Okta SCIM/SSOアプリケーションの設定

自動化されたユーザー管理により、SCIM を介して ID プロバイダーから New Relic ユーザーとグループをインポートして構成できます。このガイドでは、New Relic Okta SCIM/SSO アプリケーションの設定方法に関する Okta 固有の詳細を提供します。

要件

このガイドを使用する前に、 自動ユーザー管理の要件 をお読みください。

なお、この手順では、IDプロバイダーとNew Relicの間を行き来する必要があります。

Step 1.認証ドメインの作成とSCIMの有効化

New Relic 認証ドメイン UI にアクセスするには、 one.newrelic.comからユーザー メニューをクリックし、 Access managementをクリックして、 Authentication domainsをクリックします。

まだ認証ドメインがない場合は、 + Add newをクリックして、SCIM プロビジョニングされたユーザー用の新しい認証ドメインを作成します。

その認証ドメインに対して、 Source of usersの下でSCIMを選択します。 後で使用するために API トークンをコピーして保存します。 これは一度だけ表示されることに注意してください。

ステップ2.OktaのNew Relicアプリを設定する

次にOktaのNew Relic SCIM/SSOアプリケーションを設定します。

1. okta.com/ にアクセスし、管理者権限のあるアカウントでサインインします。
2. Okta ホームページから、 Adminをクリックします。
3. Okta 管理者Dashboardから、 Applicationsページを選択します。
4. Browse app catalog をクリックして、「 New Relic by 組織」（「 New Relic by アカウント」ではありません）を検索し、結果からそれを選択します。
5. New Relic by OrganizationページからAddをクリックします。
6. Add New Relic by organizationページで、2 つのApplication visibility "Do not display..."チェックボックスをオンにして、 Doneをクリックします。 設定が完了し、プロビジョニングが開始された後に、アプリケーションが表示されるようになります。

Step 3.プロビジョニングの設定

OktaのNew Relic SCIM/SSOアプリケーションを設定して、ユーザーをNew Relicに自動的にプロビジョニングします。

1. アプリから、 Provisioningタブをクリックします。
2. IntegrationフォームからConfigure API integrationをクリックし、 Enable API integrationチェックボックスをオンにします。
3. 手順 1で保存した API トークンを取得し、Okta New Relic アプリのAPI tokenフィールドに入力します。
4. オプション: Test API credentialsをクリックして、New Relic への SCIM 接続を確立できることを確認します。 接続を確立できる場合は、成功メッセージが表示されます。 接続が確立されなかった場合は、API トークンを再入力して、再度テストを試してください。
5. Saveクリックします。 保存プロセスでは API 資格情報のテストが実行されることに注意してください。 New Relic への接続が確立されていない場合、保存は失敗します。
6. 新しく表示されたTo Appフォームで、 Editをクリックします。
7. Create users 、 Update user attributes 、 Deactivate usersセクションのEnableチェックボックスをオンにします。
8. Saveをクリックします。
9. Sign onタブに移動します。 認証ドメイン フィールドに、 認証ドメイン UIで確認できる認証ドメイン ID を入力します。

ステップ4.ユーザーとグループの割り当て

Okta でユーザー グループをまだ設定していない場合は、作成する必要があります。これらは、後で New Relic でロールとアカウント アクセスを割り当てるグループになります。グループの作成方法については 、グループに関する Okta のドキュメントを参照してください。

アサインメントタブ

次に、ユーザーを割り当てます。 ユーザーの割り当ては、アプリ内の 2 つの異なるタブを使用して行われます。 Assignmentsタブで New Relic ユーザーを選択し、 Push groupsタブでその関連グループを選択することをお勧めします。

1. アプリで、 Assignmentsタブをクリックします。
2. AssignmentsフォームからAssignをクリックします。
3. ポップアップ メニューからAssign to groupsをクリックします。
4. Assign ... to groupsフォームから、アプリケーションに割り当てるグループのAssignをクリックします。
5. Highly recommended: Okta でユーザーのタイムゾーンを設定します。 これにより、New Relic でユーザーの日付と時刻がどのように表示されるかが決まります。 タイムゾーンを設定しない場合は、ユーザーが独自のタイムゾーンを設定しない限り、UTC 時間が使用されます。 タイム ゾーンは、IANA タイム ゾーン データベース形式 (「Olson」タイム ゾーン データベース形式とも呼ばれます) で指定されます (例: 「America/Los_Angeles」)。 Okta ではタイムゾーン設定を構成する方法がいくつかあるため、詳細が必要な場合は Okta のドキュメントを参照してください。 Assignmentsタブでこれを行う方法の 1 つを次に示します。
   • Time zoneフィールドに、グループのメンバーのデフォルトのタイムゾーンを入力します。
6. Save and go backをクリックします。
7. 必要なグループがすべてアプリケーションに割り当てられるまで、グループを追加する手順を繰り返します。
8. Doneをクリックします。

