SAML SSOおよびSCIMドキュメントの概要については、最初にSAMLSSOおよびSCIMの概要 をお読みください。
これらのドキュメントは、 元のユーザーモデル のユーザーにSAMLSSOを設定するためのものです。
シングルサインオン(SSO)を使用すると、コンピューターユーザーは単一のポータルを介して複数のシステムにログインできます。New Relicアカウントの所有者が、組織のSSO統合を設定している場合は、組織のSSOログインURL(および場合によってはログアウトURL)を識別するSAML 証明書を取得する必要があります。SSO統合に必要な他の種類の情報は、使用されているSAMLサービスプロバイダーによって異なります。
要件は次のとおりです。
これらのドキュメントは、元のユーザーモデル でユーザーを管理するために適用されます。新しいユーザーモデルのユーザーに対してSSOを有効にするには、 認証ドメイン を参照してください。 ProまたはEnterpriseエディションが必要です。 所有者の役割 が必要です。New Relic SSO 設定ページを見つけるには、ユーザー メニュー からアカウント設定 をクリックし、次にセキュリティと認証 をクリックしてから、シングル サインオン を クリックします。
このUIが表示されない場合は、要件 を確認してください。
SAML SSOを最適に設定する方法については、以下の手順とヒントを参照してください。
元のユーザー モデルのユーザー は、New Relic が現在 SSO 統合をサポートしている SAML サービス プロバイダーのリストを見つけることができます。 New Relicユーザー メニュー から、[アカウント設定] > [セキュリティと認証] > [シングル サインオン ] を選択します。その UI が表示されない場合は、新しいユーザー モデル を使用している可能性があります。その場合は、別の方法を使用して SAML SSO をセットアップし ます。
元のユーザーモデルでユーザーをサポートするSAMLサービスプロバイダーは次のとおりです。
元のユーザーモデルユーザーのGoogleSSO を取得する方法については、この短いビデオ(約3:10分)。
SAMLプロバイダーと統合するには、プロバイダーはNewRelicアカウントに関する情報を必要とします。必要な情報のほとんどは、 NewRelicSSO設定のUIページ に表示されます。
メタデータURL:1つのXMLメッセージに複数の情報が含まれています SAMLバージョン:2.0 アサーションコンシューマーURL:New Relic SSOへのエンドポイント(たとえば、 https://rpm.newrelic.com/accounts/ACCOUNTID/sso/saml/finalize ) コンシューマーバインディング:送信方法はHTTP-POSTです NameID形式:メールアドレス 属性:不要 エンティティID:アカウントURL(デフォルトはrpm.newrelic.com ) SAMLプロバイダーとサービスプロバイダー(New Relicなど)が連携できるようにするには、それらのプロセスを特定の方法で調整する必要があります。NewRelicがSSOを実装する方法のいくつかの側面を次に示します。これは、特定のSAMLプロバイダーがNew Relicで動作できることを確認する場合、または実装の問題をトラブルシューティングする場合に役立ちます。
SSOに関する考慮事項
NewRelicの機能と設定
ユーザー資格情報の範囲(IdP)
すべてのユーザーである必要があります。
接続の種類
IdPによって開始され、SPによって開始される必要があります。
予想されるSAMLプロファイル
New Relicは、SPが開始するリクエストにPOSTバインディングを使用します。
予想されるNameID値の形式
メールアドレスである必要があります。
SAMLアサーションで交換される機密情報?
