Splunk AppDynamics ロールへの SAML グループのマッピング(SaaS)

このページでは、Splunk AppDynamics SaaS 環境でロールマッピングにセキュリティ アサーション マークアップ言語(SAML)属性の設定、および SAML グループ属性値マッピングオプションの設定について説明します。

SAML プロバイダーからの ID アサーションに Splunk AppDynamics ロールに対応するグループ名が含まれている場合、そのグループ名とロール間のマッピングを構成できます。[Settings] 設定 > [Administration] > [Authentication Provider] に移動して、マッピングを制御する [SAML Group Mappings] にアクセスします。

注: ユーザーがシステムに追加されたら、ロールを直接割り当てることができます。「Cisco AppDynamics ロールへの SAML グループのマッピング(SaaS)」を参照してください。[SAML Group Mapping] から、ロールマッピングとデフォルトのロールの割り当て用にグループ属性を設定することもできます。

ロールマッピングへの SAML 属性の設定

ロールマッピングに SAML 属性を設定する場合:

  1. Name SAML groups-Membership の [SAMLグループ属性名(SAML Group Attribute Name)] フィールドに、 [SAMLグループ属性名(SAML Group Attribute Name)]フィールドを入力します。
    JSON 
    <saml:Attribute NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic" Name="Groups-Membership">
<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">
{group1};{group2}
</saml:AttributeValue>
</saml:Attribute>
  2. [グループ属性値(Group Attribute Value)] 設定と [グループからロールへのマッピング(Mapping of Group to Roles)] 設定を使用して、Splunk AppDynamics がグループ値の抽出元とする SAML グループ属性の構造と、その値に関連付けられるロールを記述します。コントローラテナントは、以下のオプションに基づくグループ属性値を抽出できます。
    • Singular Group Values:応答には、単一のグループマッピング値を持つ AttributeValue 要素が 1 つ含まれます。
    • Multiple Nested Group Values:応答には複数の AttributeValue 要素が含まれ、それぞれが単一のグループマッピング値を持っています。
    • Singular Delimited Group Value:応答には、区切り文字で区切られた複数のグループマッピング値を持つ AttributeValue 要素が 1 つ含まれています。
    • Regex on Singular Group Value:応答には AttributeValue 要素が 1 つ含まれ、そこから正規表現によってグループマッピング値を抽出する必要があります。
  3. グループ属性値が LDAP 形式で返される場合、[LDAP形式の値(Value is in LDAP Format)] チェックボックスをオンにします。たとえば、OU=AppDynamics-Users が有効な場合、AppDynamics-Users のみが SAML グループ名にマッピングできます。

SAMLグループマッピング

単一のグループ値

SAML グループ属性に単一のグループが含まれている場合は、[単一グループ値(Singular Group Value)] を選択します。

CODE 
<saml:AttributeStatement>
<saml:Attribute Name="Groups-Membership" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Admin</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

この例では、Splunk AppDynamics は値 Admin を抽出します。

AppDynamicsロール

複数のネストされたグループ値

このオプションを選択する場合、Splunk AppDynamics には複数の AttributeValue が必要です。

CODE 
<saml:Attribute Name="Groups-Membership" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">_Admin_</saml:AttributeValue>
<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">_DBManager_</saml:AttributeValue>
</saml:Attribute>

Splunk AppDynamics は _Admin_ _DBManager_ _Admin_ _DBManager_ を抽出します

AppDynamicsロール

単一の区切られたグループ値

このオプションを選択する場合、Splunk AppDynamics には単一の AttributeValue が必要です。

CODE 
<saml:Attribute Name="Groups-Membership" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Admin;DB-Manager</saml:AttributeValue>
</saml:Attribute>

抽出する値を分ける区切り文字(セミコロンなど)を指定します。

次のサンプル構成では、ユーザーは Admin および DB-Manager グループの両方と関連付けられた Splunk AppDynamics ロール(Dashboard Viewer、User、DB Monitoring Administrator など)を取得します。

AppDynamicsロール

単一グループ値の正規表現

Splunk AppDynamics で正規表現を使用してグループマッピング値を抽出するには、このオプションを選択します。正規表現により、大きな文字列などの非構造化コンテキストからグループ値を抽出できます。

CODE 
<saml:AttributeStatement>
<saml:Attribute Name="Groups-Membership" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">User memberships in _Admin_ and _DBManager_ groups.</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

この例では、グループ名は _Admin_ _DBManager_ AttributeValue _[a-zA-Z]_ _Admin_ _DBManager_

AppDynamicsロール