O logon único (SSO) permite que um usuário de computador faça log em vários sistemas por meio de um único portal. Se você for proprietário de uma conta New Relic e estiver configurando a integração SSO para sua organização, deverá obter um certificado SAML que identifique o URL de login SSO (e possivelmente o URL de logout) para sua organização. Os demais tipos de informações necessárias para a integração do SSO irão variar dependendo do provedor de serviço SAML utilizado.
Requisitos
Os requisitos incluem:
Estes documentos se aplicam ao gerenciamento de usuários em nosso modelo de usuário original. Para ativar o SSO para usuários em nosso modelo de usuário mais recente, consulte Domínio de autenticação.
Para encontrar a página de configurações de SSO do New Relic: no menu do usuário, clique em Account settings, depois em Security and authentication e em Single sign-on.
Se você não vir essa interface, revise os requisitos.
Para saber como configurar o SAML SSO de maneira ideal, consulte as instruções e dicas abaixo.
Suporte genérico para sistemas SSO que usam SAML 2.0
Para saber como obter o SSO do Google para os usuários do modelo de usuário original, assista a este pequeno vídeo (aprox. 3:10 minutos).
Informações SAML na conta New Relic
Para integração com um provedor SAML, o provedor precisará de informações suas sobre sua conta New Relic. A maioria das informações que você precisa estão visíveis na página da interface de configurações de SSO do New Relic:
URL de metadados: contém várias informações em uma única mensagem XML
Versão SAML: 2.0
URL do consumidor de declaração: o endpoint para o SSO do New Relic (por exemplo, https://rpm.newrelic.com/accounts/ACCOUNTID/sso/saml/finalize)
Vinculação do consumidor: o método de transmissão é HTTP-POST
Formato NameID: endereço de e-mail
Atributo: Nenhum obrigatório
ID da entidade: URL da conta (padrão rpm.newrelic.com)
Implementação SAML New Relic
Para que os provedores de SAML e os provedores de serviço (como a New Relic) possam trabalhar juntos, seus processos devem estar alinhados de determinadas maneiras. Aqui estão alguns aspectos de como a New Relic implementa o SSO. Isso será útil se você estiver verificando se um provedor SAML específico será capaz de trabalhar com o New Relic ou se tiver problemas de implementação de resolução de problemas.
SSO considerations
New Relic functions and preferences
Escopo das credenciais do usuário (IdP)
Deve ser todo usuário.
Tipo de conexão
Deve ser iniciado pelo IdP e pelo SP.
Perfil SAML esperado
New Relic usa uma ligação POST para solicitações iniciadas por SP.
Formato esperado do valor NameID
Deve ser um endereço de e-mail.
Informações confidenciais trocadas na declaração SAML?
Não, apenas o endereço de e-mail é enviado.
Gerenciamento de sessão e logout
A sua organização usa um URL de redirecionamento para logout? Caso contrário, a New Relic pode fornecer uma página inicial de logout.
Plano para usuário que não precisa mais de acesso
Geralmente, exclusão manual pelo proprietário ou administrador da conta.
Sincronização de relógio
Certifique-se de que os relógios do provedor de identidade SAML sejam mantidos pelo NTP.
Recurso e procedimentos SAML SSO
Aqui estão alguns procedimentos importantes para gerenciar o SSO SAML para usuários em nosso modelo de usuário original:
Se sua organização estiver no Pro ou edição Enterprise, você poderá solicitar que seu(s) nome(s) de domínio sejam incluídos em nossa lista de permissões, o que agilizará o processo de ativação de SSO SAML. Quando o endereço de e-mail do seu usuário tem um domínio que corresponde ao domínio que você reivindicou, a New Relic o adiciona automaticamente como Active usuário e mantém o tipo de usuário atual.
Os benefícios de reivindicar seu domínio incluem:
Facilita para seus administradores porque eles não terão que ajustar o tipo de usuário de seus usuários.