いいえ、メールアドレスのみが送信されます。
セッション管理とログアウト
組織はログアウトにリダイレクトURLを使用していますか?そうでない場合、NewRelicはログアウトランディングページを提供できます。
アクセスする必要がなくなったユーザーを計画する
通常、アカウントの所有者または管理者による手動削除。
クロック同期
SAMLIDプロバイダーのクロックがNTPによって維持されていることを確認します。
元のユーザーモデル でユーザーのSAMLSSOを管理するための重要な手順は次のとおりです。
推奨:SAMLSSOプロセスをバイパスするようにドメインを要求します 組織がProまたはEnterpriseエディションを使用している場合は、ドメイン名を許可リストに追加するように要求できます。これにより、SAMLSSOの有効化プロセスが合理化されます。ユーザーのメールアドレスに、申請したドメインと一致するドメインがある場合、New Relicはユーザーをアクティブ ユーザーとして自動的に追加し、現在のユーザータイプを保持します。
ドメインを申請するメリットは次のとおりです。
管理者はユーザーのユーザータイプを調整する必要がないため、管理が簡単になります。
ユーザーがメールでユーザーレコードを確認する必要がないため、ユーザーがNewRelicの使用を簡単に開始できます。
組織外にユーザーを追加するときにセキュリティを維持します。
ドメインを申請するには、サポートにお問い合わせ ください。
SAMLSSOを設定する SAML IDプロバイダー証明書 (PEMでエンコードされたx509証明書である必要があります)とURLを取得した後、アカウント所有者はNew Relicでシングルサインオン(SSO)構成をセットアップ、テスト、および有効化できます。アカウントの他の役割は、アカウントのSSO構成を編集できません。
ヒント この機能へのアクセスは、サブスクリプションレベルによって異なります。アカウントがカスタマーパートナーシップ の下で設定されている場合、この機能へのアクセスは、そのパートナーシップサブスクリプションレベルの設定にも依存します。
この機能が適用されるNewRelicユーザーを含む要件については、要件 を参照してください。
アカウントに子アカウントがある場合、通常は親アカウントレベルでのみSSO構成を設定します。子アカウントのユーザーは、親アカウントのSAML SSO構成を継承するため、引き続きSSOを介してログインできます。個別のSAMLIDを使用して(たとえば、パートナーシップアカウントを使用して)複数のアカウントを構成する必要がある場合は、カスタムエンティティID機能 を使用します。
セキュリティを確保し、ネットワーク時間とクロックスキューを考慮に入れるために、SAML IDプロバイダーの検証応答を実用的な最短時間(たとえば、5分)に構成します。NewRelicでは最大30分かかります。
元のユーザーモデル でユーザーのSSO構成を設定するには:
オプションですが推奨: SAMLSSOプロセスを合理化するためのドメインの要求についてお 読みください。
ユーザー メニュー > アカウント設定 > セキュリティと認証 > シングル サインオン に
SAMLシングルサインオン ページから、NewRelicSAMLサービスプロバイダーの詳細を確認します。
SAML IDプロバイダー証明書をアップロードするには、[ファイルの選択]を選択し、標準の手順に従ってファイル を選択して保存します。
ユーザーがシングルサインオンに使用するリモートログインURL を指定します。
組織のSAML統合がログアウト用のリダイレクトURLを提供している場合は、ログアウトランディングURL をコピーして貼り付けます(または入力します)。それ以外の場合は空白のままにします。
変更を保存します。
ヒント 組織が特定のリダイレクトURLを使用していない場合、NewRelicはデフォルトでログアウトランディングページを提供します。
SSO設定を正しく構成して保存すると、[テスト] ページが自動的に表示されます。各テストの後、NewRelicは診断結果を含むSAMLSSOページに戻ります。
戻って構成設定を変更するには、 1CONFIGURE を選択します。
テストが正常に完了すると、会社のランディングページで使用できるリンクが表示され、NewRelicで簡単にシングルサインオンできます。New Relicでドメインを申請して いない限り、ユーザーはNewRelicが自動的に送信する確認メールを完了する までログインできません。ユーザーが確認メールでリンクを選択すると、組織に割り当てられたユーザー名とパスワードを使用して安全にサインインできます。そこから、New Relicを含め、使用が許可されている任意のアプリケーションを選択できます。
注意 SAML SSOを無効 にすると、NewRelicはすべての保留中 のユーザーにアクティブ のフラグを自動的に付けます。後でSAMLSSOを再度有効にすることにした場合、New Relicは、所有者を除くすべてのユーザーに保留中 のフラグを自動的に付け、ユーザーはメールでアカウントへのアクセスを確認する必要があります。
