Active Directory の構成

Classic版 Active Directory を SAML で動作させるには、 Azure 版よりも多くの設定が必要です。 それについては、通常の SAML 資料に従ってください。

以下のガイダンスは、Azure Active Directoryではなく、クラシック Active Directory のインストールに関するものです。

サービス・プロバイダー・メタデータの取得

構成を容易にするために、サービス・プロバイダー・メタデータ XML ファイルが提供されています。 以下の SAML 設定ダイアログからダウンロードできます。

構成を容易にするために、サービス・プロバイダー・メタデータ XML ファイルが提供されています。 このファイルは Instana からダウンロードできます。 設定 > セキュリティとアクセス > ID プロバイダー に移動してください。

後で使用するためにファイルを保存するには、「メタデータのダウンロード」をクリックします。

信頼証明書利用者の作成

  1. ツール・リストから、 AD FS 管理を開きます。

    ADFS 管理

  2. 「証明書利用者信頼の追加」を選択します。

    依拠当事者信頼の追加

    次に、依拠当事者信頼 (SAML とも呼ばれる) を作成するためのウィザードが表示されます。

    依拠当事者信頼 1 の追加

    このダイアログの「データ ソースの選択」ステップで、Instana からダウンロードしたサービス・プロバイダー・メタデータをアップロードできます。 ファイルをアップロードし、Active Directory での処理が完了するまで待機します。

    依拠当事者信頼のアップロードの追加

    残りのステップを完了して新規信頼を作成します。

    次に、 AD FS 管理 のデフォルト・ビューを示すプロンプトが出されます。このビューには、新しく作成された 依拠当事者信頼が含まれています。

必要な属性マッピングの追加

Instana は、認証済みユーザーの E メール・アドレスを受信する必要があります。 そのため、SAML 対話にマップされる個々のユーザーの E メール・アドレスを取得するには、マッピングを追加する必要があります。

Active Directory では、このマッピングを正しく行うことにいくつかの問題があるため、ルールの組み合わせを支援する必要があります。

ルールを追加するには、新しく作成した 依拠当事者信頼を選択し、 請求発行ポリシーの編集 ...をクリックします。

請求発行ポリシーの編集

作成されたばかりのため、ルールが含まれていない可能性があります。

空の請求発行ポリシーの編集

「ルールの追加 ...」を選択します。

次のダイアログでは、マッピング・ルールの作成について説明します。

リストから LDAP 属性をクレームとして送信 を選択します。

「請求発行ポリシー」の編集 LDAP 属性を請求として設定

規則に名前を付け、「E-Mail-Addresses」「電子メール アドレス」にマップすることを選択します。

注: このメニューには、「 NameID 」という名前のフィールドも含まれています。 ただし、このフィールドは使用できません。変換機能が正常に動作していません。 この設定により、無効な SAML メッセージが生成されます。

「請求発行ポリシー」の「 LDAP 」属性を請求2として編集する

ルールの追加 ... を選択します 着信要求の変換を追加します。 このルールは、E メール・アドレスを SAML 標準で必要な 名前 ID に変換する処理を行います。

クレーム発行ポリシー変換着信クレームの編集

着信要求タイプとして E メール・アドレス を選択し、発信要求タイプとして 名前 ID を選択します。 実際の変換を行うには、 発信名 ID の形式 を E メールに設定する必要があります。

クレーム発行ポリシー変換着信クレーム 2 の編集

次に、以下のルールのリストが表示されます。

請求発行ポリシーの編集の概要

これらの規則の順序は重要です。そのため、すべての規則が適切な位置にあることを念入りに確認してください。

これで Active Directory 側の作業は終了です。

Instana で設定を完了する

Instana を AD に接続します。 サービス・プロバイダー・メタデータは Instana から ADに既にアップロードされています。

AD の IdP-Metadata を Instana に提供する必要があります。

以下のステップを実行します。

まず、メタデータ・ファイルをダウンロードする必要があります。 ブラウザーを使用して、 https://<AD_HOST_NAME>/FederationMetadata/2007-06/FederationMetadata.xmlにナビゲートし、 < AD_HOST_NAME>AD が実行されているマシンの名前に置き換えてください。

