Datadog for Government site では、SAML ログインのみをサポートします。
概要
Datadog アカウントに SAML (Security Assertion Markup Language) を構成することで、自分やチームメイト全員が SAML アイデンティティプロバイダーで構成された組織の Active Directory や LDAP などのアイデンティティストアに保存された資格情報を使用して、Datadog にログインすることができます。
注:
- Datadog アカウントで SAML が有効化されていない場合は、サポートチーム に有効化を依頼してください。
SAML の構成
手順については、SAML を使用したシングルサインオンの構成 を参照してください。
SAML の使用
SAML が Datadog で構成され、IdP が Datadog からのリクエストを受け付けるように設定されると、ユーザーはログインできるようになります。
SP 始動のログイン
SP 始動、またはサービスプロバイダー始動とは、Datadog から始動するログインを意味します。ユーザーは、SAML 構成ページ の上部にあるステータスボックスに表示される Single Sign-on URL を使用してログインします。この URL をロードすると、IdP に対して SAML 認証が開始されます。注: この URL は、アカウントで SAML が有効になっており、SP 始動のログインを使用していない限り、表示されません。
ユーザーが SP 始動の SAML を通じてログインし、組織がカスタムサブドメインを持っていない場合、Datadog は追加のセキュリティを要求します。ユーザーはログインに必要な 1 回限りのメール確認コードを受け取ります。
IdP 始動のログイン
IdP 始動、またはアイデンティティプロバイダー始動とは、アプリポータルから始動するログインを意味します。ユーザーは、Google アプリのドロワーや Okta アプリポータルなど、アプリポータルのアプリアイコンをクリックしてログインします。SP 始動のログインを使用するユーザーは、アイデンティティプロバイダーの設定に応じて IdP 始動のログインを使用できる場合もあります。
アサーションと属性
ログインが発生すると、ユーザー認可を含む SAML アサーションがアイデンティティプロバイダーから Datadog に送信されます。
機能
- Datadog は、SAML2 の HTTP-POST 連結をサポートします。
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST。 - Datadog は、アサーションリクエストの NameIDPolicy の形式として
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress を指定します。
要件
- アサーションには署名が必要です。
- アサーションは暗号化できますが、暗号化されていないアサーションは許可されます。
- 詳細については、Datadog のサービスプロバイダーメタデータ を参照してください。ファイルにアクセスするには、Datadog にサインインする必要があります。
サポートされている属性
属性は SAML アサーションに含めることができます。Datadog は AttributeStatement で 3 つの属性を検索します。
- eduPersonPrincipalName: 指定された場合、eduPersonPrincipalName は、ユーザーの Datadog ユーザー名に対応している必要があります。通常、ユーザー名はユーザーのメールアドレスです。
- sn: オプション。ユーザーの姓に設定されます。
- givenName: オプション。ユーザーの名に設定されます。
Microsoft Entra ID IdP の場合、アサーション内で `sn` の代わりに属性 `surname` を使用してください。
Datadog は、属性が URI NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:uri または基本 NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:basic を使用することを想定しています。各属性に使用される名前は、IdP が使用する NameFormat に依存します。
IdP が URI NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:uri を使用するように構成されている場合は、次のようになります。
- eduPersonPrincipalName: IdP は属性名として
urn:oid:1.3.6.1.4.1.5923.1.1.1.6 を設定する必要があります。 - sn: IdP は属性名として
urn:oid:2.5.4.4 を設定する必要があります。 - givenName: IdP は属性名として
urn:oid:2.5.4.42 を設定する必要があります。
IdP が Basic NameFormat urn:oasis:names:tc:SAML:2.0:attrname-format:basic を使用するように構成されている場合は、次のようになります。
- eduPersonPrincipalName: IdP は属性名として
