当社の 自動ユーザー管理 では、SCIM を介して ID プロバイダーから New Relic のユーザーをインポートして設定することができます。このガイドでは、New Relic OneLogin SCIM/SSO アプリケーションの設定方法について、OneLogin 固有の詳細を説明します。
要件
このガイドを使用する前に、 自動ユーザー管理の要件 をお読みください。
なお、この手順では、IDプロバイダーとNew Relicの間を行き来する必要があります。
Step 1.認証ドメインの作成とSCIMの有効化
New Relic の認証ドメイン UI へのアクセス方法については、 認証ドメイン UI を参照してください。
まだ認証ドメインを持っていない場合は、 + Add new をクリックして、SCIM でプロビジョニングされたユーザのために新しい認証ドメインを作成します。
その認証ドメインについて、 Source of users の下で、 SCIM を選択します。API トークンをコピーして保存し、後で使用できるようにします。これは一度しか表示されないことに注意してください。
ステップ2.OneLoginのNew Relicアプリを設定する
次に、OneLoginのNew Relic SAML/SCIMアプリの設定を行います。これを設定するには
- OneLoginのWebサイトにアクセスし、管理者権限のあるアカウントでサインインします。
- OneLogin のホームページから、 Administration をクリックします。
- OneLogin Administration」ページから、「 Applications」 メニューを選択します。
- OneLogin Applications ページから、 Add App をクリックします。
- OneLogin Find Applications」ページの検索フィールドに「"New Relic by organization" (not"New Relic by account")」と入力し、検索結果に表示されたアプリケーションをクリックします。
- Add New Relic by Organization ページから、 Save をクリックします。
Step 3.SCIM/SSOアプリケーションの設定
New Relic SCIM/SSO アプリケーションの設定は、いくつかのフォームに分かれています。ここでは、設定が必要な各フォームについて説明します。
New Relic by organization の申し込みページから、以下のフォームに入力します。
設定フォームへの入力
左側のペインで、 Configuration を選択し、以下の項目を入力します。
- 認証ドメインID (top of New Relic's authentication domain UI と SCIM bearer token (in authentication domain UI as"SAML 2.0 endpoint) を取得し、OneLoginアプリの適切なフィールドに入力します。
- 以下のセクションで説明するすべての設定が完了するまで、 API Connection を無効のままにしておきます。すべての設定が完了したら、接続を有効にします。
ルールフォームへの入力
ルールを使って、New Relic に送信するユーザーグループを設定します。OneLogin では、ルールを使ってユーザーにグループを提供する方法を説明した ドキュメント を提供しています。
ユーザーと一緒にNew Relicに送信するグループの種類を決めます。Active DirectoryやLDAPを使用している組織であれば、セキュリティグループを使用して、New Relicでのユーザーの機能を定義することができるでしょう。また、OneLoginロールというグループもお勧めです。
New Relic 側では、ユーザーのグループがユーザーのケイパビリティを定義します。ユーザーと一緒に送られてくるグループは、New Relic のケイパビリティグループにマッピングされます。
なお、現時点では、OneLogin側からグループを削除する方法はありません。これは、OneLogin社の既知の制限事項です。ルールを削除または変更しても、New Relic にすでに送信されたグループは削除されません。グループを使用したくない場合は、グループからすべてのユーザーを削除すると、New Relicで使用できなくなります。
プロビジョニングフォームへの入力
左側のペインで、 Provisioning を選択し、以下の項目を入力します。
チェック プロビジョニングを有効にする。
* Require admin approval before this action is performed** で、これらのオプションのチェックを外します。
ユーザー作成
ユーザーの削除
ユーザーの更新
設定 OneLogin でユーザーが削除された場合、またはユーザーのアプリのアクセス権が削除された場合は、以下の操作を行ってください ~ 削除 。 設定 OneLogin でユーザーアカウントが一時停止された場合、以下の操作を行います ~ 一時停止.**ヒント
これらのオプションをオフにしないと、管理者が承認するまでSCIMプロビジョニング要求は送信されません。
### パラメーターフォームへの入力 [#parameters-form]左側のペインで、 Parameters を選択し、以下の内容を入力します。1. Groups** フィールドをクリックします。
チェック Include in User Provisioning.
クリック 保存.### 変更内容の保存 [#save]上記のフォームの入力が完了したら、 Save をクリックします。その後、 Configuration のフォームに戻り、API接続を有効にします。### Step 4.ユーザーの割り当て [#configure-sso]New Relic SCIM/SSO アプリケーションの設定が終了し、New Relic 側の設定も終了したら、アプリケーションへのユーザーの割り当てを開始します。New Relic SCIM/SSO アプリケーションをユーザーに割り当てます。1. OneLoginのWebサイトにアクセスし、管理者権限のあるアカウントでサインインします。
OneLogin のホームページから、 Administration をクリックします。
OneLogin Administration ページから、 Users メニューの Users 項目を選択します。
OneLogin Users」ページから、アプリケーションを割り当てるユーザーをクリックします。
ユーザーページから、 アプリケーション をクリックします。
ユーザーのアプリケーションページから、プラス記号をクリックし、「"New Relic by Organization" 」アプリケーションを選択します。
重要:ユーザーのタイムゾーンを更新することは、 多くの New Relic の機能がこの設定を利用するため、重要です。 。デフォルトのフォーマットは UMT です。 Edit New Relic by Organization login for user ページから、ユーザーのタイムゾーンを IANA Time Zone database format (別名 Olson time zone database format) で入力し、 Save をクリックします。また、ユーザーは 独自のタイムゾーンを設定することができます。 。
Roles を使って New Relic のケイパビリティグループを定義している場合は、ユーザーのアプリケーションページから、そのユーザーに適した役割をクリックし、 Save User をクリックします。### ステップ5.ユーザーのユーザータイプの設定 [#user-type]New Relic でユーザーがプロビジョニングされると、 ユーザー管理 UI で確認できるようになります。SCIM 経由で New Relic にユーザーを追加しているが、 ***SCIM 経由で ユーザータイプ を管理していない場合、そのユーザーは ベーシックユーザー としてスタートします。ユーザーをアップグレードするには、2つのオプションがあります。 ユーザーの編集には、ユーザー管理UI を使用します。
- OneLoginアプリでユーザータイプを管理するように設定します。## ステップ6.アクセスグラントの割り当て [#assign-users]これらの手順が完了すると、 User management UI にアクセスして、New Relic にユーザーが表示されるようになります。ユーザーがNew Relicに存在するようになったので、特定のアカウントの特定のロールへのアクセス権を付与する必要があります。これが行われていない場合、ユーザーはまだ New Relic へのアクセス権を持っていません。この方法については、以下を参照してください。* アクセスグラントの仕組み
- ユーザー管理のチュートリアル## Step 7.SAML SSOの設定 [#saml]ユーザーにSAML SSOを有効にするには、 SAMLの説明 を参照してください。**