Torna mais fácil para seus usuários começarem a usar o New Relic porque eles não precisam confirmar seu registro de usuário por e-mail.
Mantém a segurança ao adicionar usuários fora da sua organização.
Depois de obter seu certificado de provedor de identidade SAML, que deve ser um certificado x509 codificado em PEM, e URL, o proprietário da conta pode configurar, testar e ativar a configuração de logon único (SSO) no New Relic. Nenhuma outra função na conta pode editar a configuração de SSO na conta.
Dica
O acesso a este recurso depende do seu nível de assinatura. Se a sua conta estiver configurada em parceria com clientes, o acesso a esta funcionalidade também dependerá das configurações do nível de assinatura dessa parceria.
Requisitos
Para saber os requisitos, incluindo a qual usuário do New Relic esse recurso se aplica, consulte Requisitos.
Contas pai e filho
Se sua conta tiver contas secundárias, normalmente você definirá a configuração de SSO somente no nível da conta principal. O usuário da conta filha ainda poderá fazer log por meio de SSO porque herdará a configuração SAML SSO da conta pai. Se você precisar configurar várias contas com identidades SAML separadas (por exemplo, com contas de parceria), use o recurso de ID de entidade personalizado.
Configurar SSO
Para ajudar a garantir a segurança e considerar o horário da rede e as distorções do relógio, configure as respostas de validação do seu provedor de identidade SAML para o período de tempo mais curto possível (por exemplo, cinco minutos). New Relic permite no máximo trinta minutos.
Vá para: user menu > Account settings > Security and authentication > Single sign-on.
Na página SAML single sign-on , revise os detalhes do seu provedor de serviço SAML do New Relic.
Para fazer upload do certificado do provedor de identidade SAML, selecione Choose file e siga os procedimentos padrão para selecionar e salvar o arquivo.
Especifique o Remote login URL que seu usuário usará para login único.
Se a integração SAML da sua organização fornecer um URL de redirecionamento para logout, copie e cole (ou digite) o Logout landing URL; caso contrário, deixe em branco.
Salve suas alterações.
Dica
Se sua organização não usa um URL de redirecionamento específico, a New Relic fornece uma página inicial de logout por padrão.
Testar SSO
Depois de configurar e salvar corretamente suas configurações de SSO, a página Test será exibida automaticamente. Após cada teste, a New Relic retorna à página SAML SSO com resultados de diagnóstico.
Para voltar e alterar suas configurações de configuração, selecione 1 CONFIGURE.
Habilitar SSO
Quando o teste for concluído com êxito, aparecerá um link que você pode usar na página inicial da sua empresa para facilitar o login único com o New Relic. A menos que você tenha reivindicado seu domínio com a New Relic, seu usuário não poderá fazer login até completar o e-mail de confirmação que a New Relic envia automaticamente. Depois que seus usuários selecionarem o link no e-mail de confirmação, eles poderão fazer login com segurança com o nome de usuário e a senha atribuídos à sua organização. A partir daí, eles podem selecionar qualquer aplicativo que estejam autorizados a usar, incluindo o New Relic.
Cuidado
Se você desativar o SSO SAML, a New Relic sinalizará automaticamente todos os seus Pending usuários como Active. Se você decidir reativar o SSO SAML posteriormente, a New Relic sinalizará automaticamente todos os usuários, exceto o Proprietário, como Pending e eles precisarão confirmar o acesso à conta por e-mail.
Adicione um URL de logout para tempos limite de sessão
O recurso Session configuration do New Relic requer um URL de logout para contas habilitadas para SAML SSO. Se você já configurou, testou e ativou o SSO SAML sem um URL de logout, o New Relic solicitará automaticamente ao administrador da conta que notifique o proprietário da conta. Além disso, se você for o proprietário da conta, a New Relic fornecerá automaticamente um link de Session configuration para acessar diretamente o logon único SAML e adicionar um URL de logout.
