ほとんどすべての New Relic ユーザーは、2020 年 7 月に導入された新しいユーザー モデルを使用しています。このチュートリアルは、元のユーザー モデルにまだユーザーがいる New Relic のお客様を対象としており、それらのユーザーを新しいユーザー モデルに移行します。
背景
2020 年 7 月に、改良された新しいユーザー モデルをリリースしました。この新しいユーザー モデルは、ユーザーとそのロールおよびアカウントへのアクセスを管理するための、よりシンプルで効率的な方法を提供します。
当初、この新しいモデルは主に新規顧客が利用できましたが、既存のNewRelic組織のユーザーは元のユーザーモデルのままでした。ただし、一部の要件を満たす元のユーザーモデルの組織では、移行ウィザードを使用してユーザーを新しいモデルに移行できます。その移行プロセスが完了すると、ユーザーは新しいユーザーモデルを使用し、ユーザーとアカウントへのアクセスを管理するための新しい手順が実行されます。
利点
ユーザーをこのモデルに移行すると、以下のようなメリットがあります。
- 複数のアカウントのすべてのユーザーを一度に表示し、管理することができます。
- ユーザーを追加・管理するための手順が少ない。
- 柔軟な認証方法
- ユーザー管理のためのより詳細な役割
- ProおよびEnterpriseのお客様向け:IDプロバイダを介した自動ユーザー管理へのアクセス。
要件
要件は次のとおりです。
- あなたとあなたのユーザーは、 元のユーザーモデルを使用している必要があります。自分がどちらであるかわからない場合は、「 ユーザーモデルの決定」を参照してください。
- ユーザー移行ウィザードを使用するには、 所有者の役割があり、完全なプラットフォームユーザーである必要があります。
- ユーザーに特定の役割と特定のアカウントを与えるためのアクセス許可を設定する必要がある場合は、ユーザーにアクセス許可を設定する必要があり、開始する前に新しいユーザー管理の概念を理解する必要があります(詳細は以下を参照)。
推奨:請求目的でユーザーのユーザータイプを確認する
使用量ベースの価格設定モデルを使用している組織の場合、ユーザーのユーザータイプが課金要素になります。
考慮すべきいくつかの事柄:
- 現在、使用量ベースの価格設定モデルを使用している場合でも、すぐにそのモデルに切り替える予定がある場合でも、ユーザーを移行する前に、ユーザーのユーザー タイプを確認して編集することをお勧めします。 その理由の 1 つは、元の Users and roles UIではユーザーが最後にNew Relicを使用したのはいつかを確認できるのに対し、新しいUIまだこの機能がないため、元のUIどのユーザー タイプを選択するかを決定するのに役立つからです。 このヒントについては、 「ユーザー タイプの編集」を参照してください。
- 使用量ベースの料金モデルでは、請求可能なユーザーは、以前にNew Relicにログインしたことがあるかどうかに関係なく、追加されるとすぐに請求されます。これは、UIに
Pending invite
タグがあるユーザーが、請求可能なユーザータイプを持っている場合でも、請求可能であることを意味します。詳細については、請求可能なユーザーを参照してください。
ユーザーマネジメントの概念を理解する
特定のアカウントや特定のロールへのユーザーのアクセスを制御する必要がある場合 (すべてのユーザーにすべてへのアクセスを許可するのではなく)、古い概念とはまったく異なる新しいユーザー管理の概念についての基本を学ぶ必要があります。 Your users' existing roles and permissions won't be carried over to their new user recordsなので、ユーザー移行プロセスの一部として、ロールとアカウントへの必要なアクセス権を持つユーザー グループを設定する必要があります。
新しいユーザーモデルがどのように機能するかについての最も重要な概念のいくつかを次に示します。
- ユーザーは「認証ドメイン」と呼ばれるコンテナにいます。このドメインは、ユーザーがNew Relicに追加される方法を管理します:手動(UIから)または自動(SCIMを介して)。また、ユーザーがログインする方法(手動(電子メール/パスワードを使用)またはSAML SSOを使用)も管理します。ほとんどの組織には、1つまたは2つの認証ドメインがあります。1つはデフォルトの手動設定用で、もう1つはより自動化された方法用です。
- ユーザーは 1 つ以上のグループに割り当てることができます (たとえば、デフォルトのAdminグループやContractorsのようなカスタム グループ)。 大規模な組織では、ユーザーが複数のグループに割り当てられることがよくあります。
- ユーザー グループに特定のロールと特定のアカウントへのアクセス権を付与する場合は、そのグループを新規または既存のグループに追加する必要があります。 たとえば、 Contractorsグループに 1 つ以上のアカウントのデフォルトのAll product adminロールへのアクセス権を付与したり、そのグループにカスタム ロールを付与したりできます。
