認証ドメインの設定。SAML SSO、SCIM、その他

ユーザーを管理するために、New Relic の組織は 1 つ以上の認証ドメインを設定することができます。認証ドメインは、ユーザーが New Relic アカウントに追加される方法や、認証方法などを制御します。

要件

これらの機能にアクセスできるかどうかを確認するには、 認証ドメイン設定 UI にアクセスして、設定を行うことができるかどうかを確認します。

これらの設定を行うための要件

• これらの機能は、 New Relic One ユーザーモデルのユーザーを管理するためのものです。 。オリジナルユーザーモデルのユーザーについては、 オリジナルアカウント管理 をご覧ください。

• これらの設定を行うには、 Pro または Enterprise エディション が必要です。

• これらの設定を編集するには、 Authentication domain manager role を持つグループに所属している必要があります。

• SCIMのプロビジョニング 自動化されたユーザー管理としても知られていますが、ProまたはEnterpriseエディションが必要です。

• SAML SSOを利用するには、ProまたはEnterpriseエディションが必要です。SAMLのサポートは以下の通りです。

  • ADFS（Active Directory Federation Services）について
  • Auth0
  • Azure AD (Microsoft Azure Active Directory)
  • オクタ
  • OneLogin
  • Ping Identity
  • セールスフォース
  • SAML 2.0を使用するSSOシステムの汎用的なサポート

認証ドメインとは何ですか？

"認証ドメイン" は、 どのようにプロビジョニングされるか (追加と更新)、 どのように認証されるか (ログイン)、 セッション設定 、 どのようにユーザーアップグレードが管理されるか など、同じユーザー管理設定によって管理される New Relic ユーザーのグループです。

誰かがNew Relicアカウントを作成したとき、デフォルトの認証設定は次のとおりです。

• New Relicにユーザーを手動で追加
• ユーザーはメールとパスワードを使って手動でログインする

これらのデフォルト設定は、1つの"認証ドメインの下にあります。" 別の認証ドメインは、次のように設定されます。

• SCIMプロビジョニングを使用してアイデンティティ・プロバイダーからユーザーを追加・管理
• アイデンティティ・プロバイダーからのSAMLシングル・サインオン（SSO）によるユーザーのログイン

New Relic にユーザーを追加すると、そのユーザーは特定の認証ドメインに追加されます。通常、組織は1つまたは2つの認証ドメインを持っています。1つは手動のデフォルトメソッド用、もう1つはIDプロバイダーに関連付けられたメソッド用です。詳しくはこちらのショートビデオ（4分26秒）をご覧ください。

認証ドメインの作成と設定

要件を満たしている場合 、認証ドメインを追加・管理することができます。

認証ドメインを表示して設定するには、 アカウントのドロップダウン から、 管理> 組織にアクセスし、> 認証ドメイン にアクセスします。

既存のドメインがある場合は、左に表示されます。ほとんどの組織では、せいぜい2つまたは3つのドメインを持っていることに注意してください。1つは手動のデフォルト設定、1つまたは2つはIDプロバイダーに関連する設定です。

認証ドメインUIページから新しいドメインを作成するには、 Create new をクリックします。設定オプションの詳細については、このままお読みください。

ユーザーのソース。マニュアルとSCIMの比較

認証ドメイン UI から、ユーザーが New Relic に追加される方法について、2 つのオプションのうち 1 つを設定できます。

• マニュアル: これは、ユーザーが ユーザー管理 UI から New Relic に手動で追加されることを意味します。
• SCIM: 当社の自動ユーザー管理機能では、SCIMプロビジョニングを使用して、IDプロバイダーからユーザーをインポートして管理することができます。

これらの設定についての注意事項

• Source of users を切り替えることはできません。つまり、すでに設定されている認証ドメインに対してこの設定を変更する場合は、新しいドメインを作成する必要があります。
• SCIMを初めて有効にしたとき、ベアラートークンが生成され、一度だけ表示されます。後でベアラートークンを表示する必要がある場合は、新しいベアラートークンを生成するしかありません。この場合、古いベアラートークンと、古いベアラートークンを使用した統合は無効になります。

