標準認証

ユーザー名(メールアドレス)とパスワードを使用した標準認証は、Instanaが安全に提供するデフォルトの方法です。

二要素認証(2FA)

Instanaは、セキュリティを強化するために2FAも提供しています。 2FAを有効にすると、Authy、Duo、Google Authenticatorなどのアプリでスキャンする必要があるQRコードが表示されます。

authentication2

注意 アカウントに対して2FAがアクティブ化されると、ユーザーはログインごとにXNUMX番目の要素を使用する必要があります。 デバイスにアクセスできない場合に備えて、スクラッチコードを安全に保管してください。 デバイスとスクラッチコードがないと、Instanaにアクセスできません。

シングルサインオン(SSO)

標準認証の代わりに、組織でシングルサインオンを有効にすることもできます。 現在、SSOプロバイダーとしてGoogleをサポートしています。

組織でこの認証方法を有効にするには、[管理ポータル]-> [テナント認証]でドメインフィルターを指定する必要があります。

SSOを介して作成されたユーザーには、作成時に「デフォルト」ロールが割り当てられます。

組織のメールアドレスに一致するドメインフィルターを入力します。 たとえば、フィルター@ instana.com が使用されます。 複数のフィルターをコンマで区切って提供できます。

authentication1

SSO設定を変更するには、最初にSSOを無効にしてから、必要な変更を加えて再度有効にする必要があります。

注意 シングルサインオンはテナント設定です。つまり、有効にすると、組織のすべてのテナントユニットに対してアクティブになります。@gmail.com などの汎用フィルターは、Gmailアカウントがある誰にでもアクセス権を与えてしまうため、使用しないようにしてください。

オンプレミスインストール用のシングルサインオンの構造

オンプレミスインストールでシングルサインオンを使用する場合は、最初に有効なGoogle認証情報が必要です。 最も簡単な方法は、単にGoogleの説明に従うことです。

  1. Google(カンパニー)アカウントにログインし、APIクレデンシャルセクションに移動して、必要なOAuth資格情報を作成します。sso-onprem-1
  2. タイプ「Webアプリケーション」を選択します。
  3. 承認リダイレクトURLとして、https://YOUR_INSTANA_BACKEND/auth/signIn/sso/oAuth を使用してください .sso-onprem-2
  4. [作成]をクリックして、新しいGoogleクライアントIDとシークレットを保存します。
  5. settings.yaml ファイル(パッケージベースのインストール)またはsettings.hcl ファイル(コンテナベースのインストール)に、新しい資格情報を入力します。
  6. instana-configure(パッケージベースのインストール)またはinstana update(コンテナベースのインストール)を実行します。
  7. これで、Instanaログインフォームに[シングルサインオン]ボタンが表示されます。 新しいユーザーがInstanaにログインできるように、上記のようにフィルターを作成することを忘れないでください。

LDAP認証(オンプレミスのみ)

オンプレミスユーザーには、OpenLDAPおよびActive Directoryを介して認証をプロビジョニングするオプションがあります。 ユーザーはこれらのサードパーティプロバイダーに対して認証を行い、その後Instanaは現在認証されたユーザーのロールと後続の権限を取得します。 LDAP認証がアクティブになると、ユーザーは以前のユーザー名とパスワードの組み合わせでログインできなくなり、対応するLDAP資格情報のみが検証されます。

LDAPを介して作成されたユーザーには、作成時にデフォルトロールが割り当てられます。

認証方法としてLDAPを使用するには、Manangment Portalのテナント認証で対応する構成値を構成する必要があります。 設定フォームは[LDAP]タブの下にあります。

LDAP構成を保持するには、フォームの最後にユーザー名とパスワードを入力する必要があります。このユーザーは所有者として追加され、初期セットアップ後に変更できます。 これを構成してアクティブにすると、グループクエリに一致する他のユーザーがデフォルトロールでInstanaに追加されます。 アクセス制御で説明されているように、ユーザーごとにロールを設定できます。

ldap_empty

設定

LDAPの構成は非常に難しい場合があります。 ldapsearchを使用してLDAPの正しい設定を見つける方法に関するガイドが役立ちます。

URL

LDAPサーバーURL(ldap://host:389 or ldaps://host:636

ユーザー/匿名:

LDAP読み取り専用ユーザー。 group_queryを介してグループをリストするため、または匿名アクセスを許可する場合は、グループをリストするための十分な権限が必要です。

パスワード:

読み取り専用ユーザーのパスワード

ベース:

クエリのベース(dc=instana、dc=com)

グループクエリ:

Instana(ou=Instana)にアクセスできるメンバーを持つグループまたはグループのセットをリストするクエリ

グループメンバーフィールド:

group_query(uniqueMember)でリストされたユーザーのDNを含むフィールドの名前

ユーザークエリテンプレート:

たとえば、ユーザーを照会するテンプレート(uid=%s)

メールフィールド:

電子メールアドレス(mail)を検索するフィールドの名前

さらに

ユーザーDnマッピング(オプション):

ユーザーdnを含むフィールド(distinguishedNameなど)

user_field(オプション):

ユーザーがグループ内でこの属性の値によって参照されるフィールド(DNが使用されていない場合)