New Relicのセッション構成 機能には、SAMLSSO対応アカウントのログアウトURL が必要です。ログアウトURLなしでSAMLSSOをすでに構成、テスト、および有効にしている場合、NewRelicはアカウント管理者にアカウント所有者に通知するように自動的に促します。さらに、アカウントの所有者である場合、New Relicは、セッション構成 からSAMLシングルサインオンに直接移動してログアウトURLを追加するためのリンクを自動的に提供します。
重要 ログアウトURLには、URLのどこにもnewrelic.comを含めることはできません 。
セッション構成 機能には、SAML認証されたブラウザーセッションを再認証するための自動タイムアウト を選択するオプションも含まれています。
SAMLアカウントにユーザーを追加する SAML SSOおよびSCIMドキュメントの概要については、最初にSAMLSSOおよびSCIMの概要 をお読みください。
New Relic(推奨)でドメインを申請して いない限り、SAML SSOが有効になると自動的に送信される確認メールが完了するまで、ユーザーはNewRelicに追加されません。これは追加のセキュリティ対策です。保留状態(まだ確認されていない)のユーザーは、通知(アラート通知など)を受信しません。
SAML SSOが有効になっていない 組織の場合、所有者または管理者は、電子メールによる確認を必要とせずに新しいユーザーを追加できます。
この機能が適用されるNewRelicユーザーを含む要件については、要件 を参照してください。
次のプロセスに従って、SAMLSSOを介して認証している元のユーザーモデル のユーザーを追加して確認します。
アカウントの所有者または管理者が新しいユーザーを追加します。 [ユーザー メニュー] > [アカウント設定] > [アカウント] > [概要] に移動します。
ドメインを申請して いない限り、ユーザーは保留中 としてマークされ、確認メールが送信されます。(保留中のユーザーは、アラート通知などのNew Relic製品の通知を受け取りません。)
ユーザーは電子メール内のリンクを選択してアカウントを確認します。これにより、SAMLプロバイダーのログインURLに移動します。
ユーザーがSAMLSSOエンドポイント(Auth0、Okta、OneLogin、Ping Identity、Salesforceなど)に正常にサインインすると、NewRelicはユーザーにアクティブ のフラグを付けます。
注意 SAML SSOを無効にすると、NewRelicはすべての保留中 のユーザーにアクティブ のフラグを自動的に付けます。後でSAMLSSOを再度有効にすることにした場合、New Relicは、所有者を除くすべてのユーザーに保留中 のフラグを自動的に付け、ユーザーはメールでアカウントへのアクセスを確認する必要があります。
複数のアカウントのSAML SAMLプロトコルでは、エンティティID はSAMLプロバイダーに対してサービスプロバイダー(New Relic)を一意に識別します。NewRelicのデフォルトのエンティティIDはrpm.newrelic.comです。SAML対応のアカウントが1つしかない場合は、これで十分です。
SAMLを使用して複数のNewRelicアカウントを構成する場合、SAMLプロバイダーは通常、各アカウントに一意のエンティティIDが必要です。個別のSAMLIDを使用して複数のアカウントを構成する必要がある場合は、NewRelicのカスタムエンティティID機能を使用してください。
この機能が適用されるNewRelicユーザーを含む要件については、要件 を参照してください。
New RelicのカスタムエンティティID機能を使用すると、アカウントごとに一意のエンティティIDを有効にできます。次に、SAMLプロバイダーを使用してそれらのSAMLSSOを個別のアプリケーションとして構成できます。これにより、各アカウントに対するユーザー認証を個別に一元管理できます。
カスタムエンティティIDを選択するには:
標準の手順 に従ってSSOを設定します。
さらに、[手順1.構成] ページの[エンティティID] 行で、[カスタムエンティティIDを使用する]を 選択します。
重要 SAMLプロバイダーでアプリケーションの設定を構成するには、同じエンティティIDを使用する必要があります。一部のSAMLプロバイダーでは、エンティティIDを変更するときに新しいアプリケーション構成を作成する必要があります。
SSO設定を維持する SAML SSOログインを構成、テスト、および有効にした後、すべてのNew Relicアカウントユーザー(アカウントの所有者と管理者を含む)は、組織のSSOURLを使用してNewRelicにサインインする必要があります。彼らのメールアドレスは、NewRelicで設定されているものと一致している必要があります。また、SSOURLを使用してNewRelic以外のアプリケーションにアクセスできるかどうかは、それらのアプリケーションに設定されている権限によって異なります。