SCIMの設定方法については、 Automated user management を参照してください。

認証

認証方法とは、New Relic のユーザーが New Relic にログインする際の方法です。認証ドメイン内のすべてのユーザーは、1つの認証方法を持ちます。認証方法は 2 つあります。

• ユーザー名/パスワード：ユーザーはメールとパスワードでログインします。
• SAML SSO：ユーザーは、IDプロバイダーを介してSAMLシングルサインオン（SSO）でログインします。SSOの設定方法については、こちらをご覧ください。

SAML SSO認証の設定

以下の手順でSAML SSOを有効にする前に、理解しておくべきことや考慮すべきことがあります。

• an introduction to getting started with SSO and SCIM をお読みください。
• SAML SSO の要件 の確認を検討してください。
• SAML SSOの設定方法については、 のビデオを見て検討してください 。
• なお、SSOを有効にしているユーザーは、ログインとパスワードの情報がIDプロバイダーによって処理されるため、New Relicから認証メールの通知を受けることはありません。
• ID プロバイダーサービスのドキュメントには、New Relic 固有の説明がある場合がありますので、そちらを参照してください。

1. SCIMのプロビジョニングを設定している場合。

   • Azure、Okta、または OneLogin を使用している場合は、まず以下の手順に従ってください。 Azure | OneLogin | Okta.
   • 別のIDプロバイダーを使用している場合は、以下のSAML手順に従い、当社の SCIM API を使用してSCIMを有効にしてください。

2. のみ SCIMではなくSAML SSOを有効にしたい場合、また、Azure、Okta、またはOneLoginを使用している場合は、以下の手順で関連アプリを設定してください。

   Azureアプリ

   Azure ADはアプリケーションギャラリーを提供しており、New Relicが提供するものを含むAzure ADの様々な統合機能が含まれています。New Relic SCIM/SSO アプリケーションをアプリケーションのリストに追加します。

   1. Azure Active Directory 管理センターにアクセスし、必要に応じてサインインします。 aad.portal.azure.com/
   2. 左メニューの「 All services 」をクリックします。
   3. メインペインで、 Enterprise applications をクリックします。
   4. +新規アプリケーション をクリックします。
   5. 名前の検索ボックスに New Relic と入力し、アプリケーション New Relic by organization (not New Relic by account) をクリックして、当社の SCIM/SSO アプリケーションを見つけてください。
   6. Add をクリックします。

   Oktaアプリ

   New Relic SCIM/SSO アプリケーションを Okta アプリケーションに追加します。

   1. okta.com/ にアクセスし、管理者権限のあるアカウントでサインインします。
   2. Okta のホームページから、 Admin をクリックします。
   3. Okta admin Dashboard から、 Applications ページを選択します。 [Add Application] をクリックします。
   4. Okta アプリケーションの追加 ページの検索欄に、"New Relic by organization" (not"New Relic by account") と入力し、検索結果にアプリケーションが表示されたらクリックします。
   5. New Relic by Organization ページから、 Add をクリックします。
   6. Add New Relic by Organization」ページから、2つの Application visibility"Do not display..." のチェックボックスにチェックを入れ、 Done をクリックします。設定が完了し、プロビジョニングが開始された後に、後でアプリケーションを可視化します。

   OneLoginアプリ

   OneLoginアプリケーションにNew Relic SCIM/SSOアプリケーションを追加します。

   1. OneLoginのWebサイトにアクセスし、管理者権限のあるアカウントでサインインします。
   2. OneLogin のホームページから、 Administration をクリックします。
   3. OneLogin Administration」ページから、「 Applications」 メニューを選択します。
   4. OneLogin Applications ページから、 Add app をクリックします。
   5. OneLogin Find Applications」ページの検索フィールドに「"New Relic by organization" (not"New Relic by account")」と入力し、検索結果に表示されたアプリケーションをクリックします。
   6. Add New Relic by organization ページから、 Save をクリックします。
   • 上記に記載されていない別の ID プロバイダを使用して SAML を実装する場合は、以下の SAML の説明を使用して統合を試みる必要がある。ID プロバイダは、SAML 2.0 プロトコルを使用し、署名された SAML アサーションを必要とする必要があることに注意する。

