SAMLシングルサインオンを設定する

このページは従来のアカウントに適用されます。詳細を表示

現在、SAMLはサインオンおよびDeep Security as a Service https://app.deepsecurity.trendmicro.com/ へのアクセスでのみサポートされており、 Trend Micro Cloud One https://cloudone.trendmicro.com/.ではサポートされていません。

SAMLシングルサインオン(SSO)を使用するようにDeep Security as a Service設定すると、組織のポータルにサインインするユーザは、既存のDeep Security as a Serviceアカウントを使用せずにDeep Security as a Serviceにシームレスにサインインできます。また、SAMLシングルサインオンを使用すると、次のようなユーザ認証アクセス制御機能を実装できます。

  • パスワード強度または変更の強制
  • ワンタイムパスワード (OTP)
  • 2要素認証 (2FA) または多要素認証 (MFA)

Deep Security as a ServiceがSAML標準を実装した方法の詳細については、 About SAMLシングルサインオン(SSO)を参照してください。Azure Active DirectoryをIDプロバイダとして使用している場合は、 Azure Active Directoryを使用したSAMLシングルサインオンの設定を参照してください。

現時点で、 Deep Security as a Serviceは、SAML 2.0アイデンティティプロバイダ(IdP)で開始されるHTTP POSTバインドのみをサポートし、サービスプロバイダ(SP)が開始するログインフローではサポートされません。

Deep Security as a ServiceでSAMLシングルサインオンを使用するには、次の手順を実行する必要があります。

  1. 設定前の要件を設定する
  2. Deep Security as a ServiceのSAMLを設定する
  3. アイデンティティプロバイダの管理者に情報を提供する
  4. SAMLクレームの構造
  5. SAMLシングルサインオンをテストする
  6. サービスとIDプロバイダの設定

セットアップ前の要件を設定する

  1. Deep Security as a Serviceが適切に機能していることを確認してください。
  2. IDプロバイダの管理者に次のことを問い合わせます。
  3. ディレクトリサーバグループをDeep Security as a Serviceの役割にマッピングするための命名規則を確立します。
  4. IDプロバイダSAMLメタデータドキュメントを取得します。
  5. 必要なユーザ認証アクセス制御機能をポリシーに追加するよう依頼します。

SAMLシングルサインオンを使用したDeep Security as a Serviceテストされている、次のアイデンティティプロバイダをサポートするためのサポートが提供されています。

Deep Security as a ServiceのSAMLを設定する

Deep Security as a ServiceでのSAMLの設定の詳細は、次のとおりです。

IDプロバイダSAMLメタデータドキュメントをインポートする

Deep Security as a Serviceアカウントには、管理者と「SAML IDプロバイダの作成」権限の両方が必要です。

  1. [管理] 画面で、[ユーザ管理]→[アイデンティティプロバイダ]→[SAML] に移動します。
  2. [開始] をクリックします。
  3. [ファイルの選択] をクリックし、IDプロバイダによって提供されたSAMLメタデータドキュメントを選択して、[次へ] をクリックします。
  4. IDプロバイダの [名前] を入力し、[完了] をクリックします。

[ Roles ]ページが表示されます。

Deep Security as a ServiceをSAMLユーザのサービスロールとして作成する

想定されるユーザの種類ごとに役割を作成する必要があります。各役割は、IDプロバイダのディレクトリサーバに対応するグループがあり、グループのアクセス権限およびテナントの割り当てと一致する必要があります。

IDプロバイダのSAML統合では、グループのメンバーシップをSAMLクレームに変換するメカニズムが用意されます。クレームルールの詳細は、IDプロバイダに付属するドキュメントを確認してください。

役割の作成方法については、 ユーザの役割の定義を参照してください。

アイデンティティプロバイダの管理者に情報を提供する

以下のセクションでは、アイデンティティプロバイダの管理者がDeep Security as a Serviceのセットアップに対応するグループおよびルールを作成する方法について説明します。

「 Deep Security as a Service」サービスプロバイダのSAMLメタデータドキュメントをダウンロードします。

  1. [管理] 画面で、[ユーザ管理]→[アイデンティティプロバイダ]→[SAML] に移動します。
  2. SAMLサービスプロバイダの下にある[ ダウンロード]をクリックします。

ブラウザでDeep Security as a ServiceのサービスプロバイダSAMLメタデータドキュメント(ServiceProviderMetadata.xml)がダウンロードされます。

URNとDeep Security as a ServiceSAMLメタデータとしてIdentity Manager管理者に送信する

アイデンティティプロバイダの管理者にDeep Security as a ServiceのサービスプロバイダSAMLメタデータドキュメント、アイデンティティプロバイダのURN、およびDeep Security as a ServiceのURNを作成したサービスロールとして付与する必要があります。

ロールURNを表示するには、 の[管理]→[ユーザ管理]→[ロール ]の順に選択し、[URN]列を確認します。IDプロバイダのURNを確認するには、[管理]→[ユーザ管理]→[アイデンティティプロバイダ]→[SAML]→[アイデンティティプロバイダ] の順に選択し、[URN] 列を参照します。

アイデンティティプロバイダの管理者がDeep Security as a Serviceの役割に対応するグループを作成し、グループメンバーシップをSAML要求に変換するための必要なルールがあることを確認すると、SAMLシングルサインオンの設定が完了します。

必要に応じて、アイデンティティプロバイダの管理者に通知することもできます。 Deep Security as a ServiceがSAML要求の構造を要求

SAMLクレームの構造

次のSAML要求はDeep Security as a Serviceでサポートされています。

Deep Security as a Serviceのユーザ名(必須)

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName``Attributeエレメントと、1つのAttributeValueエレメントが含まれるSAMLアサーションが必要です。Deep Security as a Serviceは AttributeValue をDeep Security as a Serviceのユーザ名として使用します。

サンプルのSAMLデータ(略語):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName">
        <AttributeValue>alice</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response> 
</pre>

サービスユーザの役割Deep Security as a Service (必須)

クレームには、 https://deepsecurity.trendmicro.com/SAML/Attributes/RoleName 属性と1〜10個の AttributeValue 要素を持つ Attribute 要素を含むSAMLアサーションが必要です。

Deep Security as a Serviceは属性値を使用して、ユーザのテナント、アイデンティティプロバイダ、および役割を決定します。1つのアサーションには複数のテナントの役割が含まれる場合があります。

サンプルのSAMLデータ(略語):

読みやすいようにAttributeValueエレメントに改行を入れていますが、クレームでは1行にする必要があります。

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/Role">
        <AttributeValue>urn:tmds:identity:[pod ID]:[tenant ID]:saml-provider/[IDP name],
            urn:tmds:identity:[pod ID]:[tenant ID]:role/[role name]</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

最大セッション期間 (オプション)

クレームに https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDurationName 属性と整数値の AttributeValue 要素を含む Attribute 要素が含まれているSAMLアサーションがある場合、セッションはその時間(秒)が経過すると自動的に終了します。

サンプルのSAMLデータ(略語):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration">
        <AttributeValue>28800</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

言語設定 (オプション)

要求に https://deepsecurity.trendmicro.com/SAML/attributes/PreferredLanguage という Name 属性の Attribute 要素が含まれ、サポートされている言語のいずれかと同じ文字列値の AttributeValue 要素が含まれるSAMLアサーションがある場合、 Deep Security as a Serviceはその値を使用してユーザの優先言語を設定します。 。

次の言語がサポートされます。

  • en-US (米国英語)
  • ja-JP (日本語)

サンプルのSAMLデータ(略語):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/PreferredLanguage">
        <AttributeValue>en-US</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

SAMLシングルサインオンをテストする

アイデンティティプロバイダサーバのシングルサインオンログインページに移動し、そこからDeep Security as a Serviceにログインします。Deep Security as a Serviceコンソールにリダイレクトする必要があります。

SAMLシングルサインオンが機能していない場合は、次の手順に従ってセットアップを確認してください。

  1. 「設定前の要件を設定する」セクションを確認します。
  2. ユーザが正しいディレクトリグループに属していることを確認します。
  3. IDプロバイダと役割のURNがIDプロバイダのフェデレーションサービスで正しく設定されていることを確認します。

サービスとIDプロバイダの設定

Deep Security as a ServiceがサーバおよびIDプロバイダ証明書の有効期限と、SAMLのシングルサインオンを介して追加された非アクティブなユーザアカウントが自動的に削除されるまでにどれくらいの時間が経過する必要があるかを事前に通知する間隔を設定できます。

これらの設定を変更するには、[管理]→[システム設定]→[セキュリティ]→[アイデンティティプロバイダ] に移動します。