SAML認証を無効化することはできませんが、設定値をダミーにすることで、SAML認証を実質的に利用しない状態にできます。その際は、必ずSAML強制化の設定が適用されていないことをご確認ください。
本記事では、OneLogin から Mackerel へのSAML シングルサインオン(SSO)の設定手順をご案内します。
目次
ユーザープロビジョニングの設定につきましては、Mackerel - ユーザープロビジョニング をご参照ください。
前提条件
- OneLoginのライセンスが Starter, Enterprise, Unlimited または SSO, Advanced, Professional(新料金体系)のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- Mackerelのライセンスが ビジネスプラン もしくは プレミアムプラン であること
- Mackerelオーガニゼーショングループの 管理者権限 をお持ちであること
SAML連携の設定
1. OneLogin側の設定
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
Mackerel と検索し、該当コネクタを選択します
- [Save]をクリックします
-
SSO タブに移動し、SAML Signature Algorithm を SHA-256 に変更します
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択します
- [Save]をクリックします
- More Actions > SAML Metadata を選択します
2. Mackerel側の設定
- オーガニゼーショングループの管理者権限を持つアカウントで Mackerel にログインし、右上の アカウント名 > オーガニゼーショングループ設定 をクリックします
- 設定するオーガニゼーショングループをクリックします
例)pentio
- [編集]をクリックします
- [ファイルを選択]をクリックします
*1. OneLogin側の設定 手順9でダウンロードしたファイルを選択します。
- IdP Entity ID, Single Sign On URL, IdP X509証明書 が入力されることを確認します
デフォルトでユーザーを閲覧者として追加 を任意で設定します*1
*1 SAML認証を強制, 属性マッピングを有効にする 設定は後述する設定手順をご確認ください。設定項目 設定内容 デフォルトでユーザーを閲覧者として追加設定を有効化するとSAML認証したユーザーは
所属するすべてのオーガニゼーションに閲覧者として追加されます
※ 属性マッピングが無効な場合のみ、この設定を有効にできます
- [更新]をクリックします
SAML連携の設定は以上です。
SAML SSOの動作確認
OneLogin ポータル画面からのSAML認証
動作確認を行う際は、ブラウザのシークレットモードやプライベートブラウジングなどを利用し、ログイン済みセッションがないブラウザ環境でご確認ください。
- コネクタを割り当てたユーザーにログインし、Mackerel のコネクタをクリックします
- 正しくシングルサインオンされることを確認します
Mackerelからの起動確認
動作確認を行う際は、ブラウザのシークレットモードやプライベートブラウジングなどを利用し、ログイン済みセッションがないブラウザ環境でご確認ください。
- ブラウザからMackerelログインページにアクセスし、SAMLでサインイン をクリックします
- オーガニゼーショングループ名を入力し、[サインイン]をクリックします
例)pentio
- OneLoginの ユーザー名 を入力し、[続行する]をクリックします
- OneLoginの パスワード を入力し、[続行する]をクリックします
- 正しくログインされることを確認します
以上でシングルサインオンの動作確認は完了です。
SAML認証の強制化
SAML連携の設定が完了している必要があります。本設定を有効化するとMackerelへのログインをOneLoginからのSAML認証のみに強制化できます。
- オーガニゼーショングループの管理者権限を持つアカウントで Mackerel にログインし、オーガニゼーショングループ管理の基本設定から[編集]をクリックします
-
SAML認証を強制 を有効化し、デフォルトでユーザーを閲覧者として追加 を任意で設定します*2
*2 属性マッピングを有効にする 設定は後述する設定手順をご確認ください設定項目 設定内容 SAML認証を強制☑︎(チェックを入れる)
- [更新]をクリックします
SAMLの強制化は以上です。
Mackerel権限属性マッピングの設定
SAML連携の設定 および SAML認証の強制化 が完了している必要があります。属性マッピングを有効にすると、Mackerelオーガニゼーションの権限をOneLoginのユーザー属性で設定することが可能です。管理者と閲覧者のマッピングを例に挙げて説明します。
※ 本設定をご利用いただく際は、SAML強制化が必須となります
1. Mackerel側の設定
- オーガニゼーショングループの管理者権限を持つアカウントで Mackerel にログインし、オーガニゼーショングループ管理の基本設定から[編集]をクリックします
-
SAML認証を強制 を有効化し、属性マッピングを有効にする にチェックを入れます*3
*3 デフォルトでユーザーを閲覧者として追加 は有効化できません設定項目 設定内容 SAML認証を強制
☑︎(チェックを入れる)
属性マッピングを有効にする
☑︎(チェックを入れる)
- [更新]をクリックします
-
属性マッピング タブを開き、[新規追加]をクリックします
-
以下の表の項目を入力し、[追加]を クリックします
設定項目 設定内容 マッピング名
例)Admins
属性名
例)MackerelRole
値
例)Admin
権限
管理者
- [新規追加]をクリックします
-
以下の表の項目を入力し、[追加]を クリックします
設定項目 設定内容 マッピング名
例)Viewers
属性名
例)MackerelRole
値
例)Viewer
権限
閲覧者
- 属性マッピングが適切に設定されていることを確認します
2. OneLogin側の設定
- OneLoginに管理者でログインし、[管理]をクリックします
- Usersタブ > [Custom User Fields]をクリックします
- [New User Field]をクリックします
- Name と Shortname に任意の名前を入力し、[Save]をクリックします
例)Name: MackerelRole, Shortname: MackerelRole
- Custom User Fieldsの一覧に表示されていることを確認します
- Usersタブ > [Users]をクリックします
- 設定するユーザーの管理画面を開き、Custom Fields > MackerelRole に値を入力します
例)Viewer
- [Save User]をクリックします
-
1. OneLogin側の設定で作成したMackerelコネクタの Parametersタブ を開き、[MackerelRole]をクリックします
- Valueに2. OneLogin側の設定 手順4で作成した属性を選択し、[Save]をクリックします
例)MackerelRole (Custom)
- [Save]をクリックします
- [Save]をクリックします
3. Mackerel権限属性マッピングの動作確認
動作確認を行う際は、ブラウザのシークレットモードやプライベートブラウジングなどを利用し、ログイン済みセッションがないブラウザ環境でご確認ください。
- コネクタを割り当てたユーザーにログインし、Mackerel のコネクタをクリックします
- 正しくシングルサインオンされたら、Members をクリックします
- JIT Provisioningを設定したユーザーに 閲覧者 の権限が与えられていることを確認します
Mackerel権限属性マッピングの設定は以上です。
SAML SSOの無効化
- オーガニゼーショングループの管理者権限を持つアカウントで Mackerel にログインし、右上の アカウント名 > オーガニゼーショングループ設定 をクリックします
- 設定するオーガニゼーショングループをクリックします
例)pentio
- [編集]をクリックします
-
IdP Entity ID に任意の文字列を入力し、そのほかの項目は消去します。
例)dummy
-
SAML認証を強制 のチェックを外して、[更新]をクリックします
*上記手順によりダミーのSAML認証設定となっているため、SAML認証の強制化が有効だと オーガニゼーション や オーガニゼーショングループ(管理画面)にアクセスできなくなります。
SAML SSOの無効化は以上です。