この機能が適用されるNewRelicユーザーを含む要件については、要件 を参照してください。
元のユーザーモデル のユーザーのSAMLSSO情報を更新するには:
SAMLSSOログインURLを使用してNewRelicにサインインします。
ユーザー メニュー > アカウント設定 > セキュリティと認証 > シングル サインオン に
New RelicとのSAML統合を一時的にオフにして設定を更新するには、[ SAMLログインを無効 にする]を選択します。
オプション:既存のSAML証明書を変更するには、[ファイル の選択]を選択します。標準の手順に従ってファイルを選択して保存し、保存します。
オプション:既存のSSO URLを変更するには、リモートログインURL またはログアウトランディングURL をコピーして貼り付け(または入力)してから保存します。
アカウントの所有者または管理者は、NewRelicにサインインするためのユーザーのメールアドレスがSSOメールと一致していることを確認する必要があります。アカウントの所有者、管理者、およびユーザーは、SAML認証済みアカウントの電子メールアドレスを更新できません。
組織のNewRelicアカウントのユーザー情報を更新するには:
ユーザー メニュー > アカウント設定 > アカウント > 概要
[ユーザー ]リストから、新しいユーザーを追加したり、既存のユーザーの役割を編集したり、削除したりするためのオプションを選択します。
所有者と管理者を含め、アカウントを使用している人は誰もNewRelicに直接サインインできません。SSOからロックアウトされ、SSOを無効にしたり、構成を変更したりする必要がある場合は、 support.newrelic.com でサポートを受けてください。
SSO構成を削除する この機能が適用されるNewRelicユーザーを含む要件については、要件 を参照してください。
注意 NewRelicとのSAMLSSO統合を削除すると、復元できなくなります。ただし、標準の手順に従って構成を再設定できます。
元のユーザーモデル のユーザーの場合、SAMLSSO構成を完全に削除する方法は次のとおりです。
SAMLSSOログインURLを使用してNewRelicにサインインします。 New Relic メニューバーから、 ユーザー メニュー > アカウント設定 > セキュリティと認証 > シングル サインオン を [ SAML構成の削除]を 選択します。 確認プロンプトで、[ OK ]を選択します。 パートナーとSAMLSSO パートナーシップアカウント では、NewRelicにサインインするための認証はパートナーシップによって制御されます。パートナーシップがSSOをサポートしているアカウントの場合、ユーザーは再認証せずにNewRelicUIにアクセスできます。これらのパートナーアカウントは、NewRelicサイトにサインインするための代替の安全な方法としてSAMLSSOを使用できます。
Heroku、AppDirect、Microsoft Azureなどの他のパートナーアカウントでは、NewRelicへの直接ログインは許可されていません。この状況では、パートナーのサイトからのSAML統合はパートナーSSOによってサポートされていません。ご不明な点がございましたら、NewRelicのパートナー担当者にお問い合わせください。
この機能が適用されるNewRelicユーザーを含む要件については、要件 を参照してください。
アカウントの構造と設定は、SAMLが利用可能かどうか、およびSAMLがアカウントにどのように適用されるかに影響します。
この例は、親アカウントと子アカウントを持つNewRelicPartnerアカウントの階層を示しています。
これは、アカウントと子アカウントがSAMLSSO構成を継承する方法の例です。
アカウントレベル
SAMLSSO構成
パートナーシップ
パートナーシップレベルでは、パートナーシップに基づくアカウントでSAMLを有効にできるかどうかを制御できます。パートナーシップアカウントの所有者には特定の管理機能がありますが、このアカウントのSAML構成は、パートナーシップ内の他のアカウントに継承されません。
親アカウント
親アカウント(マスターアカウントとも呼ばれます)は、1つ以上の子アカウント と直接の階層関係を持っています。通常、親アカウントのSAML構成は、そのすべての子アカウントに自動的に継承されます。
子アカウント
親アカウントにSAMLが構成されている場合、子アカウント(サブアカウントとも呼ばれます)は、親アカウントからSAMLSSO構成を継承します。親アカウントにSAMLが構成されていない場合、各子アカウントに独自の構成がある場合があります。詳細については、複数のアカウントを使用したSAMLの設定 を参照してください。