詳細について:
- ユーザー管理の概念を確認します。
- この計画用スプレッドシートの例を使用して、ユーザー グループ アクセスを計画します。
ステップ0:移行ウィザードを見つけて開始します
始める前に、 要件 および上記のその他の推奨事項を確認してください。ウィザードの使用を開始するには
- one.newrelic.com > All capabilities > Appsに移動します。
- アプリの表で、 User migration walkthroughアプリをクリックします。
- さらに詳しいヘルプやコンテキストが必要な場合は、以下のセクションで特定の移行ウィザード ページに関するヒントを参照してください。 このドキュメントの内容に不明な点がある場合は、このページのCreate issueボタンを使用してフィードバックをお送りください。
ステップ1:アドミンの作成
このページで、移行する管理者を選択します。 この手順では、選択した管理者の新しいモデルにユーザー レコードを作成し、それらをAdminグループに割り当てます。 これが完了すると、管理者は New Relic にログインすると新しいユーザー レコードが利用可能になり (下の画像を参照)、移行ウィザードのプロセスが完了するまで、古いユーザー レコードと新しいユーザー レコードの両方にアクセスできるようになります。 この段階で移行する管理者は、移行ウィザードの完了を手伝ってくれます。これが、管理者を最初に移行することの 1 つの利点です。 この手順が完了した後、ユーザーが移行ウィザードにアクセスするには、新しいユーザー レコードでサインインする必要があります。すべてのログイン オプションを表示するには、New Relic からサインアウトしてログイン画面に再度アクセスする必要がある場合があります。
移行プロセスが完了した後は、いつでも管理者を追加したり、既存の管理者を削除して編集したりできることに注意してください。これは、今すぐ多くまたはすべての管理者を引き継ぎ、後で設定を調整する理由になる場合があります。
Add adminsページの使用に関するヒントをいくつか紹介します。
移行が実行されるアカウントを理解していることを確認する必要があります。 ユーザーの移行は、選択した親アカウント( Accounts includedドロップダウンに表示)とその子アカウント( View all associated accountsボタンを使用して表示)にのみ適用されます。 期待どおりのアカウントがすべて表示されない場合は、組織に複数の親/子アカウント構造があるためである可能性があり、その場合は移行プロセスを複数回実行する必要があります。
もし、一部のユーザーだけを新しいユーザーモデルに移行して開始する予定であれば、元のユーザーモデルのユーザーを管理するための管理者がいるように、元のユーザーモデルの管理者をいくつか残しておくことをお勧めします。
新しいモデルのユーザーが作成され、移行プロセスが完了していない場合、ユーザーは元のユーザーレコードと新しいユーザーレコードの両方にアクセスできる可能性があります。
ステップ2:組織の設定
a)より多くの構成オプションを可能にするガイド付きセットアップ、またはb)より少ないステップでの自動セットアップを選択できます。これを選択するためのいくつかのヒント:
- 移行するユーザーにSAMLSSOまたはSCIMを使用しておらず、移行したすべてのユーザーにすべてのアカウントへのアクセスを許可している場合は、自動セットアップオプションを使用することをお勧めします。 (後で、アカウントへのユーザーアクセスのパーティション化をいつでも行うことができることに注意してください。)
- SCIMプロビジョニングについて:近い将来、SCIMプロビジョニングを介してNew Relicユーザーを管理することを計画している場合は、SCIMを有効にして移行できるように、移行を待つことを検討する必要があります。これは、ユーザーが移行されると、ユーザーは特定の認証ドメインに存在し、ユーザーがそのドメインに追加されると、ドメインはSCIMと非SCIM(手動)を切り替えることができないためです。
ステップ3:組織の名称
組織の名前は、説明的でわかりやすいものにしましょう。
ステップ4:認証ドメインの設定
このセクションでは、ユーザーの管理方法(New Relicへの追加方法と更新方法)と認証(ログイン)方法を制御します。このページに関する重要な注意事項:
- SCIMオプション(「IDプロバイダーによる管理」)またはSAML SSOオプションを選択すると、移行ウィザードを終了し、New Relic UIおよびIDプロバイダーの他の場所で設定を行ってから、ウィザードで処理を完了する必要があります。
- SCIM を使用している場合は、ユーザー資産を移行するこのユーザー移行プロセスの最後のステップの前に、ID プロバイダーからグループとユーザーをプッシュし、アクセスを構成してください。これにより、ユーザーのアセットが SCIM プロビジョニングされたユーザー レコードに移行され、それらのユーザーがログイン時にアクセスできるようになります。
