このページのトピック
Azure Active Directory (AD)セットアップガイド
このページは、2021年8月4日以降に作成された新しいアカウント、新しいサインインシステムにアップグレードされたアカウントに適用されます。
Cloud OneのメタデータXMLをダウンロードする
このオプションの手順では、IDプロバイダが実行するアプリケーションの必須フィールドを入力するのに役立つXMLファイルが提供されます。この手順は、 Cloud One 管理者を対象としています。
- IDおよびアカウント権限へのフルアクセス権を持つ Cloud One にログインします。
- 画面の下部にある[ User Management ]をクリックします。
- 左側のIdentity Providersタブをクリックします。
- [ Trend Micro Cloud One用のメタデータXMLをダウンロード ]リンクをクリックするか、リンクを右クリックしてオプションを選択し、ファイルを保存します。
Azure ADでSAMLを設定する
Azureアプリケーションを作成する
以下の手順の詳細については、 Azureのドキュメント を参照してください。
-
Azureにログインします。 SAMLを設定するディレクトリを選択していることを確認します。
-
Azure Active Directory に移動し、[ Enterprise Applications ]を選択します。
-
[ New Application ]をクリックし、[ Create your own application ]を選択します(無効、つまりグレー表示になっている場合、サブスクリプションへの管理アクセス権があることを確認します)。
-
アプリの名前を指定し、[ non-gallery ] (以下)を選択して、[ Create ]をクリックします。
-
左側のナビゲーションバーで[ Single sign-on ]をクリックし、シングルサインオン方法として[ SAML ]を選択します。
ユーザとグループを割り当てる
-
左側の[ Users and groups ]をクリックし、[ Add user/group ]をクリックします。アプリケーションに割り当てるユーザまたはグループを選択します。
-
個々のユーザを選択する場合は、そのユーザがグループの一部であることを確認し、後で使用する グループIDを書き留めます。
基本的なSAML設定
-
左側の[ Single sign-on ]をクリックし、[ Upload metadata file ]をクリックして、 Cloud One メタデータファイルを選択します。
-
Identifier (Entity ID) および Reply URL (Assertion Consumer Service URL) が入力されていることを確認します。 Reply URL にはパス
/idpresponse
が含まれることに注意してください。 -
右側にある[ Save ]をクリックします。
属性と要求
詳細については、 属性のクレームガイド を参照してください。
-
[ Edit ]をクリックして、 Attributes and Claimsを設定します。
-
Name ID クレームは初期設定のままにします。
-
[ Add a group claim ]をクリックします。 Cloud Oneにアクセスするグループを追加できます。以前にアプリケーションに割り当てたグループを反映した最適なオプションを選択します。詳細については、Azureのドキュメントを参照してください。
-
ソース属性を Group ID のままにして、[ Save ]をクリックします。クレーム名をメモします。例:
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
Cloud OneでSAMLを設定する
- Cloud One Identity Providers ページで、[ New ]をクリックします。
- [ アイデンティティプロバイダ ]ダイアログボックスの[ エイリアス ]フィールドに任意の名前を入力しますが、名前にはAzure ADやOktaなどのIDプロバイダを含めることをお勧めします。
- メタデータXMLファイル ボックスで、 ブラウズ ボタンをクリックし、IDプロバイダーからダウンロードしたメタデータファイルに移動します。
-
[マッピング]セクション(SAMLシングルサインオンについての説明を参照)には、以下に示す役割と属性を指定します。
- Azure ADの場合は、 役割
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
にします(これはグループ要求の要求名です)。 - Azure ADの場合は、 グループ をグループのUUIDにして、 Cloud One ロールにマッピングします。Azure ADの場合は、 Name
http://schemas.microsoft.com/identity/claims/displayname
を指定しますが、 Locale および Timezone は空のままにします。
- Azure ADの場合は、 役割
-
[Save] をクリックします。
[マッピング]セクションで[ + ]をクリックして、複数の グループを追加します。複数のグループに異なるアクセス権を設定できます。
SAML SSOのテスト
Azureで、 Single sign-on 内の下部にある[ Test ]をクリックして、現在のユーザとしてのログインをテストします。