お問い合わせ

ブログ

【SCSK技術者によるブログ】Sysdig とMicrosoft Entra ID間でSAML認証設定を試してみた

AzureMicrosoft Entra IDSAML認証SCSK技術者ブログSSO(シングルサインオン)その他サイバーセキュリティ

2024年度クラウドネイティブセキュリティおよび利用状況レポート

SCSK技術者によるブログ!

5回担当の田邊です。近年リモートワークの普及によりSaaS(Software as a Service)の利用が進み、使用されている方も多いのではないでしょうか? SaaSログインの際は"パスワード認証"を使用する方法が一般的ですが、万が一SaaSログイン情報が流失してしまうとセキュリティインシデントに繋がる可能性があります。Sysdig SaaSではセキュアにログインするために複数のIdentity Provider (IdP)SAML認証に対応しています。特に弊社ではSysdig Microsoft Entra ID(Azure Active Directory)SAML認証設定について多くのお問い合わせをいただいております。

今回はSysdigEntra ID間でSAML認証ができるまでの操作を紹介する記事となります。

SysdigでSAML認証をするメリットは?

Sysdig SaaS環境では、デフォルトのログイン方法はユーザー名とパスワード認証となります。

SAML認証を使うことでSysdigのユーザー名とパスワードを入力せずIdPにリダイレクトし、認証を行う事ができるので利便性が向上します

また、SAML認証の際、IdPの多要素認証を通したシングルサインオンを実現できるため、セキュアユーザーの一元管理が可能となります。

他にもSysdigでは、Single Logout (SLO)機能や"ユーザ名とパスワード認証でのログインを禁止する"オプションも提供しているため、要件に合った設定が可能です。

2024年66日時点でSysdigSAML認証の動作確認が取れているIdPは下記となります。

  • Okta
  • OneLogin
  • Microsoft Entra ID
  • Google Workspace

事前準備

それでは早速検証の準備から始めていきましょう。

今回の検証で事前に用意するものは以下の通りです。

  • Sysdig SaaS環境で使用する" Customer Name"
      設定されていない場合は弊社サポート窓口までお問い合わせください。
  • SysdigおよびEntra IDの管理者権限
  • Entra IDにてユーザーのメールアドレスが設定されていること

いざ検証

【Azure側手順】

  1. Azure Portalにログインし、"Microsoft Entra ID"に移動します。
  2. "エンタープライズアプリケーション"をクリックし、"新しいアプリケーション"を選択します。
    20240612-1.jpg
  3. "独自のアプリケーションの作成"をクリックし、任意の名前を入力してアプリケーションを作成します。Sysdig Monitor かつ Secure SAML 認証を 行う場合は 2 つの"独自のアプリケーションの作成 "をする必要があります。
    20240612-2.jpg

  4. 3.で作成したアプリケーションから"シングルサインオン"をクリックし、"SAML"を選択します。
    20240612-3.jpg

  5. SAML構成を編集していきます。

    お使いのSysdigリージョンによって識別子(エンティティID)、応答URL、サインオンURLが変化しますので下記ドキュメントのRedirect URLでご確認ください。

    https://docs.sysdig.com/en/docs/administration/saas-regions-and-ip-ranges#redirect-urls-for-authentication
    20240612-4.jpg
  6. "属性とクレーム"にある編集をクリックし、名前と名前空間を含むuser.mailのクレーム名をコピーします。
    20240612-5.jpg
  7. SAML 証明書にある"アプリのフェデレーションメタデータ URL "をコピーします。
    20240612-6.jpg
  8. 左ペインより"ユーザとグループ"を選択しSAML認証するユーザまたはグループを割り当てます。
    20240612-7.jpg

【Sysdig側手順】

  1. Sysdig (monitor/secure) ログイン > Settings > Authentication(SSO) の 順にクリックします。
  2. Connection Settings を SAML に変更して 、作成した (monitor /secure)シングルサインオンのアプリのフェデレーションメタデータ URL(1)に入力 します 。
  3. (2)には名前と名前空間を含むmailのクレーム名を入力します。
    20240612-8.jpg
  4. Authentication上部にある"Enable Single Sign On" SAML に 変更します。
  5. Customer Nameをコピーします。
    20240612-9.jpg
  6. Sysdigログイン画面でSAMLをクリックするとCompany Name を入力するように画面が推移しますので、でコピーした文字列を入力してください。

  7. Customer Nameが正しい場合、Azureの認証に移ります。
    20240612-10.jpg

最後に

いかがでしたでしょうか。ユーザー認証をIdP側で行うことで、Sysdigログイン時に使用するユーザー名とパスワードの漏洩リスクを抑え、IdP側で多要素認証を設定することによりセキュリティ向上が見込めます。

また今回ご紹介できませんでしたが、SAML認証を行った際IdPのグループSysdigTeamsをマッピングし、希望するRoleTeamsに割り当てるGroup Mappingという運用に役立つ機能が実装されています。ご興味あれば本サイトのお問い合わせフォームからご相談ください。

本ブログでは次回以降もSysdigやコンテナ、Kubernetesを中心としたセキュリティやモニタリングについてとりあげていきたいと思います。

それでは、またの機会に!

 

※今回ご紹介した機能の詳細情報は下記URLに掲載されております。

SAML (SaaS)

https://docs.sysdig.com/en/docs/administration/administration-settings/access-and-secrets/authentication-and-authorization-saas/saml-saas/

Configure Microsoft Entra ID for SAML

https://docs.sysdig.com/en/docs/administration/administration-settings/access-and-secrets/authentication-and-authorization-saas/saml-saas/microsoft-entra-id-saml/

担当者紹介

SCSK 田邊
担当者名
田邊 正燿
コメント
Sysdigを中心にコンテナ・Kubernetes・クラウド領域の業務に従事しています。
保有資格
Certified Kubernetes Administrator
tanabe2.jpg

Sysdigに関するお問い合わせはこちらから

最近の投稿

カテゴリー

アーカイブ

ご質問・お問い合わせはこちら

top