- 認証ドメインの管理方法を(IDプロバイダーまたは手動で)設定すると、それを変更することはできず、その設定を調整するには、新しい認証ドメインを作成し、新しいユーザーレコードを追加する必要があります。ユーザーの管理方法をすぐに変更できる可能性がある場合は、ユーザーレコードの移行を待つ理由になる可能性があります。
ここでは、2つの認証ドメイン部について詳しく説明します。
ユーザーの管理(手動プロバイダーとIDプロバイダー)
ユーザーの追加および管理方法については、 ManuallyまたはIdentity provider (SCIM) を選択できます。 アイデンティティ プロバイダーを使用して SCIM 経由でユーザーをプロビジョニングするオプションは、組織がPro またはエンタープライズ Editionを持っている場合にのみ使用できます。
Identity providerを選択した場合は、 自動ユーザー管理の手順に従う必要がありますが、このプロセスの後半で実行するグループの作成に関連する手順はスキップします。 自動ユーザー管理手順を完了したら、移行ウィザードとこれらのドキュメントに戻ります。
この手順を完了したら、できるだけ早くユーザー移行プロセスを完了することを強くお勧めします。この手順を完了した後、ウィザードの手順を完了するまで、ユーザーは同じログインに関連付けられた2つのユーザーレコードを持っているか(手順1のログインスクリーンショットを参照)、そうでない場合は、期待するアセット(ダッシュボードなど)が欠落している可能性があります。
ID プロバイダーを New Relic と同期し、グループ アクセスを設定するためのヒント:
- Okta、Azure、またはOneLoginのいずれかでNew Relicアプリを既に使用している場合は、古いバージョンを使用している可能性があります。古いアプリのタイトルは「アカウント別のNewRelic」ですが、新しい必須アプリのタイトルは「組織別のNewRelic」です。
- これらの手順を完了すると、新しいユーザー モデルに新しいユーザー レコードが作成され、ID プロバイダーの設定に基づいてNew Relicで同期されます。 ユーザーのプロビジョニングが完了したら、新しいUser management UIにそれらのユーザー レコードが表示されることを確認します。
- 新しいNewRelicユーザー管理UIにアクセスするには、新しいユーザーレコードを介してログインする必要があります。これには、ログアウト、ログインし直し、メールを確認して、メールに関連付けられているすべてのログインを確認する必要がある場合があります。
ログイン方法(手動とSSO)
ログイン方法では、これらのユーザーのログイン方法を選択できます。a)電子メール/パスワードログインまたはb)シングルサインオン(SSO)のいずれかを選択できます。 SSOは、ProまたはEnterpriseエディションを使用している組織でのみ使用できることに注意してください。
SCIMではなくSSOを使用している場合は、SSO を設定するための追加の手順を完了する必要があります。 (前の手順でSCIMの手順をすでに実行している場合は、SAML SSOをすでに設定している必要があります。)
SAML SSOを設定するためのヒント:
- Okta、Azure、またはOneLoginのいずれかでNew Relicアプリを既に使用している場合は、古いバージョンを使用している可能性があります。古いアプリのタイトルは「アカウント別のNewRelic」ですが、新しい必須アプリのタイトルは「組織別のNewRelic」です。
- 新しいNewRelicユーザー管理UIにアクセスするには、新しいユーザーレコードを介してログインしていることを確認する必要があります。これには、ログアウトして再度ログインし、メールを確認して、そのメールに関連付けられているすべてのログインを確認する必要がある場合があります。
- SSOの設定手順を完了してから、移行ウィザードに戻って移行プロセスを続行できます。
- 複数の認証方法を選択する場合は、新しい認証ドメインを追加する必要があることに注意してください。
ステップ5: 既存のユーザーのインポート
NewRelicユーザーを追加および管理するには2つの方法があります。手順とヒントに使用する方法を選択します。
ステップ6:アクセス設定
この手順では、ユーザー グループがアクセスできるロールとアカウントを設定します。 Your users' existing roles and permissions won't be retained.つまり、ユーザーが特定のアカウントまたは特定のロールにアクセスできるように設定する必要がある場合は、この段階でグループ アクセスを構成する必要があります。
重要
