認証の構成

Instana では、標準ログイン、多要素認証(MFA)、またはIDプロバイダーを使用してアクセスを保護するための認証設定を行うことができます。

Instana へのアクセスを保護するために、さまざまな認証方法を設定できます。 Instana 環境の認証を設定するには、以下の手順に従ってください。

標準認証

Instana デフォルトでは、ユーザー名(メールアドレス)とパスワードによる標準的な認証を使用します。 セキュリティを強化するため、すべてのユーザー、特に特権アカウントに対しては、多要素認証(MFA)を使用してください。 組織でIDプロバイダー( IdP )を使用している場合は、既存のポリシーに従って、 Instana 向けに設定を行ってください。 IdP 認証、多要素認証(MFA)の適用、パスワードの複雑性、およびパスワードの定期的な変更に関する要件を定めています。 組織で IdP, を利用していない場合は、 Instana アカウントの作成時に二要素認証を有効にして( 2FA )、なりすまし被害のリスクを軽減してください。

SAML 認証および許可

Instana の SAML 実装は、準拠したすべての IdPs で動作します。 以下の IdPs は、導入後すぐに動作することが確認されています:

このリストは完全なものではなく、他の選択肢が確認され次第、随時更新されます:

始めに

SAML を有効にするには、 IdP で Instana 用の SAML アプリケーションを作成し、それを個々のユーザーに割り当てる必要があります。 SAML を通じて作成されたユーザーには、デフォルトのロールが自動的に割り当てられます。

以前にサービスプロバイダーキーの作成を省略していたセルフホスト環境では、サービスプロバイダーキーを作成し、サービスプロバイダーを設定する必要があります。 サービスプロバイダーの設定方法の詳細については、 「サービスプロバイダーの設定」 を参照してください。

注: テナントで SAML を有効にした後は、 SAML を使用する場合にのみ Instana にログインできます。 稼働中の SAML の設定を変更するには、現在の設定を削除し、新しい設定を作成する必要があります。 SAML の設定は、十分な権限を持つトークンを使用して API 経由で削除するか、 Instana UI の「 SAML Configuration」ダイアログにある 「削除 」ボタンを使用して削除できます。

Instana IdP: での SAML の設定には、2つの方法があります

  • メタデータファイルの交換による自動設定
  • IdP に必要な値を入力して手動で設定する

これらの両方の方法は、 Instana の「 認証の設定 - SAML 」ダイアログで設定できます。

注:SAML 認証で有効なトークンの有効期間は、1日から200日の間です。 この範囲は、ほとんどの SaaS および OnPrem の IdPs におけるデフォルト設定を網羅しています。
図 1. SAML設定

自動構成

注:SAML での認証を行うには、お使いのブラウザで JavaScript を有効にする必要があります。

一部のIDプロバイダー( IdPs )は、メタデータファイルの交換を通じて、 SAML の自動設定をサポートしています。 SAML の認証を自動的に設定するには:

  1. Instana のUIにあるナビゲーションメニューから、 「設定 」> 「セキュリティとアクセス 」> 「IDプロバイダー 」>「 SAML 」の順に進みます。
  2. 「認証の設定 - SAML 」ダイアログに、メールアドレスとサービスプロバイダー(SP)のエンティティIDを入力してください。
  3. お使いの IdP で Instana のメタデータがアップロード可能な場合は、「自動」 を選択してください。
  4. Instana のメタデータをダウンロード 」をクリックしてください。
  5. ダウンロードした Instana のメタデータを、アイデンティティプロバイダーにアップロードしてください。
  6. IdP から IdP のメタデータをダウンロードしてください。
  7. 「ファイルを選択」 をクリックして Instana にアップロードし、 IdP のメタデータを Instana にアップロードしてください。
  8. 新しいシークレットタブまたは別のブラウザを開き、 IdP の認証情報を使用して Instana にログインし、設定を確認してください。

手動構成

IDプロバイダーで Instana のメタデータのアップロードが許可されていない場合は、手動設定を使用できます。 手動で設定する場合は、 SAML アプリのメタデータ値を入力する必要があります。 誤りを防ぐため、 Instana UI の「認証の設定 - SAML 」ダイアログから必要な値をコピーして貼り付けてください。

SAML の認証を手動で設定するには:

  1. Instana のUIにあるナビゲーションメニューから、 「設定 」> 「セキュリティとアクセス 」> 「IDプロバイダー 」>「 SAML 」の順に進みます。
  2. 「認証の設定 - SAML 」ダイアログに、メールアドレスとサービスプロバイダー(SP)のエンティティIDを入力してください。
  3. 「手動」 を選択してください。
  4. IdP, で、 Instana のUIに表示されている値を使用して、 SAML アプリを作成してください。 これらの値に関する詳細については、「 Instana のメタデータ値 」を参照してください
  5. IdP から IdP のメタデータをダウンロードしてください。
  6. 「ファイルを選択」 をクリックして Instana にアップロードし、 IdP のメタデータをアップロードしてください。
  7. 新しいシークレットタブまたは別のブラウザを開き、 IdP の認証情報を使用して Instana にログインし、設定を確認してください。

Instana メタデータの値

IDプロバイダーを Instana に接続するには、以下の Instana メタデータ値が必要です:

  • サービス・プロバイダー (SP) エンティティー ID

    Instana がお客様のIDプロバイダー( IdP )と通信するために使用するサービスプロバイダー(SP)のエンティティIDは、お客様のテナント名です。

  • Name ID 形式 「 SAML 」の Name ID 形式は、形式識別子 `: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress` EMAIL を使用して設定する必要があります。

  • Assertion Consumer Service(シングルサインオン) URL

    Assertion Consumer Service(ACS) URL は、シングルサインオン(SSO) URL としても知られており、 Instana の固定部分とテナント名から構成されています。

    URL 形式は次のようになります。

    https://instana.io/auth/signIn/saml/callback?client_name=SAML2Client\<Tenant Name>
     

    たとえば、テナントが instana の場合、結果として得られる URL は次のようになります:

    https://instana.io/auth/signIn/saml/callback?client_name=SAML2ClientInstana
     
  • ログアウト URL

    中央のIdP開始ログアウトがサポートされます。

    ログアウト用URL「 URL 」は固定されており、可変部分は一切必要ありません。 以下の URL を直接使用できます:

    https://instana.io/auth/signOut/saml/callback
     

ユーザー名

ユーザー名は、ログイン時にIdPによって提供されるSAML属性から生成されます。

X500-style属性とその既知の別名の一般的な推奨事項に従います。

指定された属性からユーザー名を抽出する際には、以下のロジックが適用されます。

  • 属性名 name/displayname/cn/urn:oid:2.5.4.3のいずれかとして表示名が提供されているかどうかを確認してください。
  • 属性名 firstname/givenname/gn/userfirstname/urn:oid:2.5.4.42のいずれかとして名が提供されているかどうかを確認してください。
  • 属性名 lastname/sn/userlastname/surname/urn:oid:2.5.4.4のいずれかとして姓が提供されているかどうかを確認してください。

表示名は、他のすべてのオプションよりも優先されます。 表示名は見つからないが、名、姓、またはその両方のみが検出された場合は、検出された名前が使用されます。 何も検出されない場合は、NameID (ユーザーメール)の@-signの前のストリングを使用して名前が生成されます。

名前の変更は、IdPとの交換を必要とするため、ユーザーがログアウトした後に反映されます。

core.secret での SAML の設定

ナビゲーションペインに「 SAML 」項目を表示するには、次のように core.secret 設定してください:

  1. keyPasswordとして mykeypass を入力します。

     # SAML configuration
     serviceProviderConfig:
     # Password for the key/cert file
     keyPassword: mykeypass
     
  2. 以下のコマンドを実行してキーを作成する:

    openssl genrsa -aes128 -out key.pem 2048
     
  3. 以下のコマンドを実行して証明書を作成する:

    openssl req -new -x509 -key key.pem -out cert.pem -days 365
     
  4. 以下のコマンドを実行して、鍵と証明書を1つのファイルにまとめる:

    cat key.pem cert.pem > sp.pem
     

OpenId Connect の認証と許可

Instana OIDC統合は標準に準拠しているため、現在のすべてのOIDC対応IdPによってサポートされます。

構成

設定フォームを表示するには、 Instana UI のナビゲーションメニューから、 [設定] > [セキュリティとアクセス ] > [ID プロバイダー ] をクリックします。

