サービスプロバイダーの設定( SAML /OIDC)
サービスプロバイダーとして、セキュリティアサーションマークアップ言語( SAML )または OpenID Connect(OIDC)を設定できます。
SAML またはOIDCを設定する前に、IDプロバイダー(IdP)を Instana に接続していることを確認してください。 詳細については、 「 LDAP の設定」 を参照してください。
IdP 構成のサービス・プロバイダーの鍵と証明書の作成
サービス・プロバイダーは、 IdPと交換するメッセージを署名または検証するために、鍵と証明書を必要とします。 鍵と証明書は暗号化する必要があります。 暗号化されていない鍵と証明書は受け入れられません。
SSL (Secure Sockets Layer)キーと証明書を PEM 形式で生成するには、 openssl 道具。
秘密鍵を生成します。
openssl genrsa -aes128 -out sp_key.pem 2048パスフレーズの入力を求めるプロンプトが出される場合があります。 このパスフレーズは、後で値
key_passとして指定する必要があるので、必ず覚えておいてください。秘密鍵を使用して自己署名証明書を生成します。
openssl req -new -x509 -key sp_key.pem -out sp_cert.pem -days 365プロンプトが表示されたら、CSR (証明書署名要求) 情報を入力します。 秘密鍵の生成時に使用したのと同じ情報を必ず入力してください。
証明書と鍵を1つの PEM ファイルに結合します。
cat sp_key.pem sp_cert.pem > sp_key_cert.pem
sp_key_cert.pem ファイルは、必ず安全な場所に保管してください。
sp_key_cert.pem シークレットにインポートする必要があります。 証明書をインポートするまで、 SAML の設定はUIに表示されません。 セルフホスト型カスタムエディション( Kubernetes または Red Hat OpenShift Container Platform ) の場合、 Instana のバックエンドインストール時に、結合された設定ファイルがコアシークレットに追加されていることを確認してください。 サービスプロバイダーの設定に関する詳細については、 「サービスプロバイダーの設定」 を参照してください。settings.hcl ファイルの設定
証明書と鍵を結合したファイル(
sp_key_cert.pem)を Instana のホストにコピーし、 Instana のインストール環境がそのファイルを読み込めるようにしてください。証明書および鍵情報を使用して
settings.hclファイルを更新します。 このsettings.hclファイルは、 Instanainstana initバックエンドをインストールするためにコマンドを実行したのと同じディレクトリにあります。key_cert_path:sp_key_cert.pemファイルのファイル・パスkey_pass: 前のセクションで鍵を生成したときに指定したパスフレーズ。
service_provider { key_cert_path = "/path/to/sp_key_cert.pem" key_pass = "key_pass" }Instana の設定を更新します。
instana update- Instana のUIにあるナビゲーションメニューから、 を選択します。
認証と承認の設定に関する詳細については、 SAML の「認証と承認 」および OpenId の「Connect の認証と承認」 を参照してください。
証明書の置き換え
以前に作成された証明書の存続期間は 365 日です。その後、新しい証明書を提供する必要があります。
これを行うには、以下の手順を実行します。
前に作成した
sp_key.pemファイルを取得します。証明書を作成します。
openssl req -new -x509 -key sp_key.pem -out sp_cert.pem -days 365それらを1つの PEM ファイルにまとめます。
cat sp_key.pem sp_cert.pem > sp_key_cert.pem結果の
sp_key_cert.pemをpathToKeyCertPemファイルにコピーし、コマンド instana stop & & instana startを実行して instana を再始動します。
settings.hcl してください。