SAML SSOおよびSCIMドキュメントの概要については、最初にSAMLSSOおよびSCIMの概要 をお読みください。
これらのドキュメントは、 元のユーザーモデル のユーザーにSAMLSSOを設定するためのものです。
シングルサインオン(SSO)を使用すると、コンピューターユーザーは単一のポータルを介して複数のシステムにログインできます。New Relicアカウントの所有者が、組織のSSO統合を設定している場合は、組織のSSOログインURL(および場合によってはログアウトURL)を識別するSAML 証明書を取得する必要があります。SSO統合に必要な他の種類の情報は、使用されているSAMLサービスプロバイダーによって異なります。
要件 要件は次のとおりです。
これらのドキュメントは、元のユーザーモデル でユーザーを管理するために適用されます。新しいユーザーモデルのユーザーに対してSSOを有効にするには、 認証ドメイン を参照してください。 ProまたはEnterpriseエディションが必要です。 所有者の役割 が必要です。SSO設定UIページ New Relic SSO 設定ページを見つけるには、ユーザー メニュー からAccount settings クリックし、次にSecurity and authentication をクリックして、次にSingle sign-on をクリックします。
このUIが表示されない場合は、要件 を確認してください。
SAML SSOを最適に設定する方法については、以下の手順とヒントを参照してください。
NewRelicがサポートするプロバイダー 弊社のオリジナル ユーザー モデル のユーザーは、 New Relicが現在SSOインテグレーションでサポートしている SAML サービス プロバイダーの一覧を参照できます。New New Relicユーザー メニュー から、Account settings > Security and authentication > Single sign-on を選択します。 この UI が表示されない場合は、新しいユーザー モデル を使用している可能性があります。その場合は、別の方法で SAML SSO を設定する 必要があります。
元のユーザーモデルでユーザーをサポートするSAMLサービスプロバイダーは次のとおりです。
元のユーザーモデルユーザーのGoogleSSO を取得する方法については、この短いビデオ(約3:10分)。
SAMLプロバイダーと統合するには、プロバイダーはNewRelicアカウントに関する情報を必要とします。必要な情報のほとんどは、 NewRelicSSO設定のUIページ に表示されます。
メタデータURL:1つのXMLメッセージに複数の情報が含まれています SAMLバージョン:2.0 アサーションコンシューマーURL:New Relic SSOへのエンドポイント(たとえば、 https://rpm.newrelic.com/accounts/ACCOUNTID/sso/saml/finalize
) コンシューマーバインディング:送信方法はHTTP-POSTです NameID形式:メールアドレス 属性:不要 エンティティID:アカウントURL(デフォルトはrpm.newrelic.com
) NewRelicSAMLの実装 SAMLプロバイダーとサービスプロバイダー(New Relicなど)が連携できるようにするには、それらのプロセスを特定の方法で調整する必要があります。NewRelicがSSOを実装する方法のいくつかの側面を次に示します。これは、特定のSAMLプロバイダーがNew Relicで動作できることを確認する場合、または実装の問題をトラブルシューティングする場合に役立ちます。
SSO considerations
New Relic functions and preferences
ユーザー資格情報の範囲(IdP)
すべてのユーザーである必要があります。
接続の種類
IdPによって開始され、SPによって開始される必要があります。
予想されるSAMLプロファイル
New Relicは、SPが開始するリクエストにPOSTバインディングを使用します。
予想されるNameID値の形式
メールアドレスである必要があります。
SAMLアサーションで交換される機密情報?
