AzureADを利用してDATADOGへSAMLログインを設定する

AzureADを利用してDATADOGへSAMLログインを設定する

Azure Active Directoryを利用してDatadogへSAMLログインする方法

AADのユーザー情報を利用して、監視システムであるDATADOGへSAMLログインする設定です

DATADOGのSAMLページを確認する

  1. DATADOGにログインし、ユーザー名をクリックし、【Configure SAML】をクリックします
  2. SAML設定に必要な情報が表示されるので、「Service Provider Entity ID」と「Assertion Consumer Service URL」を控えておきます。

AzureADにアプリケーションを登録する

お約束的な感じですが、まずはエンタープライズアプリケーションとしてAADへ登録します

  1. AzurePortalへログインします
  2. 【Azure Active Directory】を選択します
  3. 「エンタープライズアプリケーション」→【新しいアプリケーション】をクリックします
  4. 【ギャラリー以外のアプリケーション】をクリックします
  5. 名前欄に任意の名前を入力し、【追加】をクリックします
  6. 「シングルサインオン」→【SAML】をクリックします
    (画像は使いまわしなのでkintone)
  7. 基本的なSAML構成にある鉛筆マークをクリックします
  8. エンティティIDに、DATADOGの設定ページで控えた「Service Provier Entity ID」の値をコピーします
  9. 応答URLに、DATADOGの設定ページで控えた「Assertion Consumer Service URL」の値をコピーします
  10. 【保存】をクリックします
  11. 「ユーザー属性とクレーム」横にある鉛筆マークをクリックします
  12. 一意のユーザー識別子(名前ID)をクリックします
  13. ソース属性を、user.mail に変更します
  14. フェデレーションメタデータXMLをダウンロードします
  15. DATADOGのSAML設定ページを開きます
  16. ダウンロードしたXMLファイルをDATADOGへアップロードします
  17. 【ファイルを選択】をクリックし、AzureADからダウンロードしたXMLファイルを指定します
  18. 【Enable】をクリックし、SAMLを有効化します
  19. SSO URLが表示されるので、表示されたURLをコピーします
  20. AzureADのSAML設定のサインオンURLへコピーしたURLを張り付け保存します
  21. SAMLログインを許可するユーザーまたはグループを割り当てます
    ユーザーを割り当てない場合、アサインエラーの表示がされログインすることができません

 

SAMLログインができるか確認する

  1. https://myapplications.microsoft.com/ へアクセスし、ログインします
  2. DATADOGアイコンをクリックします
  3. 【LOGIN with SAML】をクリックし、ログインできることを確認します

 

DATADOGで複数組織が構成されている場合のSAML設定方法

標準状態の場合DATADOGのSAML設定では、EntitiyIDが同じものになっておりこのまま別組織で利用するとEntityIDが重複しているためAzureAD側で「重複しているため登録できません」というエラーになり登録することができません。(当然ですが・・・)
そのため下記のような手順で登録していきます

  1. サポートへ連絡し、各組織にカスタムサブドメインを付与してもらいます
    該当ドキュメントはこちら
    https://docs.datadoghq.com/ja/account_management/multi_organization/#custom-sub-domains
  2. サブドメインをもとにSAML設定用のEntityID変更をサポートへ依頼する
    (各組織に対してadmin権限をもっているユーザーからの依頼でないと受付てくれないので、管理者権限をもったユーザーからサポートへ依頼してください)
    このとき、SAML Strictを設定しているとログインできなくなってしまう可能性があるため、依頼時にはSAML Strictを無効にしておきましょう
  3. 対応が完了すると、Entity ID等がサブドメインへ変更されていますので、変更されたEntityIDを利用してAzureAD側に設定をしていきます

組織ごとにログインアイコンができていくため、組織が多いとこうなります(笑)
組織ごとにアイコンを変更するとわかりやすくなっていいかと思います。
↓はテストもかねていたので全部同じアイコンです

LOGIN with SAMLはシームレスじゃない

やるとわかるのですが、毎回ログイン画面ページが表示されてしまい【LOGIN with SAML】をクリックしないとログインできません。
せっかくのSAML認証なのにこれはシームレスじゃなくてなんかださい(笑)
ので、サポートの方にもお聞きし下記手順で設定することで、この画面を表示させずにログインさせることができます

  1. Chrome等で該当組織のログインページを表示する
    ↓この画面
  2. 開発者コンソール等で「Login with SAML」の遷移先を確認します
  3. 確認した遷移先URLをAzureADのエンタープライズアプリケーションで設定したDATADOGのサインインURLに追加します
  4. 保存し、マイアプリポータルからDATADOGアイコンをクリックし、シームレスにログインできることを確認します
  5. 無事にログインできれば完了です

 

Azure Active Directoryカテゴリの最新記事

%d人のブロガーが「いいね」をつけました。