Microsoft Active Directory フェデレーションサービスを SAML IdP として構成する方法
Datadog の調査レポート: サーバーレスの状態 レポート: サーバーレスの状態

Microsoft Active Directory フェデレーションサービスを SAML IdP として構成する方法

Datadog の SSO 用 SAML インテグレーションは、オーガニゼーションを外部のユーザー管理システムにリンクして、一元的なシステムで資格情報を簡単に維持および管理するための手段を提供します。

この記事は、このインテグレーションのメインガイド (下のリンクをクリック) の追加ガイドです。Datadog を ADFS に接続する際に必要になる追加手順を中心に説明します。

SAML を使用したシングルサインオン (メインガイド)

ADFS でシングルサインオンを構成する場合は、以下の手順に従ってください。

ADFS マネジメントコンソールを開きます。これは、下に示すように、サーバーマネージャーから行うことができます。

右側にある「証明書利用者信頼の追加」ボタンをクリックします。

これで、信頼の追加ウィザードのようこそ画面が開き、機能の説明が表示されます。説明を確認し、「開始」をクリックして構成を開始します。

Datadog SAML メタデータファイルをインポートします。

ファイルにアクセスするにはログインする必要があります。下に示されているインポートオプションのうち、URL から直接インポートするより、ファイルをダウンロードしてインポートする方が簡単なので、この方法を使用します。(警告: ファイルをダウンロードする際、ファイルを開いたり名前を変更したりすると、ファイルの種類を変更することになり、次の手順で xml パースエラーが発生する可能性があります。)

「参照」をクリックしてダウンロードしたメタデータファイルを選択し、「次へ」をクリックします。

信頼の表示名 (「Datadog」などの名前をお勧めします) を指定し、「次へ」をクリックします。

現時点で、多要素認証はサポートされていません。選択をデフォルトのままにして、「次へ」をクリックします。

すべてのユーザーにアクセスを許可し、「次へ」をクリックします。

注: アクセス許可の制御は、Datadog でアプリケーションのチームページから特定のユーザーのみをオーガニゼーションに招待することで行います。

この信頼で適切なエンドポイントが構成されていることを確認したら、「次へ」をクリックします。

「閉じる」をクリックして終了します。これで、信頼の定義が保存され、要求規則の編集ウィンドウが開きます。ここで、推奨される 2 つの要求規則を追加します。

SAML アサーションを仲介するための 2 つの要求規則を追加することをお勧めします。これらの規則を追加するには、まず「規則の追加」ボタンをクリックします。

最初の規則は、必要な情報が 2 つのシステム間で渡されるようにするための LDAP 属性規則です。下に示すように規則を構成し、「OK」をクリックして保存します。(E-Mail-Addresses、Given-Name、Surname の 3 つのフィールドを必ず使用してください。使用しない場合、後で関連情報が「なし」の状態になる可能性があります。)

2 番目の規則は、変換規則です。Datadog は、アサーションリクエストの NameIDPolicy の形式として、urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress を指定していますが、ADFS はネイティブで Name ID 形式を想定しています。そのため、形式を電子メールから Name ID に変換する必要があります。

ドロップダウンから「入力方向の要求を変換」を選択し、「次へ」をクリックして続行します。

下に示すように構成を入力し、「完了」をクリックします。

「OK」をクリックして新しい要求規則を保存します。

最後に、Datadog オーガニゼーションの Saml ページで、ADFS IdP メタデータを ADFS サーバーからダウンロードして SAML 構成にインポートします。

このファイルは、URL https://hostname/FederationMetadata/2007-06/FederationMetadata.xml からダウンロードできます (hostname は、ご使用のサーバーの公開 DNS ホスト名に置き換えてください)。

下に示すように、SAML 構成ページから Datadog オーガニゼーションにインポートします。

これで完了です。SAML が構成されると、ユーザーは SAML 構成ページにあるリンクを使用してログインできます。

ユーザーがログインできるようになるには、そのユーザーを招待して有効にする必要があることに注意してください。新しいユーザーを招待する際は、そのユーザーの Active Directory ユーザーレコードに対応する電子メールアドレスを使用してください。そうでない場合、ユーザーは次のように拒否されます。

ほとんどの設定では、ユーザーの user@domain が Microsoft ログインアカウントですが、そのように制限されているわけではありません。ユーザーレコード内で使用される電子メールアドレスは、以下のように確認できます。

この件に関する疑問や質問は、Datadog のサポートチームまでお問い合わせください。

On this Page