- 重要な情報
- アプリ内
- インフラストラクチャー
- アプリケーションパフォーマンス
- 継続的インテグレーション
- ログ管理
- セキュリティ
- UX モニタリング
- 管理
Datadog アカウントに SAML (Security Assertion Markup Language) を構成すると、SAML IdP が構成された Active Directory、LDAP などのオーガニゼーションの ID ストアに保存されている資格情報を使用してすべてのチームメンバーが Datadog にログインできるようになります。
注:
構成を開始する前に、IdP のドキュメントをご確認ください。
Datadog アプリで、左下のユーザー名にカーソルを合わせて Organization Settings を選択します。Login Methods を選択し、SAML の Configure をクリックします。
Choose File ボタンをクリックして、SAML IdP から IdP メタデータをアップロードします。ファイルを選択したら、Upload File をクリックします。
Datadog のサービスプロバイダーメタデータをダウンロードして、Datadog をサービスプロバイダーとして認識するように IdP を構成します。
IdP メタデータをアップロードし、IdP を構成したら、Enable ボタンをクリックして Datadog で SAML を有効にします。
Datadog で SAML を構成し、Datadog からのリクエストを受け付けるように IdP をセットアップしたら、ユーザーはログインできます。
SP 始動のログイン (サービスプロバイダー、または Datadog から始動されたログイン) を使用する場合: SAML Configuration ページ上部のステータスボックスに表示されるシングルサインオン URL を使用してログインできます。シングルサインオン URL は、Team ページにも表示されます。この URL をロードすると、IdP に対する SAML 認証が開始されます。注: この URL は、アカウントで SAML が有効になっていて、SP 始動のログインを使用していないと表示されません。
IdP 始動のログインを使用する場合 (ID プロバイダー、またはアプリポータルから始動されたログイン): アプリポータル (Google アプリドロワーや Okta アプリポータルなど) のアプリアイコンをクリックしてログインできます。一部のシナリオでは、SP 始動のログイン URL を使用してログインするユーザーは、IdP 始動のログインエクスペリエンスでも機能しますが、これは ID プロバイダーのコンフィギュレーションとサポートによって異なります。
注: マルチオーガニゼーションに対して SAML を構成する場合は、マルチオーガニゼーションアカウントの管理を参照してください。
ログインが発生すると、ユーザー認証を含む SAML アサーションが IP プロバイダーから Datadog へ送信されます。.
アサーションに関する重要事項:
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST.urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress を指定します。SAML アサーションに属性を含めることができます。Datadog は、AttributeStatement で次の 3 つの属性を探します。
Datadog は、属性が URI NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:uri または基本 NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:basic を使用することを想定しています。各属性に使用される名前は、IdP が使用する NameFormat に依存します。
IdP が URI NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:uri を使用するように構成されている場合は、次のようになります。
urn:oid:1.3.6.1.4.1.5923.1.1.1.6 に設定します。urn:oid:2.5.4.4 に設定します。urn:oid:2.5.4.42 に設定します。IdP が基本 NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:basic を使用するように構成されている場合は、次のようになります。
urn:mace:dir:attribute-def:eduPersonPrincipalName に設定します。urn:mace:dir:attribute-def:sn に設定します。urn:mace:dir:attribute-def:givenName に設定します。eduPersonPrincipalName が AttributeStatement にある場合は、この属性の値がユーザー名として使用されます。eduPersonPrincipalName が AttributeStatement に含まれない場合、ユーザー名は Subject の NameID から取得されます。NameID は、Format urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress を使用する必要があります。
sn と givenName が提供されている場合は、Datadog プロファイルのユーザー名を更新するために使用されます。
Datadog で、IdP の応答の属性を Datadog ロールにマッピングできます。Access Management 権限を持つユーザーは、ユーザーの SAML 属性に基づき、Datadog のロールを割り当てまたは削除することができます。
マッピングには正しい属性が必要なため、マッピングを有効にする前にアサーションで送信される内容を理解することが重要です。各 IdP には特定のマッピングがあります。たとえば、Azure はオブジェクト ID と機能し、Okta の場合は Okta 設定で属性を設定する必要があります。Datadog では、マッピングを作成する前に Chrome Dev Tools またはブラウザの拡張機能などの内蔵ブラウザツールで相互参照し、SAML アサーションを検証することをおすすめします。
Organization Settings に移動し、SAML Group Mappings タブをクリックします。
New Mapping をクリックします。
既存の Datadog ロール(デフォルトまたはカスタム)と関連付ける SAML ID プロバイダーの key-value ペアを指定します。注: このエントリは大文字/小文字を区別します。
たとえば、member_of 属性に Development の値を持つすべてのユーザーに Devs という Datadog のカスタムロールを割り当てたい場合は、以下のようにします。
注: すべての ID プロバイダーは異なります。属性キーまたはラベルを設定できるプロバイダーもあります。デフォルトで 1 つを提供するプロバイダーもあります。ログイン時にアサーションインスペクターを使用して特定のアサーションの詳細を表示し、ID プロバイダーがグループメンバーシップを送信する方法を理解することをお勧めします。
まだの場合は、Enable Mappings をクリックしてマッピングを有効化します。
指定された ID プロバイダー属性を持つユーザーがログインすると、自動的に Datadog ロールが割り当てられます。同様に、ユーザーの ID プロバイダー属性が削除されると、ロールへのアクセスも失います(別のマッピングが追加された場合を除く)。
マッピングに変更を加えるには鉛筆アイコンを、マッピングを削除する場合はゴミ箱アイコンをクリックします。この操作はマッピングのみに適用され、ID プロバイダー属性または Datadog ロールへの影響はありません。
authn_mappings エンドポイントを使用して、SAML 属性の Datadog ロールへのマッピングを作成および変更することも可能です。詳しくは、フェデレーション認証からロールマッピング API へをご確認ください。
SAML Configuration ダイアログで、以下の機能を有効にできます。
注: SAML コンフィギュレーションダイアログを表示するには、管理者アクセス許可が必要です。
JIT プロビジョニングを使用すると、初めてログインしようとしたときに Datadog 内にユーザーアカウントが作成されます。したがって、管理者がユーザーアカウントを 1 つずつ手動で作成する必要がなくなります。この場合、招待メールは送信されません。
管理者は、新しい JIT ユーザーにデフォルトのロールを設定できます。デフォルトのロールは Standard ですが、新しい JIT ユーザーを Read-Only や Administrators として追加することもできます。
IdP 始動のログイン機能を有効にしてコンフィギュレーションを保存した後、ID プロバイダーの SP メタデータの最新バージョンをダウンロードできます。新しい SP メタデータには、アサーションを送信するための、オーガニゼーション固有の異なる AssertionConsumerService エンドポイントが含まれています。
更新された SP メタデータを使用しないと、Datadog はオーガニゼーションとアサーションを関連付けることができず、SAML の応答には “InResponseTo” 属性がないというメッセージと共にエラーページが表示されます。
Login Methods UI で他のログインメソッドタイプを無効にすることで、オーガニゼーションを SAML 限定にすることができます。このオプションが設定されている場合、すべてのユーザーはデフォルトで SAML でログインする必要があります。既存のユーザー名/パスワードまたは Google OAuth ログインは機能しません。これにより、Datadog にアクセスできるすべてのユーザーが、Datadog アカウントにアクセスするために、会社の ID プロバイダー/ディレクトリサービスで有効な資格情報を持っている必要があります。オーガニゼーション管理者は、ユーザーごとのオーバーライドを設定して、特定のユーザーが SAML 限定から免除されるようにすることができます。
特定の ID プロバイダー (Microsoft の ADFS など) は、Datadog から最新の SAML サービスプロバイダーメタデータをプルするように構成できます。Datadog で SAML を構成した後、SAML コンフィギュレーションページからオーガニゼーションのメタデータ URL を取得し、それを ID プロバイダーで使用して、変更が公開されるたびに最新のサービスプロバイダーメタデータを取得できます。
お役に立つドキュメント、リンクや記事:
