本記事では、OneLogin から Splunk Cloud へのSAML シングルサインオン(SSO)およびジャストインタイム(JIT)プロビジョニングの設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスプラン が SSO, Advanced, Professional または旧ライセンスプラン Starter, Enterprise, Unlimited のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- OneLoginにおいて署名アルゴリズムが SHA-256 または SHA-512 のSAML証明書を作成済みであること
- Splunk Cloudにおいて 管理者権限 をお持ちであること
注意事項
Splunk Cloud上でSAML連携を設定すると、全てのユーザーに対してSAMLが強制化され、ID/パスワードによるログインが利用できなくなります。SAMLの設定に不備がありSplunk Cloudの管理者アカウントからロックアウトされた場合は、下記SAML回避用URL https://{name}.splunkcloud.com/ja-JP/account/login?loginType=splunk にアクセスすることでID/パスワードによるログインが利用可能です。
SAML連携の設定
1. OneLogin側の操作
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
Splunk と検索し、SAML2.0 のコネクタを選択します

- [Save]をクリックします

- More Actions > SAML Metadata を選択します
2. Splunk Cloud側の設定
- Splunk Cloudに管理者でログインし、設定 > 認証方法 を選択します

- 外部 > SAML を選択し、Configure Splunk to use SAML をクリックします

- メタデータXMLファイル > [ファイルの選択]をクリックし、1. OneLogin側の操作 で取得した
onelogin_metadata_xxxxxxx.xmlをアップロードします
-
エンティティID に任意の識別子を入力し、クリップボードへコピーします

-
以下の通りに設定し、[保存]をクリックします
項目 入力値 名前ID形式 [電子メールアドレス]を選択 リダイレクトポート-ロードバランスのポート 0 SSOバインディング HTTP Post SLOバインディング HTTP Post 
- 右上の[新しいグループ]をクリックします
*こちらの項目で作成したグループが、JITプロビジョニングにより作成されたSplunkユーザーに割り当てられます。既存のSplunk CloudユーザーにSSOする場合はグループ割り当ては適用されませんが、設定自体は必須です。
- 任意の グループ名 を入力し、利用可能アイテム からグループに割り当てるSplunkのロールを選択します
- [保存]をクリックします
3. OneLogin側の設定
-
Configuration タブに移動し、Audience (EntityID) に 2. Splunk Cloud側の設定 で取得した エンティティID を貼り付けます
-
SAML Consumer URL を入力します
-
Parameters タブに移動し、add-parameter[+]をクリックします
-
Field name に role と入力し、Include in SAML assertion にチェックを入れます
-
Splunk Cloud上のロール割り当てに関する以降の手順は、Splunk Cloud側でロールの割当を行う場合 と OneLogin上からSplunk Cloud上のロールを設定する場合 の2通りに分けてご紹介いたします。
① Splunk Cloud側でロールの割当を行う場合
- [Save]をクリックします
- Value欄内のプルダウンリストより[- Macro -]を選択します
- 表示された入力欄にSplunk Cloud側の設定 手順7にて設定したグループ名と同じ値を入力した後[Save]をクリックします
② OneLogin上からSplunk Cloud上のロールを設定する場合
- [Multi-value parameter]にチェックを入れ、[Save]をクリックします
- [Save]をクリックします
-
Rules タブを選択します
- [Add Rule]をクリックします
- Name欄に任意の名称を入力します。Actions欄に[Set role in Splunk],[role],[Splunk_([^,]+)]と入力します
- [Update]をクリックします
- [Save]をクリックします
- 上のタブより、 Users > Roles を選択します
- [New Role]をクリックします
-
Splunk Cloud側の設定の手順7にて設定した値をRole名とします
- Splunk Cloudのコネクタをクリックし、[Save]をクリックします
- 作成したRoleを再度選択します
-
Users タブを選択し、mappingや検索よりRoleにユーザーを追加します
-
Splunk Cloud の編集画面に戻り、More Actions > Reapply entitlement mappings を選択します
-
Users タブに移動し、任意のユーザーに想定したSplunk Cloud上のSAMLグループ名と同じrole属性の値が割り当てられていることを確認します
以上でOneLogin上からSplunk Cloud上のロールを設定する手順は完了です。
- [Save]をクリックします
-
NameID (Subject) と表示されたパラメーターをクリックします
- Value欄内のプルダウンリストより、Splunk Cloud上のユーザーの 名前 と一致するOneLogin上のユーザー属性を選択します
*Splunk Cloudユーザーの 名前 は、ユーザー編集画面より確認可能です。
-
SSO タブに移動し、SAML Signature Algorithm を SHA-256 に変更します
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択後、[Save]をクリックします
SAML連携の設定は以上です。
SAML SSOの動作確認
- OneLoginに対象ユーザーでログインし、設定した Splunk を選択します
- SAML認証が完了し、Splunk CloudにSSOされることを確認します
SAML SSOの動作確認は以上です。
JITプロビジョニングの動作確認
- OneLoginにSplunk Cloud側で未登録のユーザーでログインし、設定した Splunk を選択します
- 利用規約を確認し、これらの規約に同意します にチェックを入れ、[OK]をクリックします
- Splunk Cloud上にユーザーが作成されることを確認します
JITプロビジョニングの動作確認は以上です。
SAML SSOの無効化
- Splunk Cloudに管理者でログインし、設定 > 認証方法 を選択します

- 外部 > None を選択します
SAML SSOの無効化は以上です。