プッシュグループタブ

1. アプリで、 Push groupsタブをクリックします。
2. Push groupsフォームからPush groupsをクリックします。
3. ポップアップ メニューからFind groups by nameをクリックします。
4. Push groups to...フォームの検索フィールドに、New Relic に送信するグループ名の最初の数文字を入力します。 Push group memberships immediatelyチェックボックスをオンのままにしておきます。
5. ポップアップした検索結果リストの中から、あなたのグループをクリックしてください。
6. Match result & push actionセクションにNo match foundが表示されます。これは、グループが New Relic にまだ存在しないことを意味します。 セレクターをCreate groupに設定したままにして、グループのデフォルト名をそのままにします。 ここでの目的は、New Relic に同じ名前のグループを作成することです。
7. これが New Relic に送信する最後のグループである場合は、 Saveをクリックします。 それ以外の場合、設定するグループがさらにある場合は、 Save & add anotherをクリックして手順を繰り返し、グループを追加します。

1 つ以上のグループを追加すると、 User management UI ページに移動して追加したユーザーを確認できるようになります。

ステップ5.ユーザーのユーザータイプの設定

ユーザーが New Relic でプロビジョニングされると、 User management UIで確認できるようになります。

SCIMを介してNewRelicにユーザーを追加しているが、SCIMを介してユーザータイプを管理していない場合、ユーザーは基本ユーザーとして開始されます。ユーザーをアップグレードするには、次の2つのオプションがあります。

• ユーザーの編集には、ユーザー管理UI を使用します。* Oktaからユーザータイプを管理する（後述）。

ユーザーのユーザータイプをOktaから管理するためのものです。

1. New Relic 認証ドメイン UIに移動し、 Enable Manage user type with SCIMをクリックします。 これを有効にすると、New Relic UI からユーザー タイプを管理できなくなり、Okta からのみ管理できるようになることに注意してください。

2. あなたのOktaインスタンスに入ります。ここから先の説明はOktaから行います。

3. 次に、新しい属性nrUserTypeを送信できるようにOktaを構成します。手順：

   • Profile editorに移動します。 Attributesセクションで、 Add attributeをクリックします。
   • 以下のスクリーンショットに合わせて設定を行ってください。 完全に一致する必要があるフィールドは、 External name (値: nrUserType ) とExternal namespace (値: urn:ietf:params:scim:schemas:extension:newrelic:2.0:User ) の 2 つだけです。 variable値は任意の値にすることができます。
   

4. 次に、このフィールドを持つようにOktaのユーザープロファイルを設定します。手順は以下の通りです。

   • Profile editorで、 Usersに移動し、 User (default)プロファイルをクリックします。
   • そのプロファイルに新しいNew Relic user type属性を追加します ( Okta ユーザー プロファイルの手順を参照)。 これを設定する方法は、ユーザー タイプを定義するための独自の設定と設定によって異なります。 ユーザー タイプに期待される値はBasic User 、 Core User 、 Full Userであり、これらはすべて大文字と小文字が区別されることに注意してください。 以下は情報が入力された例です。

5. Peopleセクションで、ユーザーのユーザー タイプを定義します。 これを実行する方法は、設定と好みによって異なります。 たとえば、各ユーザーのユーザー タイプを設定して手動で設定することも、Okta を使用して一括管理することもできます。

6. 次に、その属性のマッピングを設定します。手順をご紹介します。

   • アプリのProvisioningセクションで、 Unmapped attributesをクリックします。
   • マップされていないNew Relicのユーザータイプ属性の編集モードに入ります。
   • ユーザータイプをどのように設定するかに基づいて設定します。ユーザータイプの選択については、 ユーザータイプ を参照してください。 Okta 属性マッピングについては、こちらを参照してください。

ステップ 6. グループ アクセスの割り当て

これらの手順が完了すると、 ユーザー管理 UI にアクセスして、New Relic でユーザーを確認することができます。ユーザーがNew Relicに存在するようになったので、特定のアカウントの特定のロールへのアクセス権を付与する必要があります。これが行われていない場合、ユーザーはまだ New Relic へのアクセス権を持っていません。この方法については、以下を参照してください。

• ユーザー アクセスの仕組み
• ユーザー管理のチュートリアル

Step 7.SAML SSOの設定

SAML SSOを有効にするには、 SAMLの手順 を参照してください。

その他の考慮事項

このセクションでは、New Relic SCIM/SSO アプリケーションを使用する際に知っておくべきその他の重要事項について説明します。このセクションでは、Okta と New Relic の間で統合する際に望ましくない結果を引き起こす可能性のある潜在的な問題を回避するためのヒントが含まれています。

グループ間のユーザー移動

グループ間でユーザーを移動させる場合、古いグループのメンバーシップを手動でNew Relicに同期させる必要があります。これは、Oktaがユーザーをグループから削除するためのSCIMリクエストを送信しないためです。そのため、管理者が手動で旧グループのメンバーシップをNew Relicにプッシュして、ユーザーが旧グループのメンバーでなくなったことをNew Relicに知らせる必要があります。

ここでは、グループのメンバーシップを手動で同期する手順をご紹介します。

1. New Relic SCIM/SSO アプリケーション ページで、 Push groupsタブをクリックします。
2. Push groupsフォームから、 Push Status列の下にある目的のグループのボタンの選択リストを開きます。
3. ボタンに表示された選択リストから、 Push nowをクリックします。 これにより、グループのメンバーシップが New Relic とすぐに同期されます。