SAML を使用したシングルサインオン

Datadog for Government site では、SAML ログインのみをサポートします。

概要

Datadog アカウントに対して SAML (Security Assertion Markup Language) を構成すると、あなたとあなたのチームの全員が、SAML イデンティティプロバイダーで構成されたあなたの組織の Active Directory、LDAP、または他の ID ストアに保存された資格情報を使って Datadog にログインできるようになります。

:

  • Datadog アカウントで SAML が有効化されていない場合は、サポートチームに有効化を依頼してください。
  • このドキュメントは、SAML アイデンティティプロバイダー (IdP) をすでに持っていることを前提にしています。SAML IdP を持っていない場合は、 Active DirectoryAuth0AzureGoogleLastPassOktaSafeNet など、 Datadog とインテグレーションしている IdP はいくつかあります。
  • SAML 構成には、Datadog 管理者アクセスが必要です。
  • このドキュメントは、SAML アイデンティティプロバイダー (IdP) をすでに持っていることを前提にしています。SAML IdP を持っていない場合は、 Active DirectoryAuth0AzureGoogleLastPassOktaSafeNet など、 Datadog とインテグレーションしている IdP はいくつかあります。
  • SAML 構成には、Datadog 管理者アクセスが必要です。

SAML の構成

  1. 構成を開始するには、IdP のドキュメントを参照してください。

  2. Datadog アプリで、左下のユーザー名にカーソルを合わせ、Organization Settings を選択します。Login Methods を選択し、SAML の下の Configure をクリックします。

  3. Choose File ボタンをクリックして、SAML アイデンティティプロバイダーから IdP メタデータをアップロードします。ファイルを選択したら、Upload File をクリックします。

注: IdP メタデータには ASCII 文字のみを含める必要があります。

  1. Datadog のサービスプロバイダーメタデータをダウンロードして、Datadog をサービスプロバイダーとして認識するように IdP を構成します。

  2. IdP メタデータをアップロードし、IdP を構成した後、Upload and Enable ボタンをクリックして Datadog で SAML を有効にします。

    SAML の有効化

  3. IdP メタデータをアップロードした後、Login Methods ページに戻り、SAML をデフォルトで on にします。

  4. SAML が Datadog で構成され、IdP が Datadog からのリクエストを受け付けるように設定されると、ユーザーはログインできるようになります。

    • SP 始動のログインを使用する場合 (サービスプロバイダー、または Datadog から開始されるログイン): SAML Configuration ページの上部にあるステータスボックスに表示される Single Sign-on URL を使用します。Single Sign-on URL は、Team ページにも表示されます。この URL をロードすると、IdP に対して SAML 認証が開始されます。: この URL は、アカウントで SAML が有効になっており、SP 始動のログインを使用していない限り、表示されません。

      SAML の有効化

    • IdP 始動のログインを使用する場合 (アイデンティティプロバイダー、またはアプリポータルからのログイン): Google アプリのドロワーや Okta アプリポータルなど、アプリポータルのアプリアイコンをクリックします。一部のシナリオでは、SP 始動のログイン URL でログインしたユーザーは、IdP 始動のログイン体験でも動作しますが、これはアイデンティティプロバイダーの構成とサポートに依存します。

: 複数組織に SAML を構成する場合は、複数組織アカウントの管理を参照してください。

アサーションと属性

ログインが発生すると、ユーザー認可を含む SAML アサーションがアイデンティティプロバイダーから Datadog に送信されます。

アサーションに関するいくつかの重要な注意事項:

  • Datadog は、SAML2HTTP-POST 連結をサポートします。 urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST
  • Datadog は、アサーションリクエストの NameIDPolicy の形式として urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress を指定します。
  • アサーションには署名が必要です。
  • アサーションは暗号化することができますが、暗号化されていないアサーションも受け入れられます。
  • 詳細は Datadog のサービスプロバイダーメタデータを参照してください。ファイルにアクセスするには、Datadog にサインインする必要があります。

属性は SAML アサーションに含めることができます。Datadog は AttributeStatement で 3 つの属性を検索します。

  1. eduPersonPrincipalName: 指定された場合、eduPersonPrincipalName は、ユーザーの Datadog ユーザー名に対応している必要があります。通常、ユーザー名はユーザーのメールアドレスです。
  2. sn: オプション。ユーザーの姓に設定されます。
  3. givenName: オプション。ユーザーの名に設定されます。

Datadog は、属性が URI NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:uri または基本 NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:basic を使用することを想定しています。各属性に使用される名前は、IdP が使用する NameFormat に依存します。