図 2. 認証の設定 - OIDC

IdPサイド・アプリケーションのサービス・プロバイダーとしてInstanaを構成します。 IdPの以下の値が必要です。

  • ClientID:これは、IDプロバイダーによってアプリケーションに割り当てられたIDです。

  • クライアント秘密鍵:これは、アイデンティティー・プロバイダーからの応答の真正性を検証するためにInstanaによって使用されるトークンです。 この値は秘密鍵であり、厳重に管理されています。

  • Discovery URL : OIDC 設定のディスカバリー URL を使用すると、 Instana が自動的にそれを取得します。

  • 管理者/所有者アカウント: OIDCアカウントのメール・アドレスをここに入力する必要があります。 OIDC フローへの切り替え後、このアカウントに最初に owner 権限が付与され、他のすべてには default 権限が割り当てられます。

さらに、Idp 側の構成には次の値が重要です。

  • リダイレクトURL: IdPで設定したリダイレクトURIによって、応答がInstanaに送信される場所が決まります。
  • セッション終了URL/サインアウトURL: IdP開始ログアウトの場合。
注: テナントでOIDCを有効にした後は、 Instana にログインする方法はこれしかありません。 十分な権限を持つトークンを使用すれば、 API を通じて OIDC の設定を削除できます。

Google シングル・サインオン (SSO)

組織向けに、 Instana の事前設定済みの Google シングルサインオンを有効にすることができます。 シングル・サインオンはテナント設定です。 SSO を有効にすると、組織内のすべてのテナント・ユニットに適用されます。 Google SSO を通じて作成された Instana ユーザーは、組み込みのユーザーロール「default」 に追加されます。

Google SSO を有効にするには、以下の手順を実行します。

  1. Instana のUIにあるナビゲーションメニューから、 [設定 ] > [セキュリティとアクセス ] > [IDプロバイダー] をクリックします。
  2. 「事前設定済みの Google SSO」 を選択します。
  3. 「許可されたドメイン」 フィールドに、組織の E メール・アドレスに一致するドメインを入力します。 例えば、@instana.comです。 複数のドメインを区切るには、コンマを使用してください。
    注: 組織が所有するドメインを入力してください。 「@ gmail.com 」のように、組織外のドメインは使用しないでください。そのようなドメインを使用すると、そのドメインのメールアドレスを持つすべての人がアクセスできるようになってしまいます。
  4. 「保管」をクリックします。

許可されたドメイン 」フィールドにリストされているドメインのメールアドレスを持つユーザーは、 Instana に新規ユーザーとしてサインインすることができます。

Google のSSOを通じて Instana へのアクセス権限を付与されたユーザーは、後で許可されたドメインを変更または削除した場合でも、 Instana にアクセスできます。 ユーザーのアクセス権を取り消すには、 Instana からそのユーザーを削除してください。

セッションのタイムアウトを設定する

Instana のセッションタイムアウトを設定できます。 セッションのタイムアウトはテナント単位で適用されます。

  • アイドル状態のセッションタイムアウト: Instana GUI が表示されているブラウザのタブが非表示のままにできる最大時間。 Instana のUIにアクセスし、ブラウザで別のタブに切り替えると、設定された時間が経過するとセッションが切断されます。 Instana のUIに再度ログインする必要があります。 デフォルト値は 8 時間です。
  • ユーザーセッションのタイムアウト:ユーザーが Instana GUIにログインした後、ログイン状態を維持できる最大時間。 セッションは、設定された時間が経過すると終了する。 ユーザーは、 Instana のUIに再度ログインする必要があります。 デフォルト値は 7 日です。 アイドル・セッションのタイムアウトは、ユーザー・セッションのタイムアウトよりも優先される。

セッション・タイムアウトを設定するには、以下の手順を実行する:

  1. Instana のUIにあるナビゲーションメニューから、 「設定 」> 「セキュリティとアクセス 」>「 セッションのタイムアウト」 をクリックします。
  2. タイムアウト時間を設定する。
  3. 保存 をクリックします。