所有者のユーザー名:

instanaで所有者ユーザーとして関連付けられるユーザー。 設定が保存される前に、テストとしてログインが試行されます。

ログインパスワード:

instanaオーナーユーザーのパスワード。

TLS

LDAPSを介した接続は、ldaps://url:636を提供するのと同じくらい簡単です。 サーバーがJava 8インストールで提供されるものよりも強力な暗号化のみを受け入れる場合、暗号化拡張機能を使用する必要があります。Oracleからダウンロードし、JCEドキュメントページの説明に従って構成できます。

現在サポートされている認証プロバイダー

  • OpenLDAP
  • Active Directory

構成例

Microsoft Active Directory、例1

ほとんどの場合 sAMAccountName がログイン名(認証時にユーザーが入力する名前)として使用されます。 Active Directoryのユーザーの内部表現は DN(識別名) で、常にsAMAccountNameが含まれているとは限りません。 この場合、それはにマッピングされる必要があります識別名を通じて取得されます グループクエリ。 マッピングはユーザーDnマッピングフィールドを通じて行われます。

ldap_ad-1

Microsoft Active Directory、例2

他の場合にはDNで直接 識別名 を取得します。 この場合、マッピング設定は空のままにしておくことができます。

ldap_open

OpenLDAPの例

汎用LDAPサーバーでは、フィールドの名前はActive Directoryセットアップとは異なります。 この例の構成は、forumsys.com LDAPサーバーがテストサーバーとして公開されているため、実際に機能しています。 通常、InstanaでOpenLDAPをセットアップするのに必要なのは グループクエリ、クエリの基本部分を省略できます。 たとえば、完全なグループ名は ou=mathematicians、dc=example、dc=comですが、ベースが自動的に追加されるためグループクエリを短くできるので、ベースをdc=example、dc=comとできます。

ldap_open 111

SAML認証および許可

現在検証済みのIdP

Instana SAML実装は完全に標準に準拠しており、すべての準拠IdPで動作するはずです。 次のIdPは、すぐに使用できるようにチームによって検証されています。

このリストは決して完全ではなく、他のオプションを検証するにつれて時間とともに拡大します。

クイックスタートガイド

IdPについては、クイックスタートガイドなしで次のいくつかの段落に従ってください。

使用開始にあたって

SAMLをアクティブにするには、IdPにInstana用のSAMLアプリを作成する必要があります。 個々のユーザーは、新しく作成したアプリを割り当てた後、Instanaにアクセスできます。

SAMLを介して作成されたユーザーには、作成時にデフォルトロールが割り当てられます。

注意: テナントに対してSAMLがアクティブ化されると、Instanaにログインする他の方法はなくなります。

InstanaとIdPを構成してSAMLを有効にするXNUMXつの方法をサポートしています。

  • メタデータの交換によりほぼ自動化
  • IdPに必要な値を入力して手動で

Instanaで必要な手順はIdPメタデータをアップロードすることだけなので、どちらもInstanaで同じ構成ダイアログを使用します。

saml_simple-1

オプション1:IdPおよびInstanaの自動構成

一部のIdPは、メタデータファイルの簡単な交換を介してSAMLをアクティブ化する機能を提供します。

次の手順に従ってください。

  1. 構成ダイアログで提供されるリンクからサービスプロバイダーメタデータをダウンロードします。
  2. ステップ1のファイルをIdPにアップロードして、必要なSAML設定を作成します。
  3. IdPからIdPメタデータをダウンロードします
  4. 構成UIのアップロードボタンを使用して、IdPメタデータをInstanaに提供します
  5. Instanaの使用を開始する

IdPの手動構成

手動設定の場合、いくつかの値を入力する必要があります。 混乱を避けるために、設定UI(上記を参照)からこれらの値をコピーアンドペーストすることを強くお勧めします。

次の手順は、プロセスをガイドします。

  1. セットアップUIで提供される値を使用して、IdPでSAMLアプリを作成します
  2. IdPからIdPメタデータをダウンロードします
  3. 構成UIのアップロードボタンを使用して、IdPメタデータをInstanaに提供します
  4. Instanaの使用を開始る

以下の段落は、完全を期すためにのみここにあります。 生成された値をUIから直接コピーして貼り付けてください。

サービスプロバイダー(SP)エンティティID

IdPと通信するときにInstanaが使用するSPエンティティIDは テナント名.

Name IDフォーマット

SAML Name IDフォーマットEMAILに送る必要があります。

アサーションコンシューマサービス/シングルサインオンURL

アサーションコンシューマサービス(ACS)URL(場合により別名シングルサインオンURL)Instanaからの固定部分とテナント名の組み合わせです:

https://instana.io/auth/signIn/saml/callback?client_name=SAML2Client

たとえば、テナントが呼び出された場合 インスタナ 結果のURLは次のようになります。

https://instana.io/auth/signIn/saml/callback?client_name=SAML2ClientInstana

ログアウトURL

中央のIdP開始ログアウトをサポートしています。

ログアウトURLには可変部分がなく、直接使用できます。

https://instana.io/auth/signOut/saml/callback