3. 次に、認証ドメインのUIにアクセスします。 account」ドロップダウンから 、「 Organization and access」 、「 Authentication domains」 をクリックする。まだ持っていない場合は、 SAML 認証ユーザに使用する新しいドメイン を作成する。

4. Authentication の下で、 Configure をクリックします。 Method of authenticating users の下で、 SAML SSO を選択します。

5. Okta、OneLogin、Azure AD のアプリを使用している場合は、このステップを省略できます。 Provided by New Relic の下には、New Relic 固有の情報があります。これらは、ID プロバイダ サービスの関連するフィールドに配置する必要があります。どこに入れるかわからない場合は、ID プロバイダのドキュメントを参照してください。

6. Provided by you の下に、 Source of SAML metadata を入力する。この URL は、ID プロバイダが提供するものであり、他の名称で呼ばれることもある。これは、SAML V2.0 メタデータ標準に準拠する必要がある。ID プロバイダ が 動的構成をサポートしていない場合は、 Upload a certificate.これは、PEM エンコードされた x509 証明書である必要がある。

7. Provided by you の下で、 SSO target URL supplied by your identity provider を設定する。これは、 Source of SAML metadata にアクセスして、POST バインディング URL を見つけることで確認できる。これは、 https://newrelic.oktapreview.com/app/newreliclr/1234567890abcdefghij/sso/saml のようになる。

8. ID プロバイダーがログアウト用のリダイレクト URL を持っている場合は、その URL を Logout redirect URL に入力します。そうでない場合は、空欄のままにします。

9. ID プロバイダー アプリを使用している場合は、アプリで認証ドメイン ID を入力する必要があります。このIDは、New Relicの認証ドメインUIページの上部に記載されています。

10. オプション：New Relicの認証ドメインUIでは、ブラウザのセッション長やユーザーのアップグレード方法など、 その他の設定を調整することができます。これらの設定は、いつでも調整できます。

11. * SAML のみを有効にしている場合は、New Relic でグループを作成し、アクセスグラントを割り当てる必要があります。(SCIMを有効にしている場合は、このステップはすでに完了しています。) アクセスグラントは、ユーザーにNew Relicアカウントへのアクセスを与えるものです。アクセスグラントがないと、ユーザーはNew Relicでプロビジョニングされるものの、アカウントへのアクセスができません。この方法を知るには

• アクセスグラントの仕組みについて
• access grant tutorial を読んでください。

12. Okta のみ。Okta の New Relic アプリに戻り、 Add New Relic by organization ページから、 Application visibility"Do not display..." の2つのチェックを外し、 Done をクリックします。

正しく設定されていることを確認するために、ユーザーがIDプロバイダー経由でNew Relicにログインできるかどうかを確認し、ユーザーが自分のアカウントにアクセスできることを確認します。

セッション期間とタイムアウト

認証ドメインのUI で、 管理 の下で、そのドメインのユーザーの他のいくつかの設定を制御することができます。

• ユーザーがログインしたままでいられる時間の長さ。
• ユーザーのセッションが終了するまでのアイドルタイムの長さ。
• ユーザーのアップグレード要求

ユーザータイプとアップグレードリクエストの管理

認証ドメイン UI で、 管理 の下で、ユーザーの ユーザータイプ の管理方法を制御することができます。これには、ユーザータイプの編集方法や、アップグレード要求の処理方法が含まれます。

設定は大きく分けて2つあります。

• Manage user type in New Relic: これはデフォルトのオプションです。これにより、New Relic からユーザーのユーザータイプを管理することができます。
• Manage user type with SCIM: これを有効にすると、 New Relic からのユーザータイプの管理ができなくなります 。ID プロバイダからのみ変更・管理できるようになります。

この2つの選択肢については

ユーザータイプについては、 ユーザータイプ を参照してください。

なお、当社のオリジナルユーザーモデル の場合は、アップグレードの方法が異なります。