ダウンロードしたファイルをローカルに保存し、「 Instana -saml_configuration」ダイアログを開きます。

アップロードする IDP-Metadata-File を選択するには、ここをクリックして 選択し、 アクティブ化をクリックします。

Instana は、SAML を使用してアクセスできます。

「 SAML 」の有効化後、初めて Instana にログインする

Instana で「 SAML 」認証を設定する際は、**「所有者グループに自動的に割り当てるメールアドレスを入力してください」**というフィールドにメールアドレスを入力する必要があります。 このメールアドレスは、「 SAML 」の有効化後も Instana への管理者アクセス権を維持するために不可欠です。

メールアドレスによる所有権の割り当て

SAML の設定時に入力するメールアドレスは、ブートストラップ機能として機能します。 これにより、 SAML が有効化された直後から、アイデンティティプロバイダー( IdP )のユーザーのうち少なくとも1名が、管理者権限で Instana にアクセスできるようになります。

このメール設定は、以下の理由から不可欠です:

  • SAML が有効化されると、 SAML による認証を使用する場合にのみ、 Instana にログインできるようになります。
  • このフィールドのメールアドレスと一致するユーザーには、所有者権限が付与されます。
  • グループのマッピングを設定したり、他のユーザーにロールを割り当てたりする前であっても、このアクセス権は利用可能です。
  • SAML 経由でログインするその他のすべてのユーザーには、デフォルトのロールが割り当てられます。詳細は manage-users.html を参照してください。

初期管理者として Instana にログインする

SAML 認証を有効にした後、初期管理者としてログインするには、以下の手順を実行してください:

  1. Go Instana URL (例:` https://your-tenant.instana.io `)にアクセスします。自動的に Active Directory フェデレーション サービス(ADFS)のログインページにリダイレクトされます。
  2. SAML の設定時に「所有者グループ」フィールドに入力したメールアドレスと**完全に一致**するメールアドレスを持つユーザーの認証情報を使用してログインしてください。 IdP, による認証が成功すると、完全な管理者権限を持って Instana にリダイレクトされます。

初期管理者は、以下のタスクを実行できます:

  • グループのマッピングを設定して、他のユーザーに役割を割り当てる
  • ユーザーのアクセス権と権限を管理する
  • 必要に応じて、 SAML の設定を変更してください(設定を削除して再作成することで)

重要な考慮事項

  • Email アドレスは完全に一致している必要があります: Active Directory のユーザープロファイルに登録されているメールアドレスは、 SAML の設定時に入力したメールアドレスと完全に一致している必要があります。
  • 大文字と小文字の区別:メールアドレスが大文字・小文字および書式において一致していることを確認してください。
  • アカウントが有効である必要があります:ユーザーアカウントは有効であり、 Active Directory からアクセスできる状態である必要があります。
  • SAML 唯一のログイン方法は以下の通りです: SAML を有効化すると、ユーザー名とパスワードによる標準的な認証は利用できなくなります。 SAML を有効化する前に、所有者グループのメールアドレスが正しいことを確認してください。
  • 別のブラウザでテストする:現在のセッションを閉じる前に、シークレットウィンドウまたは別のブラウザを開き、 SAML のログインをテストして、初期管理者アカウントが Instana にアクセスできることを確認してください。
初回ログイン時のトラブルシューティング

SAML を有効にした後、ログインできない場合は、以下のトラブルシューティング手順をお試しください:

  • メールアドレスの一致を確認する:ADFSユーザープロファイルに登録されているメールアドレスが、 SAML の設定時に入力したメールアドレスと完全に一致していることを確認してください。
  • ユーザーアカウントの状態を確認する: Active Directory で、そのユーザーアカウントが有効になっていることを確認してください。
  • SAML のメタデータ交換を確認する: IdP のメタデータが Instana に正しくアップロードされていること、および Instana のメタデータがADFSで正しく設定されていることを確認してください。
  • ADFSのログを確認する:ADFSのログを確認し、認証エラーや SAML のアサーションに関する問題がないか確認してください。
  • API 復旧のためのアクセス:アカウントにロックアウトされた場合、十分な権限を持つトークンを使用して、 Instana REST API から「 SAML 」の設定を削除できます。
Active Directory のグループを Instana のロールにマッピングする