いいえ、メールアドレスのみが送信されます。
セッション管理とログアウト
組織はログアウトにリダイレクトURLを使用していますか?そうでない場合、NewRelicはログアウトランディングページを提供できます。
アクセスする必要がなくなったユーザーを計画する
通常、アカウントの所有者または管理者による手動削除。
クロック同期
SAMLIDプロバイダーのクロックがNTPによって維持されていることを確認します。
SAMLSSOの機能と手順 元のユーザーモデル でユーザーのSAMLSSOを管理するための重要な手順は次のとおりです。
推奨:SAMLSSOプロセスをバイパスするようにドメインを要求します 組織が Pro または エンタープライズエディションを使用している場合は、ドメイン名を「許可」リストに登録するようリクエストできます。これにより、SAML SSO有効化プロセスが効率化されます。 ユーザーのメール アドレスのドメインが、申請したドメインと一致する場合、 New Relic自動的にそのユーザーを Active ユーザーとして追加し、現在のユーザー タイプを保持します。
ドメインを申請するメリットは次のとおりです。
管理者はユーザーのユーザータイプを調整する必要がないため、管理が簡単になります。
ユーザーがメールでユーザーレコードを確認する必要がないため、ユーザーがNewRelicの使用を簡単に開始できます。
組織外にユーザーを追加するときにセキュリティを維持します。
ドメインを申請するには、サポートにお問い合わせ ください。
SAMLSSOを設定する SAML IDプロバイダー証明書 (PEMでエンコードされたx509証明書である必要があります)とURLを取得した後、アカウント所有者はNew Relicでシングルサインオン(SSO)構成をセットアップ、テスト、および有効化できます。アカウントの他の役割は、アカウントのSSO構成を編集できません。
ヒント この機能へのアクセスは、サブスクリプションレベルによって異なります。アカウントがカスタマーパートナーシップ の下で設定されている場合、この機能へのアクセスは、そのパートナーシップサブスクリプションレベルの設定にも依存します。
要件 この機能が適用されるNewRelicユーザーを含む要件については、要件 を参照してください。
親子アカウント アカウントに子アカウントがある場合、通常は親アカウントレベルでのみSSO構成を設定します。子アカウントのユーザーは、親アカウントのSAML SSO構成を継承するため、引き続きSSOを介してログインできます。個別のSAMLIDを使用して(たとえば、パートナーシップアカウントを使用して)複数のアカウントを構成する必要がある場合は、カスタムエンティティID機能 を使用します。
SSOを構成する セキュリティを確保し、ネットワーク時間とクロックスキューを考慮に入れるために、SAML IDプロバイダーの検証応答を実用的な最短時間(たとえば、5分)に構成します。NewRelicでは最大30分かかります。
元のユーザーモデル でユーザーのSSO構成を設定するには:
オプションですが推奨: SAMLSSOプロセスを合理化するためのドメインの要求についてお 読みください。
user menu > Account settings > Security and authentication > Single sign-on に移動します。
SAML single sign-on ページから、 New Relic SAML サービス プロバイダーの詳細を確認します。
SAML ID プロバイダー証明書をアップロードするには、 Choose file を選択し、標準の手順に従ってファイルを選択して保存します。
ユーザーがシングル サインオンに使用するRemote login URL を指定します。
組織の SAML インテグレーションがログアウト用のリダイレクト URL を提供している場合は、 Logout landing URL をコピーして貼り付けます (または入力します)。それ以外の場合は空白のままにします。
変更を保存します。
ヒント 組織が特定のリダイレクトURLを使用していない場合、NewRelicはデフォルトでログアウトランディングページを提供します。
SSOをテストする SSO 設定を正しく構成して保存すると、 Test ページが自動的に表示されます。 各テストの後、New Relic は診断結果を含む SAML SSO ページを返します。
戻って構成設定を変更するには、 1 CONFIGURE を選択します。
SSOを有効にする テストが正常に完了すると、会社のランディングページで使用できるリンクが表示され、NewRelicで簡単にシングルサインオンできます。New Relicでドメインを申請して いない限り、ユーザーはNewRelicが自動的に送信する確認メールを完了する までログインできません。ユーザーが確認メールでリンクを選択すると、組織に割り当てられたユーザー名とパスワードを使用して安全にサインインできます。そこから、New Relicを含め、使用が許可されている任意のアプリケーションを選択できます。
注意 SAML SSO を無効にする と、New Relic はすべてのPending ユーザーにActive のフラグを自動的に設定します。 後で SAML SSO を再度有効にする場合、New Relic は所有者を除くすべてのユーザーにPending のフラグを自動的に設定し、ユーザーは電子メールでアカウント アクセスを確認する必要があります。
