認証の構成
Instanaでは、標準ログイン、多要素認証(MFA)、またはIDプロバイダーを使用したアクセス保護を設定できます。
Instana へのアクセスを保護するために、さまざまな認証方法を設定できます。 以下の手順に従って、Instana 環境の認証を設定します。
標準認証
Instana では、デフォルトでユーザー名 (電子メールアドレス) とパスワードによる標準認証を使用します。 セキュリティを強化するために、すべてのユーザー、特に特権アカウントに多要素認証(MFA)を使用する。 組織で ID プロバイダ ( IdP ) を使用している場合は、既存のポリシーに従って Instana 用に設定します。 IdP は、認証、MFA の実施、パスワードの複雑さ、およびパスワードのローテーション要件に対応する。 お客様の組織で IdP, を使用していない場合は、Instana アカウントの作成時に二要素認証 ( 2FA ) を有効にして、個人情報盗難のリスクを軽減してください。
SAML 認証および許可
Instana の SAML 実装は、すべての準拠 IdPs で動作する。 以下の IdPs、すぐに動作することが確認されている:
このリストは完全なものではなく、他のオプションの有効性が確認されるたびに更新される:
クイック・スタート・ガイド
Active Directory (NOT Active DirectoryAzure )
クイックスタートガイドのない IdPs については、以下のセクションを参照してください。
始めに
SAML をアクティブにするには、 IdP で Instana 用の SAML アプリケーションを作成し、個々のユーザに割り当てる必要があります。 SAMLを通じて作成されたユーザーには、デフォルトのロールが自動的に割り当てられます。
サービス・プロバイダー・キーの作成を怠っていたセルフ・ホスト・セットアップは、サービス・プロバイダー・キーを作成し、サービス・プロバイダーを設定する必要があります。 サービス・プロバイダーの設定方法の詳細については、 サービス・プロバイダーの設定を参照してください。
Instana は、次の 2 つの方法で SAML を設定できます。 IdP:
- メタデータファイルの交換による自動コンフィギュレーション
- に必要な値を入力して手動で設定する。 IdP
これらの両方の方法は、Instana の [認証の構成 - SAML] ダイアログで構成できます。
自動構成
一部の ID プロバイダ( IdPs )は、メタデータ・ファイル交換による自動 SAML 構成をサポートしている。 SAML 認証を自動的に構成するには
- Instana UI のナビゲーションメニューから、 [Settings ] > [ Security & access ] > [ Identity providers ] > [ SAML ] に進みます。
- 認証の構成 - SAML」ダイアログに、電子メール ID とサービス・プロバイダ(SP)エンティティ ID を入力する。
- お使いの IdP で Instana メタデータのアップロードが許可されている場合は、 ** Automatic を選択します。
- Instanaメタデータのダウンロードをクリックする。
- ダウンロードした Instana メタデータを ID プロバイダにアップロードします。
- IdP から IdP メタデータをダウンロードする。
- Instanaにアップロードするファイルを選択] をクリックし、 IdP メタデータをInstanaにアップロードします。
- 新しいシークレット タブまたは別のブラウザを開き、 IdP 認証情報を使用して Instana へのログインを試み、構成を確認します。
手動構成
ID プロバイダが Instana メタデータのアップロードを許可していない場合は、手動設定を使用できます。 手動構成の場合は、SAML アプリのメタデータ値を入力する必要がある。 エラーを回避するには、Instana UI の [Configure authentication - SAML] ダイアログから必要な値をコピーして貼り付けます。
SAML 認証を手動で構成するには
- Instana UI のナビゲーションメニューから、 [Settings ] > [ Security & access ] > [ Identity providers ] > [ SAML ] に進みます。
- 認証の構成 - SAML」ダイアログに、電子メール ID とサービス・プロバイダ(SP)エンティティ ID を入力する。
- マニュアルを選択する。
- IdP, で、Instana UI で提供される値を使用して SAML アプリを作成する。 値の詳細については、 Instana メタデータの値を参照してください、
- IdP から IdP メタデータをダウンロードする。
- Instanaにアップロードするファイルを選択] をクリックし、 IdP メタデータをアップロードします。
- 新しいシークレット タブまたは別のブラウザを開き、 IdP 認証情報を使用して Instana へのログインを試み、構成を確認します。
インスタナのメタデータ値
以下の Instana メタデータ値は、ID プロバイダを Instana に接続するために必要です:
サービス・プロバイダー (SP) エンティティー ID
Instana がお客様の ID プロバイダ ( IdP ) との通信に使用するサービス プロバイダ (SP) エンティティ ID は、お客様のテナント名です。
名前 ID 形式 SAML 名前 ID 形式は、形式識別子
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddressを使用してEMAILに設定する必要がある。アサーション・コンシューマー・サービス(シングルサインオン) URL
Assertion Consumer Service(ACS) URL (シングルサインオン URL )とも呼ばれ、Instanaの固定部分とお客様のテナント名の組み合わせです。
URL 形式は次のようになります。
https://instana.io/auth/signIn/saml/callback?client_name=SAML2Client\<Tenant Name>例えば、テナントが instanaの場合、 URL :
https://instana.io/auth/signIn/saml/callback?client_name=SAML2ClientInstanaログアウト URL
中央のIdP開始ログアウトがサポートされます。
ログアウト URL は固定されており、可変部分を必要としない。 以下の URL :
https://instana.io/auth/signOut/saml/callback