SCIM プロビジョニング ユーザーの場合: SCIM を使用して ID プロバイダーからユーザーとグループをインポートしている場合、New Relic でユーザーとグループを編集することはできません。すべてのユーザーとグループの変更は、ID プロバイダーから処理されます。
ユーザー グループにアクセスを許可するアカウントとロールごとに、それを新規または既存のグループに追加する必要があります。グループ アクセスを理解するのに役立つリソース:
- ユーザー アクセスの仕組みの基本については、「 ユーザー管理の概念」を参照してください。
- グループ アクセスを追加および編集する方法のチュートリアルについては、 ユーザー管理のチュートリアルを参照してください。
- グループ アクセスの計画については、 ユーザー グループ計画スプレッドシートを参照してください。
- 役立つビデオについては、ユーザー管理ビデオを参照してください。
ステップ7:ユーザー資産の移行
この手順が完了すると、ユーザーの個人資産が新しいユーザーレコードに移行され、元のユーザーレコードが削除されます。現在NewRelicにログインしているユーザーの場合、この手順を完了すると、ログアウトするか、現在のブラウザセッションが期限切れになるまで、現在のNewRelicセッションが中断されることはありません。
移行されるユーザー資産は次のとおりです。
- ダッシュボード
- お気に入り
- ウィークリーメールの設定
- 電子メールのオプトイン/アウトの設定
- ユーザー別 ユーザーキー
- New Relic アプリNerdStorage データ
ユーザーがNewRelicを使用する複数の組織にアクセスできる場合(たとえば、そのユーザーが請負業者である場合)、それらのすべての組織がユーザーを移行するまで、元のユーザーモデルレコードは完全に削除されません。このようなユーザーは、元のユーザーレコードと1つ以上の新しいユーザーレコードの両方を持ち、その場合は、ログイン時に表示されます( 1ページのセクションのログインスクリーンショットを参照)。
ステップ8:レビューと仕上げ
ユーザーを一度ではなくセグメントごとに移行する場合は、異なるユーザー グループで移行ワークフローを複数回実行できます。 組織内のすべてのユーザーが移行されている場合にのみ、 Finish Setupをクリックできます。
トラブルシューティング
移行後のよくあるトラブル
管理者レベルのロールが割り当てられているのに、 New Relicプラットフォーム 機能 にアクセスしようとするとエラー メッセージが表示される場合は、 管理設定(Organization settings や Authentication domain settings) が割り当てられているが、ロールが割り当てられていないことが原因である可能性があります。 特定のアカウントで New Relic 機能にアクセスするには、少なくとも 1 つのロール (たとえば、 All product adminまたはカスタム ロール) が必要です。
移行が完了したか、移行の途中であるにもかかわらず、元のユーザー管理 UI ( Account settingsタブからアクセスした UI) がまだ表示される場合は、元のユーザー モデル レコードにまだログインしていることが原因の可能性があります。 これに対するいくつかの解決策:
- New Relicからログアウトし、Verify email オプションを選択して再度ログインします。 電子メールを確認したら、「元の New Relic アカウント」ではなく、「組織」というログイン オプションを選択します。
- それでも問題が解決しない場合は、ブラウザのキャッシュをクリアして、再度ログインを試みてください。
ログイン時に複数のアカウントから選択できる場合、次の原因が考えられます。
- 新しいモデルでユーザーが作成されているが、移行プロセスが完了していない場合は、元のユーザーと新しいユーザーの両方にアクセスできる可能性があります。
- 複数の組織に所属していた場合、移行されていない組織の古いログインと新しいユーザー ログインの組み合わせが表示される可能性があります。
- 複数の組織または同じ組織内の複数の認証ドメインに属しているため、電子メール アドレスに複数のユーザー レコードが含まれる場合があります。
終わった後
ユーザーが新しいユーザー モデルに移行されると、ユーザー メニューをクリックし、Administration をクリックして、次のUIページを使用することで、ユーザーを検索および管理できます。
- User management: これを使用して、ユーザーの表示と追加、ユーザーの種類 (基本または完全) の変更、グループの変更、ユーザーのアップグレード要求の承認を行います。
- Access management: これを使用して、グループ アクセスを作成および編集し、認証ドメイン (SAML SSO 設定や SCIM 設定など) を構成します。
グループ アクセスを計画するためのヒントについては、ユーザー管理の概念に関するヒント を参照してください。
これらのツールやコンセプトの詳細については、 ユーザー管理のドキュメント を参照してください。