セッションタイムアウトのログアウトURLを追加します New Relic のSession configuration 機能では、SAML SSO 対応アカウントのログアウト URL が 必要です。 ログアウト URL なしで SAML SSOすでに構成、テスト、有効化している場合は、 New Relic自動的にアカウント管理者に連絡し、アカウント所有者に通知します。 さらに、アカウント所有者の場合、New Relic はSession configuration から SAML シングル サインオンに直接アクセスしてログアウト URL を追加するためのリンクを自動的に提供します。
重要 ログアウト URL cannot の URL のどこかにnewrelic.com
が含まれています。
Session configuration 機能には、SAML 認証されたbrowser セッションの再認証の 自動タイムアウト を選択するオプションも含まれています。
SAMLアカウントにユーザーを追加する SAML SSOおよびSCIMドキュメントの概要については、最初にSAMLSSOおよびSCIMの概要 をお読みください。
New Relic(推奨)でドメインを申請して いない限り、SAML SSOが有効になると自動的に送信される確認メールが完了するまで、ユーザーはNewRelicに追加されません。これは追加のセキュリティ対策です。保留状態(まだ確認されていない)のユーザーは、通知(アラート通知など)を受信しません。
SAML SSO が有効になっている組織without の場合、所有者または管理者は電子メールの確認を必要とせずに新しいユーザーを追加できます。
要件 この機能が適用されるNewRelicユーザーを含む要件については、要件 を参照してください。
ユーザーを追加して確認する 次のプロセスに従って、SAMLSSOを介して認証している元のユーザーモデル のユーザーを追加して確認します。
アカウントの所有者またはアドミニストレーターが新しいユーザーを追加しました: user menu > Account settings > Account > Summary に移動します。
ドメインを申請して いない限り、ユーザーはPending としてマークされ、確認メールが送信されます。 (保留中のユーザーには、集計 通知 などのNew Relic製品 通知 は届きません。)
ユーザーは電子メール内のリンクを選択してアカウントを確認します。これにより、SAMLプロバイダーのログインURLに移動します。
ユーザーが SAML SSO エンドポイント (Auth0、Okta、OneLogin、Ping Identity、Salesforce など) に正常にサインインすると、New Relic はユーザーにActive のフラグを設定します。
注意 SAML SSO を無効にすると、New Relic はすべてのPending ユーザーにActive のフラグを自動的に設定します。 後で SAML SSO を再度有効にする場合、New Relic は所有者を除くすべてのユーザーにPending のフラグを自動的に設定し、ユーザーは電子メールでアカウント アクセスを確認する必要があります。
複数のアカウントのSAML SAML プロトコルでは、entity ID はサービスプロバイダー ( New Relic ) を SAML プロバイダーに対して一意に識別します。 New Relic のデフォルトのエンティティ ID はrpm.newrelic.com
です。 SAML 対応アカウントが 1 つしかない場合はこれで十分です。
SAMLを使用して複数のNewRelicアカウントを構成する場合、SAMLプロバイダーは通常、各アカウントに一意のエンティティIDが必要です。個別のSAMLIDを使用して複数のアカウントを構成する必要がある場合は、NewRelicのカスタムエンティティID機能を使用してください。
要件 この機能が適用されるNewRelicユーザーを含む要件については、要件 を参照してください。
カスタムエンティティIDを選択します New RelicのカスタムエンティティID機能を使用すると、アカウントごとに一意のエンティティIDを有効にできます。次に、SAMLプロバイダーを使用してそれらのSAMLSSOを個別のアプリケーションとして構成できます。これにより、各アカウントに対するユーザー認証を個別に一元管理できます。
カスタムエンティティIDを選択するには:
標準の手順 に従ってSSOを設定します。
さらに、 Step 1. Configure ページのEntity ID 行からUse custom entity ID を選択します。
重要 SAMLプロバイダーでアプリケーションの設定を構成するには、同じエンティティIDを使用する必要があります。一部のSAMLプロバイダーでは、エンティティIDを変更するときに新しいアプリケーション構成を作成する必要があります。
SSO設定を維持する SAML SSOログインを構成、テスト、および有効にした後、すべてのNew Relicアカウントユーザー(アカウントの所有者と管理者を含む)は、組織のSSOURLを使用してNewRelicにサインインする必要があります。彼らのメールアドレスは、NewRelicで設定されているものと一致している必要があります。また、SSOURLを使用してNewRelic以外のアプリケーションにアクセスできるかどうかは、それらのアプリケーションに設定されている権限によって異なります。