urn:mace:dir:attribute-def:eduPersonPrincipalName を設定する必要があります。 - sn: IdP は属性名として
urn:mace:dir:attribute-def:sn を設定する必要があります。 - givenName: IdP は属性名として
urn:mace:dir:attribute-def:givenName を設定する必要があります。
AttributeStatement に eduPersonPrincipalName が存在する場合、この属性の値がユーザー名に使用されます。AttributeStatement に eduPersonPrincipalName が含まれていない場合、ユーザー名は Subject の NameID から取得されます。NameID は、urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress の形式を使用しなければなりません。
sn と givenName が提供されている場合は、Datadog プロファイルのユーザー名を更新するために使用されます。
その他の機能
アイデンティティプロバイダーのレスポンスの属性を Datadog のロールやチームにマッピングするには、SAML グループマッピングを参照してください。
SAML Configuration ダイアログで、以下の機能を有効にできます。
注: SAML コンフィギュレーションダイアログを表示するには、管理者アクセス許可が必要です。
ジャストインタイム (JIT) プロビジョニング
JIT プロビジョニングを使用すると、初めてログインしようとしたときに Datadog 内にユーザーアカウントが作成されます。したがって、管理者がユーザーアカウントを 1 つずつ手動で作成する必要がなくなります。この場合、招待メールは送信されません。
組織によっては、すべてのユーザーを Datadog に招待したくない場合もあります。アカウントの SAML の動作を変更したい場合は、Datadog サポートにお問い合わせください。特定のユーザーを Datadog にアクセスさせたくない場合、IdP がアサーションを Datadog に送信しないように構成するかどうかは、組織次第です。
管理者は、新しい JIT ユーザーにデフォルトのロールを設定できます。デフォルトのロールは Standard ですが、新しい JIT ユーザーを Read-Only や Administrators、またはカスタムロールとして追加することもできます。
重要: Role Mapping が有効になっている場合、JIT プロビジョニング時に設定されたロールよりも優先されます。適切な Group Attribute ステートメントがないと、ユーザーにロールが割り当てられず、Datadog へのアクセスを失う可能性があります。JIT プロビジョニング後にユーザーがロックアウトされるのを防ぐため、Mappings と JIT の両方を有効にする前に、マッピング定義を確認し、アサーションをチェックしてください。
IdP 始動のログイン
Datadog URL がロードされると、ブラウザは、ユーザーが自分の資格情報を入力したカスタマー IdP にリダイレクトされ、IdP は Datadog に再度リダイレクトします。IdP によっては、最初に AuthnRequest を受け取らずに、直接 Datadog にアサーションを送信できます (IdP 始動のログイン)。
IdP 始動のログイン機能を有効にして構成を保存した後、アイデンティティプロバイダーのサービスプロバイダー (SP) メタデータの最新バージョンをダウンロードできます。新しい SP メタデータには、アサーションを送信するための、組織固有の異なる AssertionConsumerService エンドポイントが含まれています。
更新された SP メタデータを使用しないと、Datadog は組織とアサーションを関連付けることができず、SAML の応答には “InResponseTo” 属性がないというメッセージと共にエラーページが表示されます。
SAML 限定
Login Methods UI で他のログインメソッドタイプを無効にすることで、組織を SAML 限定にすることができます。このオプションが設定されている場合、すべてのユーザーはデフォルトで SAML でログインする必要があります。既存のユーザー名とパスワードまたは Google OAuth ログインは機能しません。これにより、Datadog にアクセスできるすべてのユーザーが、Datadog アカウントにアクセスするために、会社のアイデンティティプロバイダーまたはディレクトリサービスで有効な資格情報を持っている必要があります。組織管理者は、ユーザーごとのオーバーライドを設定して、特定のユーザーが SAML 限定から免除されるようにすることができます。
特定の ID プロバイダー (Microsoft の ADFS など) は、Datadog から最新の SAML サービスプロバイダーメタデータをプルするように構成できます。Datadog で SAML を構成した後、SAML コンフィギュレーションページから組織のメタデータ URL を取得し、それを ID プロバイダーで使用して、変更が公開されるたびに最新のサービスプロバイダーメタデータを取得できます。
参考資料