最初に

Azure ADに DatadogのSSOを設定をしたい。 けれども、Datadog公式のドキュメントは2016年製で、微妙に設定内容が異なる。 https://help.datadoghq.com/hc/en-us/articles/216980686-How-do-I-configure-Azure-AD-as-a-SAML-IdP- なので、他のドキュメントも見ながら試行錯誤して設定したので、その履歴をここに残す。

手順

1. SSO Applicationの作成 【Azure AD】

• ギャラリー以外のアプリケーション
• 名前を付けてアプリケーションを登録

• SSOを構成する
• SSOモードをSAMLベースにする

2. Service Providerの設定を確認する【Datadog】

• https://app.datadoghq.com/saml/saml_setup にアクセス
• Datadog Service Provider Detailsを確認

3. Id Provider側のSAML設定【Azure AD】

• 識別子と応答URLを、SP側で確認したEntry IDとService URLのそれぞれの値で設定する

• ユーザー識別子をuser.emailに変更する
• SAML証明書発行ボタンから、Azure ADの証明書のXMLをDL

4. DatadogにAzure ADのSAMLを登録する【Datadog】

• Datadogにて Azure AD側で作成したSAMLをupload
• 生成されるSingle Sign-on URLにアクセスする

• Datadogに対してSSOでアクセスすることが可能となる

• 上の手順で取得したURLを、サインオンURLに設定することでportalからアクセスすることも可能となる

(option) JITの設定をする

DatadogにはJust in Provisioningの機能があって、SAMLログイン時に存在しないユーザーを、アクセス時に作成する機能がある。 これを実現するためには、JIT を有効とするドメインを上記のように設定しなければならない。 設定すると、初回アクセス時にユーザーが作成される。

ユーザーが作成されたことを示すエラー

※ メール認証を済まさずにもう一度アクセスすると下記のエラーがでるけれども、メール認証すれば普通にアクセスできるようになるので気にしないこと

参考資料

https://docs.microsoft.com/en-us/azure/active-directory/active-directory-saas-custom-apps https://docs.datadoghq.com/ja/guides/saml/