このドキュメントは、SAML ID プロバイダー (IdP) が既に稼働中であることを前提としています。
Datadog アカウントに対して SAML (Security Assertion Markup Language) を構成すると、SAML IdP が構成された Active Directory、LDAP などのオーガニゼーションの ID ストアに保存されている資格情報を使用してすべてのチームメンバーが Datadog にログインできるようになります。
注: Datadog アカウントで SAML が有効化されていない場合は、サポートチームに有効化を依頼してください。
2 分間のビデオをご覧ください。
左側のナビゲーションメニューでユーザー名にマウスを置くとドロップダウンメニューが表示されますが、Datadog 管理者の場合は、ここに Configure SAML オプションがあります。
このオプションを選択すると、SAML Single Sign On Configuration ページが表示されます。
Choose File ボタンをクリックして、SAML IdP から IdP メタデータをアップロードします。
ファイルを選択したら、Upload File をクリックします。
Datadog のサービスプロバイダーメタデータをダウンロードして、Datadog をサービスプロバイダーとして認識するように IdP を構成します。
IdP メタデータをアップロードし、IdP を構成したら、Enable ボタンをクリックして Datadog で SAML を有効にします。
Datadog で SAML が構成され、Datadog からのリクエストを受け付けるように IdP がセットアップされたら、ユーザーは、SAML Configuration ページの上部にあるステータスボックスに表示されるシングルサインオン URL を使用してログインできます。
シングルサインオン URL は、Team ページにも表示されます。この URL をロードすると、IdP に対する SAML 認証が開始されます。注: この URL は、アカウントで SAML が有効にならないと表示されません。
注: マルチオーガニゼーションに SAML を構成する必要がある場合は、マルチオーガニゼーションに関するドキュメントを参照してください。
Access Management アクセス許可を持つユーザーは、ユーザーの SAML 属性に基づき、Datadog のロールを割り当てまたは削除することができます。
Teams で Mappings タブをクリックします。
New Mapping ボタンをクリックします。
既存の Datadog ロール(デフォルトまたはカスタム)と関連付ける SAML ID プロバイダーのキー/値ペアを指定します。たとえば、member_of
属性に Development
の値を持つすべてのユーザーに Devs
という Datadog のカスタムロールを割り当てたい場合は、以下のようにします。
まだの場合は、Enable Mappings をクリックしてマッピングを有効化します。
指定された ID プロバイダー属性を持つユーザーがログインすると、自動的に Datadog ロールが割り当てられます。同様に、ユーザーの ID プロバイダー属性が削除されると、ロールへのアクセスも失います(別のマッピングが追加された場合を除く)。
マッピングに変更を加えるには鉛筆アイコンを、マッピングを削除する場合はゴミ箱アイコンをクリックします。この操作はマッピングのみに適用され、ID プロバイダー属性または Datadog ロールへの影響はありません。
authn_mappings
エンドポイントを使用して、SAML 属性の Datadog ロールへのマッピングを作成および変更することも可能です。詳しくは、フェデレーション認証からロールマッピング API へ をご確認ください。
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
を指定します。urn:oasis:names:tc:SAML:2.0:attrname-format:uri
または基本 NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:basic
を使用することを想定しています。
IdP が URI NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:uri
を使用するように構成されている場合は、次のようになります。
urn:oid:1.3.6.1.4.1.5923.1.1.1.6
に設定します。urn:oid:2.5.4.4
に設定します。urn:oid:2.5.4.42
に設定します。IdP が基本 NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:basic
を使用するように構成されている場合は、次のようになります。
urn:mace:dir:attribute-def:eduPersonPrincipalName
に設定します。urn:mace:dir:attribute-def:sn
に設定します。urn:mace:dir:attribute-def:eduPersonPrincipalName
に設定します。urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
を使用する必要があります。
sn と givenName が提供されている場合は、Datadog プロファイルのユーザー名を更新するために使用されます。
個別の IdP の構成方法については、以下のドキュメントを参照してください。
SAML Configurationダイアログで、以下の機能を有効にできます。
JIT プロビジョニングを使用すると、初めてログインしようとしたときに Datadog 内にユーザーアカウントが作成されます。したがって、管理者がユーザーアカウントを 1 つずつ手動で作成する必要がなくなります。この場合、招待メールは送信されません。
管理者は、新しい JIT ユーザーにデフォルトのロールを設定できます。デフォルトのロールは Standard ですが、新しい JIT ユーザーを Read-Only や Administrators として追加することもできます。
更新された SP メタデータを使用しないと、Datadog はオーガニゼーションとアサーションを関連付けることができず、SAML の応答には “InResponseTo” 属性がないというメッセージと共にエラーページが表示されます。
SAML 限定モードを有効にした場合、すべてのユーザーが SAML でログインする必要があります。それまでのユーザー名/パスワードまたは Google OAuth ログインは機能しません。Datadog へのアクセス権を持つすべてのユーザーは、Datadog アカウントにアクセスするために自社の IdP/ディレクトリサービスに有効な資格情報を持っている必要があります。
お役に立つドキュメント、リンクや記事: