Azure Active DirectoryでのSAMLシングルサインオンの設定

このページは従来のアカウントに適用されます。詳細を表示

現在、SAMLはサインオンおよびDeep Security as a Service https://app.deepsecurity.trendmicro.com/ へのアクセスでのみサポートされており、 Trend Micro Cloud One https://cloudone.trendmicro.com/ではサポートされていません。

現在、 Deep Security as a Serviceは のみをサポートしています( のみ、SAML 2.0アイデンティティープロバイダ(IdP)で開始されるログインフローのHTTP POSTバインディングであり、サービスプロバイダ(SP)で開始されるログインフローではありません)。

Deep Security as a ServiceがSAML標準を実装する仕組みの詳細については、 About SAMLシングルサインオン(SSO)を参照してください。他のIDプロバイダとの設定手順については、 SAMLシングルサインオンの設定を参照してください。

誰がこのプロセスに関与していますか?

通常、SAMLシングルサインオン(SSO)にAzure Active Directoryを使用Deep Security as a Serviceを設定するには、 Deep Security as a Serviceの管理者とAzure Active Directoryの管理者の2人が必要です。

Deep Security as a Serviceの管理者にDeep Security as a Serviceの役割を割り当てる必要があります。 SAML IDプロバイダ 権限が次のいずれかに設定されていますフル またはにのカスタム 新しいSAML IDプロバイダを作成できます が有効になりました。

Azure Active Directoryを使用したDeep Security as a ServiceのSAMLシングルサインオンを設定するために必要な手順と、各手順を実行する担当者を示します。

ステップ 実行者
Deep Security as a ServiceのサービスプロバイダSAMLメタデータをダウンロードします。 Deep Security as a Serviceの管理者
Azure Active Directoryを設定する Azure Active Directory管理者
Deep Security as a ServiceのSAMLを設定する Deep Security as a Serviceの管理者
Azure Active Directoryで役割を定義する Azure Active Directory管理者

「 Deep Security as a Service」サービスプロバイダのSAMLメタデータドキュメントをダウンロードします。

Deep Security as a Serviceコンソールで、 [ 管理]→ [ユーザ管理] →[IDプロバイダ]→[SAML ]の順に選択し、[ ダウンロード]をクリックします。ファイルは ServiceProviderMetadata.xmlとしてダウンロードされます。このファイルをAzure Active Directory管理者に送信します。

Azure Active Directoryを設定する

このセクションの手順は、Azure Active Directory管理者が実行します。

以下の手順の実行方法の詳細については、 Azure Active Directory の非ギャラリーアプリケーションへのシングルサインオンの設定を参照してください。

  1. Azure Active Directoryポータルで、ギャラリー以外の新しいアプリケーションを追加します。
  2. アプリケーションのシングル・サインオンを設定します。Deep Security as a Serviceからダウンロードしたメタデータファイル ServiceProviderMetadata.xmlをアップロードすることをお勧めします。また、応答URL( Deep Security as a Service URL + /saml)を入力することもできます。
  3. SAML要求を設定します。Deep Security as a Serviceには次の2つが必要です。

    • https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName これは、 Deep Security as a Serviceのユーザ名となる一意のユーザIDです。たとえば、User Principal Name(UPN)を使用できます。

    • https://deepsecurity.trendmicro.com/SAML/Attributes/Role 形式は「IDP URN、役割URN」です。IDPはDeep Security as a Serviceで作成されていません。このSAMLクレームは、後で Azure Active Directoryで役割を定義するには設定できます。

    SAML請求構造で説明されているように、その他の任意のクレームを設定することもできます。

    SAMLでのシングルサインオンのセットアップ - プレビュー

  4. フェデレーションメタデータXML ファイルをダウンロードし、 Deep Security as a Service管理者に送信してください。

Deep Security as a Serviceで複数の役割が定義されている場合は、これらの手順を繰り返して、役割ごとに個別のアプリケーションを作成します。

Deep Security as a ServiceのSAMLを設定する

Deep Security as a ServiceでSAMLを設定する方法の詳細は、次のセクションで確認してください。

Azure Active Directoryメタデータドキュメントをインポートする

  1. Deep Security as a Serviceで、 [ 管理]→ [ユーザ管理] →[IDプロバイダ]→[SAMLます。
  2. [ の開始] または[ 新しい]をクリックします。
  3. [ファイルの選択] の順に選択し、Azure Active DirectoryからダウンロードしたフェデレーションメタデータXMLファイルを選択し、 [次へ] の順にクリックします。
  4. アイデンティティプロバイダの名前を入力し、[ Finish]をクリックします。 Roles のページに移動します。

Deep Security as a ServiceをSAMLユーザのサービスロールとして作成する

Deep Security as a Serviceの[ の管理]→ [ユーザ管理] →[役割の の管理]画面に組織の適切な役割が含まれていることを確認してください。ユーザには、自分の業務を職務の遂行に必要なものに限定する役割が割り当てられている必要があります。役割の作成方法については、 ユーザの役割の定義を参照してください。各Deep Security as a Serviceの役割には、対応するAzure Active Directoryアプリケーションが必要です。

URNを取得する

Azure Active Directory管理者には、アイデンティティプロバイダのURNと役割URNS(Azure Active Directoryアプリケーションに関連付ける役割のDeep Security as a Service for URN)が必要です。必要な情報は、 Deep Security as a Serviceコンソールを参照してください。

  • IDプロバイダのURNを表示するには、 の[管理]→[ユーザ管理]→[IDプロバイダ]→[SAML]→[IDプロバイダ] に移動し、[URN]列を選択します。
  • ロールURNを表示するには、 の[管理]→[ユーザ管理]→[ロール ]の順に選択し、[URN]列を選択します。

複数の役割を持つ場合は、役割ごとにURNが必要になります。役割ごとに個別のAzure Activeアプリケーションが必要なためです。

Azure Active Directoryで役割を定義する

このセクションの手順は、Azure Active Directory管理者が実行する必要があります。

Azure Active Directoryでは、前のセクションで識別されたIDプロバイダのURNと役割のURNを使用して、Azureアプリケーションで「役割」属性を定義します。これは、「IDP URN、役割URN」の形式で指定してください。「 SAML請求構造 」の「 Deep Security as a Service user role(required)」を参照してください。

Azure Active Directoryの[検証]ボタンを使用してセットアップをテストするか、新しいアプリケーションをユーザに割り当ててテストします。

サービスとIDプロバイダの設定

Deep Security as a ServiceがサーバおよびIDプロバイダ証明書の有効期限と、SAMLのシングルサインオンを介して追加された非アクティブなユーザアカウントが自動的に削除されるまでにどれくらいの時間が経過する必要があるかを事前に通知する間隔を設定できます。

これらの設定を変更するには、[管理]→[システム設定]→[セキュリティ]→[アイデンティティプロバイダ] に移動します。

SAMLクレームの構造

次のSAML要求はDeep Security as a Serviceでサポートされています。

Deep Security as a Serviceのユーザ名(必須)

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName``Attributeエレメントと、1つのAttributeValueエレメントが含まれるSAMLアサーションが必要です。Deep Security as a Serviceは AttributeValue をDeep Security as a Serviceのユーザ名として使用します。

サンプルのSAMLデータ(略語):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName">
        <AttributeValue>alice</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response> 

サービスユーザの役割Deep Security as a Service (必須)

クレームにSAMLアサーションが含まれている必要があります。Attribute要素を含むNameの属性https://deepsecurity.trendmicro.com/SAML/Attributes/RoleAttributeValue要素が1〜10個の間です。Deep Security as a Serviceは属性値を使用して、ユーザのテナント、アイデンティティプロバイダ、および役割を決定します。1つのアサーションには複数のテナントの役割が含まれる場合があります。

サンプルのSAMLデータ(略語):

読みやすいようにAttributeValueエレメントに改行を入れていますが、クレームでは1行にする必要があります。

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/Role">
        <AttributeValue>urn:tmds:identity:[pod ID]:[tenant ID]:saml-provider/[IDP name],
            urn:tmds:identity:[pod ID]:[tenant ID]:role/[role name]</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

最大セッション期間 (オプション)

クレームに https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDurationName 属性と整数値の AttributeValue 要素を含む Attribute 要素が含まれているSAMLアサーションがある場合、セッションはその時間(秒)が経過すると自動的に終了します。

サンプルのSAMLデータ(略語):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration">
        <AttributeValue>28800</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

言語設定 (オプション)

要求に https://deepsecurity.trendmicro.com/SAML/attributes/PreferredLanguage という Name 属性の Attribute 要素が含まれ、サポートされている言語のいずれかと同じ文字列値の AttributeValue 要素が含まれるSAMLアサーションがある場合、 Deep Security as a Serviceはその値を使用してユーザの優先言語を設定します。 。

次の言語がサポートされます。

  • en-US (米国英語)
  • ja-JP (日本語)
  • zh-CN (簡体字中国語)

サンプルのSAMLデータ(略語):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/PreferredLanguage">
        <AttributeValue>en-US</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>