要件 この機能が適用されるNewRelicユーザーを含む要件については、要件 を参照してください。
SAMLSSO情報を更新する 元のユーザーモデル のユーザーのSAMLSSO情報を更新するには:
SAMLSSOログインURLを使用してNewRelicにサインインします。
user menu > Account settings > Security and authentication > Single sign-on に移動します。
New Relicとの SAML 統合を一時的にオフにして設定を更新するには、Disable SAML login を選択します。
オプション: 既存の SAML 証明書を変更するには、 Choose file を選択します。 標準の手順に従ってファイルを選択し、保存します。
オプション: 既存の SSO URL を変更するには、 Remote login URL またはLogout landing URL をコピーして貼り付け (または入力)、保存します。
メールアドレス アカウントの所有者または管理者は、NewRelicにサインインするためのユーザーのメールアドレスがSSOメールと一致していることを確認する必要があります。アカウントの所有者、管理者、およびユーザーは、SAML認証済みアカウントの電子メールアドレスを更新できません。
組織のNewRelicアカウントのユーザー情報を更新するには:
user menu > Account settings > Account > Summary に移動します。
Users リストから、新しいユーザーを追加したり、既存のユーザーロールを編集したり、削除したりするためのオプションを選択します。
SSOログインのトラブルシューティング 所有者と管理者を含め、アカウントを使用している人は誰もNewRelicに直接サインインできません。SSOからロックアウトされ、SSOを無効にしたり、構成を変更したりする必要がある場合は、 support.newrelic.com でサポートを受けてください。
SSO構成を削除する この機能が適用されるNewRelicユーザーを含む要件については、要件 を参照してください。
注意 NewRelicとのSAMLSSO統合を削除すると、復元できなくなります。ただし、標準の手順に従って構成を再設定できます。
元のユーザーモデル のユーザーの場合、SAMLSSO構成を完全に削除する方法は次のとおりです。
SAMLSSOログインURLを使用してNewRelicにサインインします。
New Relic メニューバーから、
user menu > Account settings > Security and authentication > Single sign-on
選択します。
Delete SAML Configuration
を選択します。
確認プロンプトで、
OK
選択します。
パートナーとSAMLSSO パートナーシップアカウント では、NewRelicにサインインするための認証はパートナーシップによって制御されます。パートナーシップがSSOをサポートしているアカウントの場合、ユーザーは再認証せずにNewRelicUIにアクセスできます。これらのパートナーアカウントは、NewRelicサイトにサインインするための代替の安全な方法としてSAMLSSOを使用できます。
Heroku、AppDirect、Microsoft Azureなどの他のパートナーアカウントでは、NewRelicへの直接ログインは許可されていません。この状況では、パートナーのサイトからのSAML統合はパートナーSSOによってサポートされていません。ご不明な点がございましたら、NewRelicのパートナー担当者にお問い合わせください。
要件 この機能が適用されるNewRelicユーザーを含む要件については、要件 を参照してください。
例 アカウントの構造と設定は、SAMLが利用可能かどうか、およびSAMLがアカウントにどのように適用されるかに影響します。
この例は、親アカウントと子アカウントを持つNewRelicPartnerアカウントの階層を示しています。
これは、アカウントと子アカウントがSAMLSSO構成を継承する方法の例です。
Account level
SAML SSO configuration
パートナーシップ
パートナーシップレベルでは、パートナーシップに基づくアカウントでSAMLを有効にできるかどうかを制御できます。パートナーシップアカウントの所有者には特定の管理機能がありますが、このアカウントのSAML構成は、パートナーシップ内の他のアカウントに継承されません。
親アカウント
親アカウント(マスターアカウントとも呼ばれます)は、1つ以上の子アカウント と直接の階層関係を持っています。通常、親アカウントのSAML構成は、そのすべての子アカウントに自動的に継承されます。
子アカウント
親アカウントにSAMLが構成されている場合、子アカウント(サブアカウントとも呼ばれます)は、親アカウントからSAMLSSO構成を継承します。親アカウントにSAMLが構成されていない場合、各子アカウントに独自の構成がある場合があります。詳細については、複数のアカウントを使用したSAMLの設定 を参照してください。