SAML の認証設定が完了したら、 Active Directory のグループを Instana のロールにマッピングすることで、ユーザーのADグループへの所属に基づいて、適切な権限を自動的に割り当てることができます。 このマッピングにより、 Active Directory を通じてユーザー管理を一元化できます。

注:Instana では、 Active Directory のグループを Instana のロールに直接関連付けることはできません。 その代わりに、マッピングは SAML のアサーション属性を通じて、次のように機能します。
  • ADFSによるグループ情報の送信:ADFSを設定し、 SAML アサーションにADグループのメンバーシップを属性として含めるようにします。
  • ユーザーが SAML 経由でログインする:ユーザーが認証されると、ADFS はユーザーのグループメンバーシップを含む「 SAML 」アサーションを送信します。
  • Instana 次のアサーションを受け取ります: Instana は、 SAML アサーションからグループ属性を抽出します。
  • マッピング規則が適用されます: Instana のマッピング規則により、 SAML 属性の値が Instana のロールに割り当てられます。
  • ユーザーのプロビジョニングが完了しました:このユーザーは、対応する Instana のロールに自動的に割り当てられます。

この属性ベースのアプローチは、 SAML 標準に準拠しており、柔軟性を提供しますが、ADFS(グループ情報を送信するため)および Instana (属性をマッピングするため)での設定が必要です。

前提条件

ロールマッピングを設定する前に、以下の前提条件を確認してください:

  • 前のセクションで説明したとおりに、 SAML の基本設定を完了してください。

    マッピングしたい Instana のロールを作成します。 詳細については、 manage-users.html をご覧ください。

  • Active Directory のどのグループを、 Instana のどのロールに割り当てるべきかを特定してください。
  • ユーザーが適切なADグループのメンバーであることを確認してください。
手順 1: グループのメンバーシップ情報を送信するように ADFS を設定する

ADFSを設定し、 SAML アサーションに Active Directory グループのメンバーシップをクレームとして含める必要があります。 これを行うには、ADFSの「依存先パーティの信頼」にクレームルールを追加します。

ADFSの設定には、以下の手順が含まれます:

  • グループのメンバーシップ情報を送信するためのクレームルールを追加します。
  • SAML アサーションにおけるグループ情報の表示方法を設定します。
  • 送信するADグループを指定するか、すべてのグループのメンバーシップを送信します。
  • 請求値に一貫性があり、マッピングしやすいことを確認してください。

グループ・クレームを送信するようにADFSを設定する方法の詳細については、Microsoftの公式ドキュメントにある以下のリファレンスを参照してください:

ADFSの設定にあたっては、以下の重要な点を考慮してください:

  • グループクレームには、一貫性のある属性名を使用してください(例:「Group」、「Role」、またはカスタム名など)
  • グループ識別子には、シンプルで小文字の値を使用してください(例:「CN= Instana -Admins,OU=Groups,DC=example,DC=com」ではなく「instana-admins」)
  • すべてのグループメンバーシップを送信する前に、まずいくつかのグループでテストを行ってください
  • 多数のグループを送信すると、 SAML のアサーションが大量に発生する可能性があることに注意してください
ステップ 2: SAML のアサーションにグループ情報が含まれていることを確認する

Instana を構成する前に、以下の手順を実行して、ADFS が「 SAML 」アサーションでグループ情報を送信していることを確認してください

  1. SAML の認証情報を使用して、 Instana にログインしてください。
  2. ブラウザの開発者ツール( F12 )を使用して、ネットワークトラフィックを確認してください。
  3. SAML というレスポンスを探してください(通常は、コールバック先である URL への POST となります)。
  4. SAML のアサーションをデコードし( base64 でエンコードされています)、グループ属性を確認してください。

グループ情報を含む SAML のアサーションの例:


<saml:Attribute Name="Group">
  <saml:AttributeValue>instana-admins</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="Group">
  <saml:AttributeValue>instana-developers</saml:AttributeValue>
</saml:Attribute>
 
注: 「 SAML -tracer」(Chromeおよび Firefox に対応)のようなブラウザ拡張機能を使用すると、 SAML のアサーションを簡単に表示・解析できます。
ステップ 3: 「 Instana 」でマッピングルールを設定する

ADFSでグループ情報の送信設定を行った後、 Instana でマッピングルールを作成し、 SAML の属性を Instana のロールにマッピングします。その手順は以下の通りです:

  1. Instana のUIで、 [設定 ] > [ セキュリティとアクセス ] > [IDプロバイダー ] > [ロールマッピング] の順に選択します。
  2. 「マッピングルールを作成」 をクリックします。
  3. 各マッピングルールを設定します:
    • キー: SAML 属性名(例:「Group」、「Role」、またはADFSで設定した任意の名前)
    • 値:ADFSが特定のグループ(例:「instana-admins」)に対して送信する正確な値
    • 役割:ユーザーを割り当てる Instana の役割を選択します(例:「管理者」)
    • チーム(任意):ユーザーを特定のチームに割り当てる
  4. **「保存」**をクリックします。
  5. マッピングしたい各広告グループについて、この手順を繰り返します。
マッピングルールの例:
表 1. マッピングルールの例
キー 役割 チーム
グループ instana-admins 管理者 (オプション)
グループ instana-developers 開発者 (オプション)
グループ instana-ビューア ビューアー (オプション)
注: キーと値は大文字と小文字が区別され、ADFSが SAML アサーションで送信する内容と完全に一致している必要があります。
マッピングのルール、その動作、および詳細なオプションに関する詳細については、 『 IdP のロールマッピング』 を参照してください。
ステップ4:ロールのマッピングを確認する

ロールマッピングが正しく機能していることを確認するには、以下の手順を実行してください:

  1. マッピングされたADグループのメンバーであるテストユーザーとして、 Instana から完全にログアウトしてみてください。
  2. テストユーザーとして、 SAML を使用して Instana に再度ログインしてみてください。
  3. Instana のGUIで、 「設定 」>「 セキュリティとアクセス 」>「 ユーザー」 の順に選択します。
  4. テストユーザーを特定し、そのユーザーが Instana の適切なロールに割り当てられていることを確認してください。
  5. ユーザーが所属するロールに基づいて、期待される権限を持っていることを確認してください。
注:SAML 経由でユーザーがログインするたびに、ロールの割り当てが更新されます。 ユーザーのADグループのメンバーシップを変更した場合、 Instana で変更を反映させるには、ユーザーが一度ログアウトしてから再度ログインする必要があります。
重要な考慮事項
  • 属性ベースのマッピング:このマッピングは、Active Directory(AD)と Instana の役割を直接関連付けるのではなく、 SAML のアサーション属性に基づいています。
  • 動的な更新:役割の割り当ては、ログインのたびに、その時点の SAML アサーションに基づいて更新されます。
  • 複数の役割:ユーザーは複数のADグループのメンバーになることができ、対応するすべての Instana の役割が割り当てられます。
  • 大文字と小文字の区別: SAML の属性名と値は、大文字と小文字が区別されます。
  • 完全一致:マッピング規則の値は、ADFSから送信される内容と完全に一致している必要があります。
  • 「アクセスを拒否」オプション: Instana を設定し、マッピングルールに一致しないユーザーのアクセスを拒否することができます。 詳細については、 「 IdP のロールマッピング」 を参照してください。
ロールマッピングのトラブルシューティング

ロールのマッピングが期待通りに機能しない場合は、以下のトラブルシューティング手順を試してください:

  • 「 SAML 」のアサーションを確認する:ブラウザの開発者ツールまたは SAML のトレーサー拡張機能を使用して、ADFSがグループ情報を送信していることを確認します。
  • 2. 属性名の確認: Instana のマッピングルール内の「Key」が、 SAML の属性名と完全に一致していることを確認してください(大文字と小文字が区別されます)。
  • 3. 属性値の確認:マッピングルール内の「Value」が、 SAML の属性値と完全に一致していることを確認してください(大文字と小文字が区別されます)。
  • 4. ADFSのクレーム規則を確認する:ADFSのクレーム規則が正しく構成されており、 Instana の依存先トラストに適用されていることを確認します。
  • 5. 新しいログインでテストする:ユーザーに完全にログアウトしてから再度ログインしてもらい、最新の SAML アサーションが確実に処理されることを確認します。
  • 6. 入力ミスの確認:わずかな違い(スペースや大文字小文字の区別など)でも、照合に失敗する原因となります。
  • 7. ` Instana ` のログを確認する:` Instana ` のログを確認し、 SAML またはロールマッピングに関連するエラーがないか確認します。