ユーザー名
ユーザー名は、ログイン時にIdPによって提供されるSAML属性から生成されます。
X500-style属性とその既知の別名の一般的な推奨事項に従います。
指定された属性からユーザー名を抽出する際には、以下のロジックが適用されます。
- 属性名
name/displayname/cn/urn:oid:2.5.4.3のいずれかとして表示名が提供されているかどうかを確認してください。 - 属性名
firstname/givenname/gn/userfirstname/urn:oid:2.5.4.42のいずれかとして名が提供されているかどうかを確認してください。 - 属性名
lastname/sn/userlastname/surname/urn:oid:2.5.4.4のいずれかとして姓が提供されているかどうかを確認してください。
表示名は、他のすべてのオプションよりも優先されます。 表示名は見つからないが、名、姓、またはその両方のみが検出された場合は、検出された名前が使用されます。 何も検出されない場合は、NameID (ユーザーメール)の@-signの前のストリングを使用して名前が生成されます。
名前の変更は、IdPとの交換を必要とするため、ユーザーがログアウトした後に反映されます。
で SAML を設定する。 core.secret
SAML 項目をナビゲーション・ペインに表示するには、 core.secret を以下のように構成する:
keyPassword として
mykeypassと入力する。# SAML configuration serviceProviderConfig: # Password for the key/cert file keyPassword: mykeypass以下のコマンドを実行してキーを作成する:
openssl genrsa -aes128 -out key.pem 2048以下のコマンドを実行して証明書を作成する:
openssl req -new -x509 -key key.pem -out cert.pem -days 365以下のコマンドを実行して、鍵と証明書を1つのファイルにまとめる:
cat key.pem cert.pem > sp.pem
OpenId Connect の認証と許可
Instana OIDC統合は標準に準拠しているため、現在のすべてのOIDC対応IdPによってサポートされます。
構成
設定フォームを見つけるには、Instana UI のナビゲーションメニューから、 [設定 ] > [ セキュリティとアクセス ] > [ Identity Providers ] をクリックします。
IdPサイド・アプリケーションのサービス・プロバイダーとしてInstanaを構成します。 IdPの以下の値が必要です。
ClientID:これは、IDプロバイダーによってアプリケーションに割り当てられたIDです。
クライアント秘密鍵:これは、アイデンティティー・プロバイダーからの応答の真正性を検証するためにInstanaによって使用されるトークンです。 この値は秘密鍵であり、安全に保管されます。
ディスカバリー URL : OIDC 設定のディスカバリー URL を使用すると、Instana が自動的にそれを取得します。
管理者/所有者アカウント: OIDCアカウントのメール・アドレスをここに入力する必要があります。 OIDC フローへの切り替え後、このアカウントに最初に
owner権限が付与され、他のすべてにはdefault権限が割り当てられます。
さらに、Idp 側の構成には次の値が重要です。
- リダイレクトURL: IdPで設定したリダイレクトURIによって、応答がInstanaに送信される場所が決まります。
- セッション終了URL/サインアウトURL: IdP開始ログアウトの場合。
Google シングル・サインオン (SSO)
Instana の設定済み Google シングルサインオンを組織で有効にできます。 シングルサインオンはテナント設定である。 SSOを有効にすると、組織内のすべてのテナントユニットに適用されます。 SSO Google を通じて作成されたInstanaユーザーは、組み込みのユーザーロール「default」 に追加されます。
Google SSOを有効にするには、以下の手順を実行します:
- Instana UI のナビゲーションメニューから、 [設定 ] > [ セキュリティとアクセス ] > [ ID プロバイダ ] をクリックします。
- Preconfigured Google SSOを選択する。
- 許可するドメイン 」フィールドに、組織のメールアドレスに一致するドメインを入力します。 例えば、
@instana.comです。 複数のドメインを区切るにはカンマを使用します。
組織が所有するドメインを入力します。 例えば、"@ gmail.com "のような、組織の外部にあるドメインは使用しないでください。そのドメインのメールアドレスを持つすべての人にアクセスを許可することになります。 {: note} 4. 「保管」をクリックします。
許可ドメイン] フィールドにリストされているドメインのメールアドレスを持つユーザーは、Instana の新規ユーザーとしてサインインできます。
Google SSO を通じて Instana にアクセスしたユーザーは、許可されたドメインを後で変更または削除しても、Instana にアクセスできます。 ユーザーのアクセス権を取り消すには、Instana からユーザーを削除します。
セッションタイムアウトの設定
インスタナのセッションタイムアウトを設定できます。 セッション・タイムアウトはテナント・レベルで適用される。
- アイドルセッションタイムアウト:Instana GUI を備えたブラウザのタブが非表示の状態を維持できる最大時間。 Instana UI にアクセスし、ブラウザの別のタブに切り替えた場合、設定された時間が経過するとセッションは失効します。 Instana UI に再度ログインする必要があります。 デフォルト値は 8 時間です。
- ユーザーセッションタイムアウト:ユーザーが Instana GUI にログインした後、ログイン状態を維持できる最大時間。 セッションは設定された時間が経過すると終了する。 ユーザーは、Instana UI に再度ログインする必要があります。 デフォルト値は 7 日です。 アイドル・セッションのタイムアウトは、ユーザー・セッションのタイムアウトよりも優先される。
セッション・タイムアウトを設定するには、以下の手順を実行する:
- Instana UI のナビゲーションメニューから、[ 設定 ] > [ セキュリティとアクセス ] > [ セッションタイムアウト ] をクリックします。
- タイムアウト時間を設定する。
- 保存 をクリックします。