- 重要な情報
- はじめに
- 用語集
- ガイド
- エージェント
- インテグレーション
- OpenTelemetry
- 開発者
- API
- CoScreen
- アプリ内
- Service Management
- インフラストラクチャー
- アプリケーションパフォーマンス
- 継続的インテグレーション
- ログ管理
- セキュリティ
- UX モニタリング
- 管理
Datadog アカウントに対して SAML (Security Assertion Markup Language) を構成すると、あなたとあなたのチームの全員が、SAML イデンティティプロバイダーで構成されたあなたの組織の Active Directory、LDAP、または他の ID ストアに保存された資格情報を使って Datadog にログインできるようになります。
注:
構成を開始するには、IdP のドキュメントを参照してください。
Datadog アプリで、左下のユーザー名にカーソルを合わせ、Organization Settings を選択します。Login Methods を選択し、SAML の下の Configure をクリックします。
Choose File ボタンをクリックして、SAML アイデンティティプロバイダーから IdP メタデータをアップロードします。ファイルを選択したら、Upload File をクリックします。
注: IdP メタデータには ASCII 文字のみを含める必要があります。
Datadog のサービスプロバイダーメタデータをダウンロードして、Datadog をサービスプロバイダーとして認識するように IdP を構成します。
IdP メタデータをアップロードし、IdP を構成した後、Upload and Enable ボタンをクリックして Datadog で SAML を有効にします。
IdP メタデータをアップロードした後、Login Methods ページに戻り、SAML をデフォルトで on
にします。
SAML が Datadog で構成され、IdP が Datadog からのリクエストを受け付けるように設定されると、ユーザーはログインできるようになります。
SP 始動のログインを使用する場合 (サービスプロバイダー、または Datadog から開始されるログイン): SAML Configuration ページの上部にあるステータスボックスに表示される Single Sign-on URL を使用します。Single Sign-on URL は、Team ページにも表示されます。この URL をロードすると、IdP に対して SAML 認証が開始されます。注: この URL は、アカウントで SAML が有効になっており、SP 始動のログインを使用していない限り、表示されません。
IdP 始動のログインを使用する場合 (アイデンティティプロバイダー、またはアプリポータルからのログイン): Google アプリのドロワーや Okta アプリポータルなど、アプリポータルのアプリアイコンをクリックします。一部のシナリオでは、SP 始動のログイン URL でログインしたユーザーは、IdP 始動のログイン体験でも動作しますが、これはアイデンティティプロバイダーの構成とサポートに依存します。
注: 複数組織に SAML を構成する場合は、複数組織アカウントの管理を参照してください。
ログインが発生すると、ユーザー認可を含む SAML アサーションがアイデンティティプロバイダーから Datadog に送信されます。
アサーションに関するいくつかの重要な注意事項:
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
を指定します。属性は SAML アサーションに含めることができます。Datadog は AttributeStatement
で 3 つの属性を検索します。
urn:oasis:names:tc:SAML:2.0:attrname-format:uri
または基本 NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:basic
を使用することを想定しています。
IdP が URI NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:uri
を使用するように構成されている場合は、次のようになります。
urn:oid:1.3.6.1.4.1.5923.1.1.1.6
に設定する必要があります。urn:oid:2.5.4.4
に設定する必要があります。urn:oid:2.5.4.42
に設定する必要があります。IdP が基本 NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:basic
を使用するように構成されている場合は、次のようになります。
urn:mace:dir:attribute-def:eduPersonPrincipalName
に設定する必要があります。urn:mace:dir:attribute-def:sn
に設定する必要があります。urn:mace:dir:attribute-def:eduPersonPrincipalName
に設定する必要があります。urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
を使用する必要があります。
sn と givenName が提供されている場合は、Datadog プロファイルのユーザー名を更新するために使用されます。
アイデンティティプロバイダーのレスポンスの属性を Datadog のロールやチームにマッピングするには、SAML グループマッピングを参照してください。
SAML Configuration ダイアログで、以下の機能を有効にできます。
注: SAML コンフィギュレーションダイアログを表示するには、管理者アクセス許可が必要です。
JIT プロビジョニングを使用すると、初めてログインしようとしたときに Datadog 内にユーザーアカウントが作成されます。したがって、管理者がユーザーアカウントを 1 つずつ手動で作成する必要がなくなります。この場合、招待メールは送信されません。
管理者は、新しい JIT ユーザーにデフォルトのロールを設定できます。デフォルトのロールは Standard ですが、新しい JIT ユーザーを Read-Only や Administrators、またはカスタムロールとして追加することもできます。
IdP 始動のログイン機能を有効にして構成を保存した後、アイデンティティプロバイダーのサービスプロバイダー (SP) メタデータの最新バージョンをダウンロードできます。新しい SP メタデータには、アサーションを送信するための、組織固有の異なる AssertionConsumerService
エンドポイントが含まれています。
更新された SP メタデータを使用しないと、Datadog は組織とアサーションを関連付けることができず、SAML の応答には “InResponseTo” 属性がないというメッセージと共にエラーページが表示されます。
Login Methods UI で他のログインメソッドタイプを無効にすることで、組織を SAML 限定にすることができます。このオプションが設定されている場合、すべてのユーザーはデフォルトで SAML でログインする必要があります。既存のユーザー名/パスワードまたは Google OAuth ログインは機能しません。これにより、Datadog にアクセスできるすべてのユーザーが、Datadog アカウントにアクセスするために、会社のアイデンティティプロバイダー/ディレクトリサービスで有効な資格情報を持っている必要があります。組織管理者は、ユーザーごとのオーバーライドを設定して、特定のユーザーが SAML 限定から免除されるようにすることができます。
特定の ID プロバイダー (Microsoft の ADFS など) は、Datadog から最新の SAML サービスプロバイダーメタデータをプルするように構成できます。Datadog で SAML を構成した後、SAML コンフィギュレーションページから組織のメタデータ URL を取得し、それを ID プロバイダーで使用して、変更が公開されるたびに最新のサービスプロバイダーメタデータを取得できます。
お役に立つドキュメント、リンクや記事: