サービスプロバイダーの設定( SAML /OIDC)

サービスプロバイダーとして、セキュリティアサーションマークアップ言語( SAML )または OpenID Connect(OIDC)を設定できます。

SAML またはOIDCを設定する前に、IDプロバイダー(IdP)を Instana に接続していることを確認してください。 詳細については、 「 LDAP の設定」 を参照してください。

IdP 構成のサービス・プロバイダーの鍵と証明書の作成

サービス・プロバイダーは、 IdPと交換するメッセージを署名または検証するために、鍵と証明書を必要とします。 鍵と証明書は暗号化する必要があります。 暗号化されていない鍵と証明書は受け入れられません。

SSL (Secure Sockets Layer)キーと証明書を PEM 形式で生成するには、 openssl 道具。

  1. 秘密鍵を生成します。

    openssl genrsa -aes128 -out sp_key.pem 2048
     

    パスフレーズの入力を求めるプロンプトが出される場合があります。 このパスフレーズは、後で値 key_pass として指定する必要があるので、必ず覚えておいてください。

  2. 秘密鍵を使用して自己署名証明書を生成します。

    openssl req -new -x509 -key sp_key.pem -out sp_cert.pem -days 365
     

    プロンプトが表示されたら、CSR (証明書署名要求) 情報を入力します。 秘密鍵の生成時に使用したのと同じ情報を必ず入力してください。

  3. 証明書と鍵を1つの PEM ファイルに結合します。

    cat sp_key.pem sp_cert.pem > sp_key_cert.pem
     

sp_key_cert.pem ファイルは、必ず安全な場所に保管してください。

重要: セルフホスト型 Standard Edition およびセルフホスト型カスタムエディション( Kubernetes または Red Hat OpenShift Container Platform ) をご利用の場合は、ファイルを sp_key_cert.pem シークレットにインポートする必要があります。 証明書をインポートするまで、 SAML の設定はUIに表示されません。 セルフホスト型カスタムエディション( Kubernetes または Red Hat OpenShift Container Platform ) の場合、 Instana のバックエンドインストール時に、結合された設定ファイルがコアシークレットに追加されていることを確認してください。 サービスプロバイダーの設定に関する詳細については、 「サービスプロバイダーの設定」 を参照してください。

settings.hcl ファイルの設定

重要: このセクションは、セルフホスト型 Standard Edition およびセルフホスト型カスタムエディション( Kubernetes または Red Hat OpenShift Container Platform ) には適用されません。
  1. 証明書と鍵を結合したファイル(sp_key_cert.pem)を Instana のホストにコピーし、 Instana のインストール環境がそのファイルを読み込めるようにしてください。

  2. 証明書および鍵情報を使用して settings.hcl ファイルを更新します。 この settings.hcl ファイルは、 Instanainstana init バックエンドをインストールするためにコマンドを実行したのと同じディレクトリにあります。

    • key_cert_path: sp_key_cert.pem ファイルのファイル・パス
    • key_pass: 前のセクションで鍵を生成したときに指定したパスフレーズ。
    service_provider {
       key_cert_path = "/path/to/sp_key_cert.pem"
       key_pass = "key_pass"
     }
     
  3. Instana の設定を更新します。

    instana update
     
  4. Instana のUIにあるナビゲーションメニューから、 「設定 」> 「セキュリティとアクセス 」>「 認証」 を選択します。

認証と承認の設定に関する詳細については、 SAML の「認証と承認 」および OpenId の「Connect の認証と承認」 を参照してください。

証明書の置き換え

以前に作成された証明書の存続期間は 365 日です。その後、新しい証明書を提供する必要があります。

これを行うには、以下の手順を実行します。

  1. 前に作成した sp_key.pem ファイルを取得します。

  2. 証明書を作成します。

    openssl req -new -x509 -key sp_key.pem -out sp_cert.pem -days 365
     
  3. それらを1つの PEM ファイルにまとめます。

    cat sp_key.pem sp_cert.pem > sp_key_cert.pem
     
  4. 結果の sp_key_cert.pempathToKeyCertPem ファイルにコピーし、コマンド instana stop & & instana startを実行して instana を再始動します。

注: [設定 ] > [セキュリティとアクセス ] > [ID プロバイダー ] > [ SAML ] をクリックした後、そこに「 SAML 」のリンクが表示されない場合は、 IdP の設定用にサービスプロバイダーキーと証明書を作成し、ファイルを調整したかどうかを確認 settings.hcl してください。