Importante
O URL de logout cannot contém newrelic.com em qualquer lugar do URL.
O recurso Session configuration também inclui a opção de selecionar um tempo limite automático para que sessões de browser autenticadas por SAML sejam autenticadas novamente.
A menos que você tenha reivindicado seu domínio com a New Relic (recomendado), seus usuários não serão adicionados à New Relic até que concluam o e-mail de confirmação enviado automaticamente após a ativação do SAML SSO. Esta é uma medida de segurança adicional. o usuário no estado pendente (ainda não confirmado) não receberá notificação (como notificação de alerta).
Para organização without SAML SSO ativado, o proprietário ou administrador pode adicionar um novo usuário sem exigir confirmação por e-mail.
Requisitos
Para saber os requisitos, incluindo a qual usuário do New Relic esse recurso se aplica, consulte Requisitos.
Adicionar e confirmar usuário
Siga este processo para adicionar e confirmar usuários em nosso modelo de usuário original que estão autenticando via SAML SSO:
O Proprietário da conta ou um Administrador adiciona um novo usuário: Vá para: user menu > Account settings > Account > Summary.
A menos que você tenha reivindicado seu domínio, seu usuário será marcado como Pending e receberá um e-mail de confirmação. (O usuário pendente não receberá notificação de produto New Relic, como notificação de alerta.)
O usuário seleciona o link no e-mail para confirmar sua conta, que o direciona para o URL de login do provedor SAML.
Quando o usuário faz login com êxito em seu ponto final SSO SAML (Auth0, Okta, OneLogin, Ping Identity, Salesforce etc.), New Relic sinaliza o usuário como Active.
Cuidado
Se você desativar o SSO SAML, a New Relic sinalizará automaticamente todos os seus Pending usuários como Active. Se você decidir reativar o SSO SAML posteriormente, a New Relic sinalizará automaticamente todos os usuários, exceto o Proprietário, como Pending e eles precisarão confirmar o acesso à conta por e-mail.
No protocolo SAML, o entity ID identifica exclusivamente o provedor de serviço (New Relic) para seu provedor SAML. O ID de entidade padrão da New Relic é rpm.newrelic.com. Isso é suficiente se você tiver apenas uma conta habilitada para SAML.
Quando você configura várias contas New Relic com SAML, seu provedor SAML normalmente exige que cada conta tenha um ID de entidade exclusivo. Se você precisar configurar várias contas com identidades SAML separadas, use o recurso de ID de entidade personalizado da New Relic.
Requisitos
Para saber os requisitos, incluindo a qual usuário do New Relic esse recurso se aplica, consulte Requisitos.
Selecione IDs de entidade personalizados
O recurso de ID de entidade personalizado do New Relic permite que você habilite um ID de entidade exclusivo para cada uma de suas contas. Você pode então configurar o SSO SAML para eles como um aplicativo distinto com seu provedor SAML. Isso permite que você controle centralmente a autenticação do usuário para cada uma de suas contas de forma independente.
Além disso, na linha Entity ID da página Step 1. Configure , selecione Use custom entity ID.
Importante
Você deve usar o mesmo ID de entidade para definir a configuração do aplicativo com seu provedor SAML. Alguns provedores SAML exigem que você crie uma nova configuração de aplicativo ao alterar o ID da entidade.
Depois que seu login de SSO SAML for configurado, testado e ativado, todos os usuários da sua conta New Relic (incluindo o proprietário e os administradores da conta) deverão usar o URL de SSO da sua organização para fazer login no New Relic. O endereço de e-mail deve corresponder ao que foi configurado no New Relic. Além disso, a capacidade de usar o URL SSO para acessar aplicativos diferentes do New Relic dependerá das permissões definidas nesses aplicativos.
Requisitos
Para saber os requisitos, incluindo a qual usuário do New Relic esse recurso se aplica, consulte Requisitos.
