IdP 役割のマッピング
Instana を設定することで、ID プロバイダー( IdP )内の属性に基づいて、ユーザーを「 Instana 」ロール(および必要に応じてチーム)に自動的に割り当てることができます。
このセットアップにより、ユーザー管理のワークロードが大幅に削減されます。 Instana では、 IdP のマッピング設定が正常に機能している場合でも、ユーザーおよびロールの手動管理機能を利用できます。 ただし、 IdP のマッピングルールに基づいたロール割り当てに移行することで、 IdP 内でのユーザーおよびグループ管理を一元化することができます。
従来のロールベースのアクセス制御(RBAC)で IdP のマッピングルールを有効にする方法の詳細については、 「実装の詳細」 を参照してください。
前提条件
ロールマッピングを機能させるには、以下の前提条件を満たしてください:
- Instana を設定し、認証をアイデンティティプロバイダー( SAML、OIDC、または LDAP )に委任するようにします。 IdP, に認証を委任する場合は、 SAML など、ユーザーのアサーション・クレームを把握しておく必要があります。 ロールマッピングを正常に行うには、正しいアサーションキーと値を入力する必要があります。 アサーションを表示するには、組み込みのブラウザー・ツールまたはブラウザー拡張を使用します。
- マッピングしたい Instana ロールを作成します。 Instana のロールの作成に関する詳細については、 「ロールの作成」 を参照してください。
マッピング・ルール
マッピングルールは、どのアサーション属性(キーと値)をどの Instana ロールにマッピングするかを定義します。 1つのアサーション属性は、複数の Instana ロールに対して使用できます。 ロールのマッピングを行うには、既存の Instana ロールにマッピングしたい適切なアサーション属性を特定してください。
OIDCおよび SAML ( IdPs )の一部は、ユーザープロファイルの属性として値のリストを提供するように設定可能です。 ユーザープロファイル内のキーがリストである場合、リストの項目の一つが値と一致すれば、ルールが一致します。 ルールに一致した場合、ユーザーは設定されたロールに追加されます。
- 「マッピングが見つからない場合はアクセスを拒否する」チェックボックスがオンになっている場合、ユーザーは Instana にサインインするために、何らかのロールに所属している必要があります。
- 「マッピングが見つからない場合はアクセスを拒否する」チェックボックスが選択されていない場合、ユーザーはデフォルトのロールに追加され、プロビジョニングされます。

マッピングルールは、キー、値、および Instana ロールで構成されます。 キーと値は、マップ元のアサーション属性とその値を参照します。 キーと値は、以下のいずれかのユーザー・データの結果のコンテキスト内になければなりません。
- OIDC プロファイル
- SAML プロフィール
- LDAP ユーザーのクエリ
例:
SAML : SAML IDプロバイダーの「Department」属性に「SRE」という値を持つすべてのユーザーを、 Instana の「Owner」ロールにマッピングしたいと考えています。
キー 値 役割 所属 SRE 所有者 - SAML ADFSを使用する場合: Active Directory Federation Services(ADFS)から送信される「Group」属性に「instana-admins」という値を持つすべてのユーザーを、 Instana の「Administrators」グループにマッピングしたい。
キー 値 役割 グループ instana-admins 管理者 ADFSを設定してグループメンバー シップを SAML クレームとして送信する方法の詳細については、「グループメンバーシップをクレームとして送信するルールの作成(ADグループメンバーシップを SAML クレームとして送信するためのステップバイステップガイド)」および 「 LDAP 属性をクレームとして送信するルールの作成 (複雑な属性マッピング要件があるシナリオ向けの代替アプローチ)」を参照してください。
LDAP : LDAP のIDプロバイダーにある「 "memberOf: CN=administrators,CN=Groups,CN=SVT,OU=APMDir,DC=ibm,DC=com」というロールに属するすべてのユーザーを、 Instana の "adminsDK" ロールにマッピングしたいと考えています。
キー 値 役割 memberOf CN=administrators、CN=Groups、CN=SVT、OU=APMDir、DC=ibm、DC=com adminsDK
dn: cn=myteam,c=de,ou=myorgunit,o=mycoor.org 、マッピングにおけるキーは であり dn 、値は となります cn=myteam,c=de,ou=myorgunit,o=mycoor.org。アクセスを拒否
「ロールマッピング」ペインのチェックボックスをオンにすると、 Instana インスタンスがロックされ、マッピングされていないアクセスが防止されます。 ログイン時に適用される有効なマッピングルールが1つ以上あるユーザーのみがアクセスできます。
チェック・ボックスを選択する前に、管理者のマッピング・ルールを構成し、ログインできることを正常に検証します。
実装の詳細
設定されたマッピングルールによって割り当てられるロールは、通常のロール割り当てとは少し異なる扱いとなります。 最大の違いは、ユーザーが次回以降ログインする際、適用されなくなったロール割り当てが失われる点です。 IdP のマッピングルールと、従来の Instana のロールベースのアクセス制御の両方を有効にすると、以下の特定のルールが適用され、正常に動作します:
アクセスを拒否するチェックボックスが選択されていない場合、マッピングルールが設定されていないユーザーは、 Instana のロール「Default」に割り当てられます。 それらのユーザーがすでに「Default」ロールに所属している場合、その割り当ては IdP ロールへの割り当てに変更されます。 IdP ロールの割り当てとは、マッピングが編集されたり、適用されなくなったりした場合、ユーザーが今後のログイン時に Instana の「Default」ロールの割り当てを失う可能性があることを意味します。
アクセスを拒否するチェック・ボックスを選択すると、適用可能なマッピング・ルールがないユーザーはログインできなくなります。 既存の Instana のロールベースの割り当てを受けているユーザーでさえ、アクセスできなくなっています。 チェック・ボックスを選択する前に、管理者のマッピング・ルールを構成し、ログインできることを正常に検証します。