メインコンテンツへスキップ

SmartHR SAML2.0 コネクタ サブドメイン再設定のお願い

Salesforce SSO時のMFA必須化に対するOneLoginの修正対応(6月9日更新)

Sumo Logic - SAML認証

西 晃平
  • 作成日
  • 更新日

本記事では、OneLoginからSumo LogicへのSAML シングルサインオン(SSO)およびJITプロビジョニングの設定手順をご案内します。

 

目次

前提条件

SAML連携の設定

1. OneLogin側の操作

2. Sumo Logic側の設定

3. OneLogin側の設定

SAML SSOの動作確認

JITプロビジョニングの設定

1. JITプロビジョニングによるユーザーの作成

2. JITプロビジョニングによるRoleの更新

SAML SSOの必須化

SAML SSOの無効化

 

前提条件

  • OneLoginのライセンスが StarterEnterpriseUnlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
  • OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
  • Sumo Logicのライセンスが Cloud Flex: Enterprise / Trial または Credit: Essentials / Enterprise Operations / Enterprise Security / Enterprise Suite / Trial であること

 

SAML連携の設定

1. OneLogin側の操作

  1. OneLoginに管理者でログインし、[管理]をクリックします
    OneLoginに管理者でログインし、管理をクリックします

     
  2. Applications メニューから[Applications]を選択します
    ApplicationsメニューからApplicationsを選択します

     
  3. Add App]をクリックします
    Add Appボタンをクリックします

     

  4. Sumo Logic と検索し、SAML2.0 のコネクタを選択します
    SumoLogic.1-1-4.png

     

  5. Save]をクリックします
    SumoLogic.1-1-5.png

     
  6. SSO に移動し、Issuer URLSAML 2.0 Endpoint (HTTP) をクリップボードへコピーします
    sumo_1-9.png

     
  7. View Details をクリックします
    sumo_1-7.png

     
  8. X.509 Certificate の内容をクリップボードへコピーします

 

2. Sumo Logic側の設定

  1. Sumo Logicの画面左下の Administration > Security をクリックします
    sumo_1-2-1.png

     
  2. SAMLタブ > Add Configuration をクリックします
    SumoLogic.1-2-2.png

     
  3. 設定画面が表示されます
    CleanShot 2023-09-12 at 22.31.40@2x.png

     
  4. Configuration Name に、設定するSAML認証の名前を入力します
    SumoLogic.1-2-4.png

     
  5. Issuer 1. OneLogin側の操作 でコピーした IssuerURL を貼り付けます
    sumo_1-2-5.png

     
  6. X.509 Certificate 1. OneLogin側の操作 でコピーした X.509 Certificate を貼り付けます
    CleanShot 2023-09-22 at 10.23.04@2x.png

     
  7. Attribute Mapping Use SAML Subject にチェックを入れます
    sumo_1-2-7.png

     
  8. SP Initiated Login Configuration をクリックし、Authn Request URL1. OneLogin側の操作 でコピーしたSAML 2.0 Endpoint (HTTP) を貼り付けます
    sumo_1-2-8.png

     
  9. Add]クリックします
    sumo_1-2-9.png

     

  10. 上記設定により追加されたConfigurationを選択します
    sumo_1-2-10.png

     

  11. Assertion ConsumerEntity ID をクリップボードへコピーします
    sumo_1-2-11.png

 

3. OneLogin側の設定

  1. Configuration タブへ移動し、2. Sumo Logic側の設定 でコピーした Assertion Consumer Entity ID を貼り付けます
    sumo_1-3-2.png

     
  2. Access タブに移動し、割り当てたいユーザーが属するロールを選択後、[Save]をクリックします
    SumoLogic.1-3-3.png

 

SAML連携の設定は以上です。

 

SAML SSOの動作確認

  1. OneLoginに対象ユーザーでログインし、設定した Sumo Logic を選択します
    SumoLogic.1-3-4.png


  2. SAML認証が完了し、Sumo Logicに遷移することを確認します
    CleanShot 2023-09-13 at 12.09.32@2x.png

 

SAML SSOの動作確認は以上です。

 

JITプロビジョニングの設定

OneLoginからのSSOでJIT Provisioningを利用する方法、設定手順について説明します。JIT Provisioningの設定を行うことで、OneLoginからSSOするだけで、ユーザーの作成、Roleの変更が自動でできるようになります。

1. JITプロビジョニングによるユーザーの作成

JIT Provisioningを利用して、OneLoginからのSSOでSumo Logicに新規ユーザーを作成することができます。下記をに設定の手順をご紹介しています。

  1. Sumo Logicへログインし、Administrationタブ > [Security] をクリックします
    sumo_1-2-1.png

     
  2. SAMLタブ を開き、Configuration Listの中から、JIT Provisioningの設定を行いたいOneLogin環境のSAML設定をクリックします
    sumo_1-2-10.png

     
  3. 右に表示されたエリアから、ペンアイコンをクリックし、編集画面を開きます
    sumo_3-1-3.png

     
  4. 開かれたSAML編集画面を下スクロールし、Optional Settings On Demand Provisioning にチェックを入れます
    SumoLogic.2-1-4.png

     

  5. On Demand Provisioning の下に以下のような入力欄が表示されます
    下記の表のように値を入力します(この時、On Demand Provisioning RolesはSumo Logicに既に登録されているロールを入力してください)

    First Name firstname
    Last Name lastname
    On Demand Provisioning Roles

    例)Analyst

    (デフォルトで割り当てるロール名)


    SumoLogic.2-1-5.png

     

  6. 右下の[Save]をクリックして設定を保存します
    SumoLogic.2-1-6.png

     

  7. 使用例として実際にSumo Logicに登録されていないユーザーでSumo LogicへSSOを行います。
    Sumo Logicに新規登録したいOneLoginのユーザーアカウントにログインします。この時、新規登録したいアカウントは、Sumo Logicにメールアドレスが登録されていないものを指します
     

    firstname
    lastname 中村
    Email hikari.nakamra@gmail.com


    SumoLogic.2-1-7.png

     

  8. Sumo Logicにログインできます
    CleanShot 2023-09-13 at 12.35.54@2x.png

     
  9.  Sumo Logicのユーザー一覧を確認すると、先程ログインしたユーザーの情報、Roleが振り分けられて追加されています
    SumoLogic.2-1-9.png

 

2.  JITプロビジョニングによるRoleの更新

JIT Provisioningを利用して、OneLoginで割り当てられているロールをSumo Logicのロールとして割り当てることができます。これは、Sumo Logicへのログイン時に、毎回OneLogin側で設定した値がSumo Logicのロールとして割り当てられます。設定はOneLogin側とSumoLogic側で行う必要がありますOneLoginから1ユーザーへ複数のRoleを割り当てることはできません

  1. Sumo Logicのコネクタ設定画面を開き、Parametersタブ を開きます
    SumoLogic.3-2-1.png

     
  2. Sumo Logic Multi Field の[Role]をクリックします
    SumoLogic.3-2-2.png

     
  3. No Transform (Single value output) のプルダウンから、Semicolon Delimited Input (Multi-value output) を選択します
    sumo_3-2-3.png

     
  4. フィールドが選択されていることを確認し、[SAVE]をクリックします
    sumo_3-2-4.png

     
  5. Rules >[Add Rule]をクリックします
    sumo_3-2-5.png

     
  6. NameへRuleの名前を入力します
    例)Sumo-Role(analyst)
    sumo_3-2-6.png

     
  7. Conditions の➕アイコンをクリックし、Roles includes [割り当てたいRole] と設定します
    ConditionsとはRuleをどのユーザーに割り当てるのかをRoleやEmailを用いて設定する項目です。例えば、Admin というRoleのユーザーに割り当てる場合は、 Roles include Admin と設定します
    OneLoginとSumo LogicのRoleを同じ値に設定する必要がございます
    例(SumoLogicのRoleにAnalystがある場合):analyst, Sumo_Role_analyst
    sumo_3-2-7.png

     
  8. Actions を設定します
    ActionsとはRuleを適用させるユーザーをどのよう処理をするかを設定する項目です
    例)SumoLogic上のanalystというRoleをユーザーに割り当てる場合
    [Set role in Sumo Logic]   ☑️ Map From OneLogin
    For each [role] with value that matches「  Sumo_Role_([^,]+)  」 と設定します
    sumo_3-2-8.png

     
  9. 設定が完了したら [SAVE] をクリックします
    sumo_3-2-9.png

     
  10. Accessタブ > Roles からConditionsで設定を行ったRolesにチェックをします
    sumo_3-2-10.png

     
  11. Save]をクリックします
    sumo_3-2-11.png

     
  12. Sumo Logicへログインし、Administrationタブ > [Security] をクリックします
    sumo_1-2-1.png

     
  13. SAMLタブ を開き、Configuration Listの中から、JIT Provisioningの設定を行いたいOneLogin環境のSAML設定をクリックします
    sumo_1-2-10.png

     
  14. 右に表示されたエリアから、ペンアイコンをクリックし、編集画面を開きます
    sumo_3-1-3.png

     
  15. SAML設定画面を下スクロールし、Role Attribute にチェックを入れます
    SumoLogic.3-2-8.png

     

  16. Roles Attributeの下に入力欄が表示されます
    入力欄へ下記の表のように入力します。

    Roles Attribute role


    SumoLogic.3-2-9.png

     

  17. 設定が完了したら、[SAVE]をクリックし保存します
    SumoLogic.3-2-10.png

     

  18. 使用例としてOneLoginとSumo Logicに異なるroleを設定し、OneLoginからSumo LogicへSSOを行います。

    firstname
    lastname 中村
    Email hikari.nakamra@gmail.com
    OneLogin role Sumo_Logic_analyst
    Sumo logic role Viewer


    sumo_3-2-18.png

    CleanShot 2023-09-22 at 14.15.22@2x.png

     

  19. roleを変更したいOneLoginのユーザーアカウントにログインし、Sumo Logicのアイコンをクリックします
    SumoLogic.2-1-7.png

     
  20. Sumo Logicにログインします
    CleanShot 2023-09-13 at 12.35.54@2x.png

     
  21. Sumo Logicのユーザー一覧を確認すると、先程ログインしたユーザーのRoleが変更されています
    sumo_3-2-21.png

 

SAML SSOの必須化

Sumo Logicへログインする際、SAML連携を必須条件に設定する手順をご紹介いたします
SAML連携を必須化すると、現在使用されているSumo Logicへログインする際のパスワードが全て削除されます。SAML連携の必須化を解除後、パスワードを再設定する必要があります。そのためSAML連携の必須化を行う際は使用ユーザーに影響がないかご確認ください。

  1. Sumo Logicへログインし、Administrationタブ > Security をクリックします
    sumo_1-2-1.png

     
  2. Require SAML Sign In にチェックを入れます
    sumo_2-2.png

     
  3. Require SAML Authentication]をクリックします
    sumo_2-3.png

 

SAML SSOの無効化

Sumo LogicとOneLoginのSAML連携の解除手順を下記にご紹介いたします
SAML連携を必須化後、連携解除を行うとパスワードを再設定する必要があります。そのためSAML連携の必須化を行う際は使用ユーザーに影響がないかご確認ください

  1. Sumo Logicへログインし、Administrationタブ > [Security] をクリックします
    SumoLogic.1-2-1.png

     
  2. SAMLタブ を開き、Configuration Listの中から、SAML連携を解除したいOneLogin環境のSAML設定をクリックします

    SumoLogic.2-1-2.png

     
  3. 右に表示されたエリアから、ゴミ箱アイコンをクリックします
    SumoLogic.4-1.png

     
  4. 確認画面が表示されるので、[Delete]をクリックします
    SumoLogic.4-2.png

 

SAML SSOの無効化は以上です。

関連記事

運営会社: ペンティオ株式会社サービス利用規程

CONFIDENTIAL

当ウェブサイトに掲載されている情報は一般公開されているコンテンツを除き、当社の承諾なくご契約者様以外への開示・転送・転載することはできません