Faça login no New Relic usando seu URL de login SAML SSO.
Vá para: user menu > Account settings > Security and authentication > Single sign-on.
Para desativar temporariamente a integração SAML com o New Relic e atualizar suas configurações, selecione Disable SAML login.
Opcional: para alterar seu certificado SAML existente, selecione Choose file. Siga os procedimentos padrão para selecionar e salvar o arquivo e depois salve.
Opcional: para alterar seus URLs de SSO existentes, copie e cole (ou digite) Remote login URL ou Logout landing URL e salve.
Endereço de e-mail
Dica
Owner or Admins
Os proprietários ou administradores da conta devem garantir que os endereços de e-mail do usuário para fazer login no New Relic correspondam ao seu e-mail de SSO. Proprietários de contas, administradores e usuários não podem atualizar endereços de e-mail em contas autenticadas por SAML.
Para atualizar as informações do usuário da conta New Relic da sua organização:
Vá para: user menu > Account settings > Account > Summary.
Na lista Users , selecione qualquer uma das opções para adicionar novo usuário, editar perfis de usuário existentes ou excluí-los.
Solucionar problemas de login SSO
Ninguém que use a conta, incluindo o proprietário e os administradores, pode entrar diretamente no New Relic. Se você ficar sem acesso ao SSO e precisar desativá-lo ou alterar a configuração, obtenha suporte em support.newrelic.com.
Para saber os requisitos, incluindo a qual usuário do New Relic esse recurso se aplica, consulte Requisitos.
Cuidado
Se você excluir sua integração SAML SSO com o New Relic, não será possível restaurá-la. No entanto, você pode seguir os procedimentos padrão para definir sua configuração novamente.
Para usuários em nosso modelo de usuário original, veja como excluir completamente sua configuração de SSO SAML:
Faça login no New Relic usando seu URL de login SAML SSO.
Na barra de menu New Relic , selecione: user menu > Account settings > Security and authentication > Single sign-on.
Selecione Delete SAML Configuration.
No prompt de confirmação, selecione OK.
Com contas de parceria, a autenticação para entrar no New Relic é controlada pela parceria. Para contas onde a parceria suporta SSO, o usuário pode acessar a interface do New Relic sem se autenticar novamente. Essas contas de parceiros podem usar SAML SSO como um método alternativo seguro para fazer login no site da New Relic.
Outras contas de parceiros, incluindo Heroku, AppDirect e Microsoft Azure, não permitem login direto na New Relic. Nesta situação, a integração SAML do site do parceiro não é suportada pelo SSO do parceiro. Se você tiver dúvidas, entre em contato com seu representante parceiro na New Relic.
Requisitos
Para saber os requisitos, incluindo a qual usuário do New Relic esse recurso se aplica, consulte Requisitos.
Exemplo
A estrutura e as configurações da sua conta afetam a disponibilidade do SAML e como ele se aplica às suas contas.
Este exemplo mostra a hierarquia das contas de parceiros da New Relic com contas principais e contas secundárias.
Aqui está um exemplo de como contas e contas secundárias herdam a configuração SAML SSO.
Account level
SAML SSO configuration
Parceria
O nível de parceria permite controlar se as contas da parceria podem ter SAML ativado. O proprietário da conta de parceria tem determinadas funções administrativas, mas uma configuração SAML nesta conta não é herdada por outras contas da parceria.
Contas principais
As contas pai (também chamadas de contas mestras) têm um relacionamento direto e hierárquico com uma ou mais contas filhas. Normalmente, a configuração SAML em uma conta pai é herdada automaticamente por todas as contas filhas.
Contas infantis
As contas filhas (também conhecidas como subconta) herdam a configuração de SSO SAML da conta pai quando a conta pai tem o SAML configurado. Se a conta pai não tiver SAML configurado, cada conta filha poderá ter sua própria configuração. Para obter mais informações, consulte Configurando SAML com diversas contas.