IdP が URI NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:uri を使用するように構成されている場合は、次のようになります。

  1. eduPersonPrincipalName: IdP は、属性の名前を urn:oid:1.3.6.1.4.1.5923.1.1.1.6 に設定する必要があります。
  2. sn: IdP は、属性の名前を urn:oid:2.5.4.4 に設定する必要があります。
  3. givenName: IdP は、属性の名前を urn:oid:2.5.4.42 に設定する必要があります。

IdP が基本 NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:basic を使用するように構成されている場合は、次のようになります。

  1. eduPersonPrincipalName: IdP は、属性の名前を urn:mace:dir:attribute-def:eduPersonPrincipalName に設定する必要があります。
  2. sn: IdP は、属性の名前を urn:mace:dir:attribute-def:sn に設定する必要があります。
  3. givenName: IdP は、属性の名前を urn:mace:dir:attribute-def:eduPersonPrincipalName に設定する必要があります。

eduPersonPrincipalName が AttributeStatement にある場合は、この属性の値がユーザー名として使用されます。eduPersonPrincipalName が AttributeStatement に含まれていない場合、ユーザー名は Subject の NameID から取得されます。NameID は、Format urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress を使用する必要があります。

sngivenName が提供されている場合は、Datadog プロファイルのユーザー名を更新するために使用されます。

その他の機能

アイデンティティプロバイダーのレスポンスの属性を Datadog のロールやチームにマッピングするには、SAML グループマッピングを参照してください。

SAML Configuration ダイアログで、以下の機能を有効にできます。

注: SAML コンフィギュレーションダイアログを表示するには、管理者アクセス許可が必要です。

ジャストインタイム (JIT) プロビジョニング

JIT プロビジョニングを使用すると、初めてログインしようとしたときに Datadog 内にユーザーアカウントが作成されます。したがって、管理者がユーザーアカウントを 1 つずつ手動で作成する必要がなくなります。この場合、招待メールは送信されません。

組織によっては、一部のユーザーを Datadog に招待したくない場合があります。アカウントに対する SAML の動作を変更したい場合は、Datadog のサポートチームにお問い合わせください。特定のユーザーが Datadog にアクセスできないようにする場合は、組織側で、Datadog にアサーションを送信しないように IdP を構成する必要があります。

管理者は、新しい JIT ユーザーにデフォルトのロールを設定できます。デフォルトのロールは Standard ですが、新しい JIT ユーザーを Read-OnlyAdministrators、またはカスタムロールとして追加することもできます。

SAML JIT デフォルト

IdP 始動のログイン

Datadog URL がロードされると、ブラウザは、ユーザーが自分の資格情報を入力したカスタマー IdP にリダイレクトされ、IdP は Datadog に再度リダイレクトします。IdP によっては、最初に AuthnRequest を受け取らずに、直接 Datadog にアサーションを送信できます (IdP 始動のログイン)。

IdP 始動のログイン機能を有効にして構成を保存した後、アイデンティティプロバイダーのサービスプロバイダー (SP) メタデータの最新バージョンをダウンロードできます。新しい SP メタデータには、アサーションを送信するための、組織固有の異なる AssertionConsumerService エンドポイントが含まれています。

更新された SP メタデータを使用しないと、Datadog は組織とアサーションを関連付けることができず、SAML の応答には “InResponseTo” 属性がないというメッセージと共にエラーページが表示されます。

SAML 限定

Login Methods UI で他のログインメソッドタイプを無効にすることで、組織を SAML 限定にすることができます。このオプションが設定されている場合、すべてのユーザーはデフォルトで SAML でログインする必要があります。既存のユーザー名/パスワードまたは Google OAuth ログインは機能しません。これにより、Datadog にアクセスできるすべてのユーザーが、Datadog アカウントにアクセスするために、会社のアイデンティティプロバイダー/ディレクトリサービスで有効な資格情報を持っている必要があります。組織管理者は、ユーザーごとのオーバーライドを設定して、特定のユーザーが SAML 限定から免除されるようにすることができます。

Datadog SP メタデータの自己更新

特定の ID プロバイダー (Microsoft の ADFS など) は、Datadog から最新の SAML サービスプロバイダーメタデータをプルするように構成できます。Datadog で SAML を構成した後、SAML コンフィギュレーションページから組織のメタデータ URL を取得し、それを ID プロバイダーで使用して、変更が公開されるたびに最新のサービスプロバイダーメタデータを取得できます。

SAML メタデータ URL

その他の参考資料

お役に立つドキュメント、リンクや記事:

複数のアカウントを持つチームとオーガニゼーションの構成DOCUMENTATION more more