SAML を使用したシングルサインオン

Datadog for Government site では、SAML ログインのみがサポートされます。

このドキュメントは、SAML ID プロバイダー (IdP) が既に稼働中であることを前提としています。

Datadog アカウントに対して SAML (Security Assertion Markup Language) を構成すると、SAML IdP が構成された Active Directory、LDAP などのオーガニゼーションの ID ストアに保存されている資格情報を使用してすべてのチームメンバーが Datadog にログインできるようになります。

: Datadog アカウントで SAML が有効化されていない場合は、サポートチームに有効化を依頼してください。

2 分間のビデオをご覧ください。

SAML の構成

左側のナビゲーションメニューでユーザー名にマウスを置くとドロップダウンメニューが表示されますが、Datadog 管理者の場合は、ここに Configure SAML オプションがあります。

SAML の構成

このオプションを選択すると、SAML Single Sign On Configuration ページが表示されます。

  1. Choose File ボタンをクリックして、SAML IdP から IdP メタデータをアップロードします。

    SAML ファイルの選択

    ファイルを選択したら、Upload File をクリックします。

  2. Datadog のサービスプロバイダーメタデータをダウンロードして、Datadog をサービスプロバイダーとして認識するように IdP を構成します。

  3. IdP メタデータをアップロードし、IdP を構成したら、Enable ボタンをクリックして Datadog で SAML を有効にします。

    SAML 有効化

Datadog で SAML が構成され、Datadog からのリクエストを受け付けるように IdP がセットアップされたら、ユーザーは、SAML Configuration ページの上部にあるステータスボックスに表示されるシングルサインオン URL を使用してログインできます。

SAML 有効化

シングルサインオン URL は、Team ページにも表示されます。この URL をロードすると、IdP に対する SAML 認証が開始されます。: この URL は、アカウントで SAML が有効にならないと表示されません。

: マルチオーガニゼーションに SAML を構成する必要がある場合は、マルチオーガニゼーションに関するドキュメントを参照してください。

SAML 属性の Datadog ロールへのマッピング

Access Management アクセス許可を持つユーザーは、ユーザーの SAML 属性に基づき、Datadog のロールを割り当てまたは削除することができます。

  1. Teams で Mappings タブをクリックします。

  2. New Mapping ボタンをクリックします。

  3. 既存の Datadog ロール(デフォルトまたはカスタム)と関連付ける SAML ID プロバイダーのキー/値ペアを指定します。これらのエントリでは大文字と小文字が区別されることに注意してください。

たとえば、member_of 属性に Development の値を持つすべてのユーザーに Devs という Datadog のカスタムロールを割り当てたい場合は、以下のようにします。




      Datadog ロールへ SAML マッピングを作成
  1. まだの場合は、Enable Mappings をクリックしてマッピングを有効化します。

指定された ID プロバイダー属性を持つユーザーがログインすると、自動的に Datadog ロールが割り当てられます。同様に、ユーザーの ID プロバイダー属性が削除されると、ロールへのアクセスも失います(別のマッピングが追加された場合を除く)。

重要: いずれのマッピングにも一致しないユーザーは、それまで割り当てられていたロールを失い、SAML でオーガニゼーションにログインできなくなります。マッピング定義をよく確認してください。

マッピングに変更を加えるには鉛筆アイコンを、マッピングを削除する場合はゴミ箱アイコンをクリックします。この操作はマッピングのみに適用され、ID プロバイダー属性または Datadog ロールへの影響はありません。

authn_mappings エンドポイントを使用して、SAML 属性の Datadog ロールへのマッピングを作成および変更することも可能です。詳しくは、フェデレーション認証からロールマッピング API へ をご確認ください。

Datadog サービスプロバイダーの詳細

  • Datadog は、SAML2HTTP-POST 連結をサポートします。 urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
  • Datadog は、アサーションリクエストの NameIDPolicy の形式として urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress を指定します。
  • アサーションには署名が必要です。
  • アサーションは暗号化できますが、暗号化されていないアサーションも許可されます。
  • Datadog の SP メタデータを参照してください。

