こんにちは、株式会社IVRyでコーポレートITをやっているまゆかずです。
以前にOkta > DatadogのSAML Group Mappingsに関する設定手順を書きましたが、縁があってMicrosoft Entra IDでも同じ設定をする場面に遭遇したので、こちらも備忘録的に残しておきます。
Oktaの設定手順は↓をご覧ください。
設定手順
Entra ID側の設定手順
Microsoftの公式ドキュメントにも設定手順が記載されているので、その手順に沿って設定してもらえれば大丈夫です。
公式手順8がテキストだけだとイメージしにくいですが、↓の画面のようにグループ追加を要求する > アプリケーションに割り当てられているグループを選択して保存を押してください。
Datadog側の設定手順
ここでは、基本的なEntra ID側のSSO設定が完了している前提で進めます。
-
DatadogのOrganization Settingsから、
SAML Group Mappings > Role Mappingsを開きます。 -
New Mappingを開いて以下の値を入れます
KEY:http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
VALUE:ロールを割り当てるEntra IDのグループID
ROLE: 割り当てたいROLEを選択 -
Saveを押すとDatadog側の設定は完了です!
設定の確認
新規ユーザーと既存ユーザーのそれぞれでサインインし、意図したロールが付与されていることを確認してください。
特に新規ユーザーはJITプロビジョニングで管理者の招待を受けなくても初回サインイン時から意図したロールが付与されるようになります!
意図した挙動となっていれば設定は完了です。
SAMLアサーションを実際に確認する方法
ブラウザのアドオンでSAMLアサーションを確認するツールが公開されているので、そちらを利用する方法もありますが、今回はRSA が提供している「SAML 2.0 Test Service Provider」を使用して確認したいと思います。
ここではEntra IDにSAML 2.0 Test Service Providerのアプリを登録する細かい設定手順は割愛しますが、@takuyaotさんの手順が非常に分かりやすかったです。
設定後にサインインのテストすると、AttributeDetailsにhttp://schemas.microsoft.com/ws/2008/06/identity/claims/groupsというAttributeNameが存在し、AttributeValueとして割り当てられているグループのIDが表示されているかと思います。
この値が実際にSP側へ送信されている値です。
Datadog側の設定手順2のVALUEの値(ロールを割り当てるEntra IDのグループID)は、上記で表示されているAttributeValueを入力することとなります。
SAMLアサーションを確認する方法は以上で完了です。
Entra IDとDatadogを接続する際には、ぜひこの手順を参考にしてください
Discussion