本記事では、OneLoginからDatadogへのSAML シングルサインオン(SSO)の設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- Datadogのプランが Pro または Enterprise であること
- Datadogにおいて Datadog Admin Role 権限を所有していること
SAML連携の設定
1. OneLogin側の操作
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
Datadog Custom Domain と検索し、該当コネクタを選択します
- [Save]をクリックします
- More Actions > SAML Metadata を選択します
2. Datadog側の設定
- Datadogを開き、リージョンを選択後、管理者でログインします
- Datadogに管理者でログインし、 ユーザーメニュー > Organization Settings を選択します
- AUTHENTICATION > Login Methods を選択します
- SAML >[Update]をクリックします
- [+ Add SAML]をクリックします
- 任意の Name を入力し、 IdP Metadata に 1. OneLogin側の操作の手順6 でダウンロードした
onelogin_metadata_xxxxxxx.xmlをアップロードします
- Login Methods > SAML で Enabled by Default を On に変更します
-
Enabled by Default の確認ダイアログが表示されるので、[Save]をクリックします
-
[Update]をクリックします
-
SP LOGIN URL をクリップボードへコピーします
3. OneLogin側の設定
-
Configuration タブに移動し、Login URL に 2. Datadog側の設定 手順9で取得した SP LOGIN URL を貼り付けます
-
2. Datadog側の設定 手順1で選択したリージョンの Subdomain を入力します
*US1 - East のSubdomainはappとなります。例)AP1 - Japan の例 -
SSO タブに移動し、SAML Signature Algorithm を SHA-256 に変更します
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択後、[Save]をクリックします
SAML連携設定は以上です。
SAML SSOの動作確認
- OneLoginに対象ユーザーでログインし、設定した Datadog Custom Domain を選択します
- SAML認証が完了し、DatadogにSSOされることを確認します
- Login Methods > Password > Enabled by Default を Off に変更します
*SAML認証以外の認証方法を有効にする場合、OneLoginによるセキュリティポリシーのコントロール、MFAの適用などが形骸化してしまう恐れがあります。セキュリティの安全性を確保するため、特別な理由がない限り、SAML認証以外の認証方法を有効にしないことをお勧めします。
- Login Methods > Google > Enabled by Default を Off に変更します
*PasswordおよびGoogle が Off 、SAML が On になっていれば、ユーザーがDatadogにログインする際はSAML認証が必須となります。 ID・パスワードやGoogleアカウントを用いたログインはご利用いただけなくなりますので、ご注意ください。
SAML SSOの動作確認は以上です。
SAML SSOの無効化
- Datadogに管理者としてログインして、ユーザーアイコン >[Organization Settings]をクリックします
- Login Methods > Password または Login Methods > Google > Enabled by Default を[On]にします
*使用する認証方法を有効にしてください。どちらかをOnにしないとSAMLをOffにできません。
例)SAML連携解除後、パスワードによる認証を利用する場合は、 Password を On に変更します
- Login Methods > SAML > Enabled by Default を Off に変更します
-
Enabled by Default の確認ダイアログが表示されるので、[Save]をクリックします
SAML SSOの無効化は以上です。