属性の設定

アサーションに属性を含めることができます。Datadog は、AttributeStatement で次の 3 つの属性を探します。

  1. eduPersonPrincipalName: 指定された場合、eduPersonPrincipalName は、ユーザーの Datadog ユーザー名に対応している必要があります。通常、ユーザー名はユーザーのメールアドレスです。
  2. sn: オプション。ユーザーの姓に設定されます。
  3. givenName: オプション。ユーザーの名に設定されます。

Datadog は、属性が URI NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:uri または基本 NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:basic を使用することを想定しています。各属性に使用される名前は、IdP が使用する NameFormat に依存します。

IdP が URI NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:uri を使用するように構成されている場合は、次のようになります。

  1. eduPersonPrincipalName: IdP は、属性の名前を urn:oid:1.3.6.1.4.1.5923.1.1.1.6 に設定します。
  2. sn: IdP は、属性の名前を urn:oid:2.5.4.4 に設定します。
  3. givenName: IdP は、属性の名前を urn:oid:2.5.4.42 に設定します。

IdP が基本 NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:basic を使用するように構成されている場合は、次のようになります。

  1. eduPersonPrincipalName: IdP は、属性の名前を urn:mace:dir:attribute-def:eduPersonPrincipalName に設定します。
  2. sn: IdP は、属性の名前を urn:mace:dir:attribute-def:sn に設定します。
  3. givenName: IdP は、属性の名前を urn:mace:dir:attribute-def:eduPersonPrincipalName に設定します。

eduPersonPrincipalName が AttributeStatement にある場合は、この属性の値がユーザー名として使用されます。eduPersonPrincipalName が AttributeStatement にない場合、ユーザー名は Subject の NameID から取得されます。NameID は、Format urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress を使用する必要があります。

sngivenName が提供されている場合は、Datadog プロファイルのユーザー名を更新するために使用されます。

個別の SAML IdP

個別の IdP の構成方法については、以下のドキュメントを参照してください。

その他の機能

次の機能は、SAML コンフィギュレーションダイアログから有効にできます (SAML コンフィギュレーションダイアログを表示するには、管理者アクセス許可が必要です)。

ジャストインタイム (JIT) プロビジョニング

JIT プロビジョニングを使用すると、初めてログインしようとしたときに Datadog 内にユーザーアカウントが作成されます。したがって、管理者がユーザーアカウントを 1 つずつ手動で作成する必要がなくなります。この場合、招待メールは送信されません。

オーガニゼーションによっては、一部のユーザーを Datadog に招待したくない場合があります。アカウントに対する SAML の動作を変更したい場合は、Datadog のサポートチームにお問い合わせください。特定のユーザーが Datadog にアクセスできないようにする場合は、オーガニゼーション側で、Datadog にアサーションを送信しないように IdP を構成する必要があります。

管理者は、新しい JIT ユーザーにデフォルトのロールを設定できます。デフォルトのロールは Standard ですが、新しい JIT ユーザーを Read-OnlyAdministrators として追加することもできます。

SAML JIT デフォルト

IdP 始動のログイン

Datadog URL がロードされると、ブラウザは、ユーザーが自分の資格情報を入力したカスタマー IdP にリダイレクトされ、IdP は Datadog に再度リダイレクトします。IdP によっては、最初に AuthnRequest を受け取らずに、直接 Datadog にアサーションを送信できます (IdP 始動のログイン)。

IdP 始動のログイン機能を有効にしたら (さらにキャッシュがクリアされるまで待った後に)、新しいバージョンの SP メタデータを取得する必要があります。新しい SP メタデータには、アサーションの送信先となるオーガニゼーション固有の AssertionConsumerService エンドポイントが含まれます。

更新された SP メタデータを使用しないと、Datadog はオーガニゼーションとアサーションを関連付けることができず、SAML の応答には “InResponseTo” 属性がないというメッセージと共にエラーページが表示されます。

SAML 限定

SAML 限定モードを有効にした場合、すべてのユーザーが SAML でログインする必要があります。それまでのユーザー名/パスワードまたは Google OAuth ログインは機能しません。Datadog へのアクセス権を持つすべてのユーザーは、Datadog アカウントにアクセスするために自社の IdP/ディレクトリサービスに有効な資格情報を持っている必要があります。

その他の参考資料

お役に立つドキュメント、リンクや記事:

複数のアカウントを持つチームとオーガニゼーションの構成DOCUMENTATION more more