して複数のNewRelicアカウントを構成する場合、SAMLプロバイダーは通常、各アカウントに一意のエンティティIDが必要です。個別のSAMLIDを使用して複数のアカウントを構成する必要がある場合は、NewRelicのカスタムエンティティID機能を使用してください。
要件 この機能が適用されるNewRelicユーザーを含む要件については、要件 を参照してください。
カスタムエンティティIDを選択します New RelicのカスタムエンティティID機能を使用すると、アカウントごとに一意のエンティティIDを有効にできます。次に、SAMLプロバイダーを使用してそれらのSAMLSSOを個別のアプリケーションとして構成できます。これにより、各アカウントに対するユーザー認証を個別に一元管理できます。
カスタムエンティティIDを選択するには:
標準の手順 に従ってSSOを設定します。
さらに、 Step 1. Configure ページのEntity ID 行からUse custom entity ID を選択します。
重要 SAMLプロバイダーでアプリケーションの設定を構成するには、同じエンティティIDを使用する必要があります。一部のSAMLプロバイダーでは、エンティティIDを変更するときに新しいアプリケーション構成を作成する必要があります。
SSO設定を維持する SAML SSOログインを構成、テスト、および有効にした後、すべてのNew Relicアカウントユーザー(アカウントの所有者と管理者を含む)は、組織のSSOURLを使用してNewRelicにサインインする必要があります。彼らのメールアドレスは、NewRelicで設定されているものと一致している必要があります。また、SSOURLを使用してNewRelic以外のアプリケーションにアクセスできるかどうかは、それらのアプリケーションに設定されている権限によって異なります。
要件 この機能が適用されるNewRelicユーザーを含む要件については、要件 を参照してください。
SAMLSSO情報を更新する 元のユーザーモデル のユーザーのSAMLSSO情報を更新するには:
SAMLSSOログインURLを使用してNewRelicにサインインします。
user menu > Account settings > Security and authentication > Single sign-on に移動します。
New Relicとの SAML 統合を一時的にオフにして設定を更新するには、Disable SAML login を選択します。
オプション: 既存の SAML 証明書を変更するには、 Choose file を選択します。 標準の手順に従ってファイルを選択し、保存します。
オプション: 既存の SSO URL を変更するには、 Remote login URL またはLogout landing URL をコピーして貼り付け (または入力)、保存します。
メールアドレス アカウントの所有者または管理者は、NewRelicにサインインするためのユーザーのメールアドレスがSSOメールと一致していることを確認する必要があります。アカウントの所有者、管理者、およびユーザーは、SAML認証済みアカウントの電子メールアドレスを更新できません。
組織のNewRelicアカウントのユーザー情報を更新するには:
user menu > Account settings > Account > Summary に移動します。
Users リストから、新しいユーザーを追加したり、既存のユーザーロールを編集したり、削除したりするためのオプションを選択します。
SSOログインのトラブルシューティング 所有者と管理者を含め、アカウントを使用している人は誰もNewRelicに直接サインインできません。SSOからロックアウトされ、SSOを無効にしたり、構成を変更したりする必要がある場合は、 support.newrelic.com でサポートを受けてください。
SSO構成を削除する この機能が適用されるNewRelicユーザーを含む要件については、要件 を参照してください。
注意 NewRelicとのSAMLSSO統合を削除すると、復元できなくなります。ただし、標準の手順に従って構成を再設定できます。
元のユーザーモデル のユーザーの場合、SAMLSSO構成を完全に削除する方法は次のとおりです。
SAMLSSOログインURLを使用してNewRelicにサインインします。 New Relic メニューバーから、 user menu > Account settings > Security and authentication > Single sign-on 選択します。 Delete SAML Configuration を選択します。確認プロンプトで、 OK 選択します。 パートナーとSAMLSSO パートナーシップアカウント では、NewRelicにサインインするための認証はパートナーシップによって制御されます。パートナーシップがSSOをサポートしているアカウントの場合、ユーザーは再認証せずにNewRelicUIにアクセスできます。これらのパートナーアカウントは、NewRelicサイトにサインインするための代替の安全な方法としてSAMLSSOを使用できます。
Heroku、AppDirect、Microsoft Azureなどの他のパートナーアカウントでは、NewRelicへの直接ログインは許可されていません。この状況では、パートナーのサイトからのSAML統合はパートナーSSOによってサポートされていません。ご不明な点がございましたら、NewRelicのパートナー担当者にお問い合わせください。
要件 この機能が適用されるNewRelicユーザーを含む要件については、要件 を参照してください。
例 アカウントの構造と設定は、SAMLが利用可能かどうか、およびSAMLがアカウントにどのように適用されるかに影響します。
この例は、親アカウントと子アカウントを持つNewRelicPartnerアカウントの階層を示しています。
これは、アカウントと子アカウントがSAMLSSO構成を継承する方法の例です。
Account level
SAML SSO configuration
パートナーシップ
パートナーシップレベルでは、パートナーシップに基づくアカウントでSAMLを有効にできるかどうかを制御できます。パートナーシップアカウントの所有者には特定の管理機能がありますが、このアカウントのSAML構成は、パートナーシップ内の他のアカウントに継承されません。
親アカウント
親アカウント(マスターアカウントとも呼ばれます)は、1つ以上の子アカウント と直接の階層関係を持っています。通常、親アカウントのSAML構成は、そのすべての子アカウントに自動的に継承されます。
子アカウント
親アカウントにSAMLが構成されている場合、子アカウント(サブアカウントとも呼ばれます)は、親アカウントからSAMLSSO構成を継承します。親アカウントにSAMLが構成されていない場合、各子アカウントに独自の構成がある場合があります。詳細については、複数のアカウントを使用したSAMLの設定 を参照してください。