SAMLシングルサインオン(SSO)について

このページは従来のアカウントに適用されます。詳細を表示

現在、SAMLはサインオンおよびDeep Security as a Service https://app.deepsecurity.trendmicro.com/ へのアクセスでのみサポートされており、 Trend Micro Cloud One https://cloudone.trendmicro.com/ではサポートされていません。

SAMLシングルサインオンを実装するには、 SAMLシングルサインオンの設定 または を参照してください。SAMLシングルサインオンをAzure Active Directoryで設定します。

SAMLとシングルサインオンとは何ですか?

Security Assertion Markup Language(SAML)はオープンな認証規格であり、ユーザID情報をある当事者から別の当事者に安全に交換できるようにします。SAMLはシングルサインオンをサポートしています。シングルサインオンは、単一のユーザによるログインが複数のアプリケーションやサービスで機能するようにするテクノロジです。Deep Security as a Serviceの場合、SAMLシングルサインオンを実装すると、組織のポータルにサインインするユーザは、既存のDeep Security as a Serviceアカウントを使用せずにDeep Security as a Serviceにシームレスにサインインできるようになります。

SAMLシングルサインオンはDeep Security as a Serviceでどのように機能しますか

次のセクションでは、SAMLシングルサインオンがDeep Security as a Serviceでどのように機能するかについて説明します。

信頼関係を確立する

SAMLシングルサインオンでは、両当事者(IDプロバイダサービスプロバイダ) の間で信頼関係が確立されます。IDプロバイダのディレクトリサーバにはユーザID情報が保存されています。サービスプロバイダ(この場合はDeep Security as a Service)は、アイデンティティプロバイダのユーザIDを使用して、独自の認証およびアカウント作成に使用します。

アイデンティティプロバイダとサービスプロバイダは、 SAMLメタデータドキュメント を相互に交換することで信頼を確立します。

現時点で、 Deep Security as a Serviceは のみをサポートしています( のみ、SAML 2.0アイデンティティプロバイダ(IdP)で開始されたログインフローのHTTP POSTバインディングであり、サービスプロバイダ(SP)で開始されたログインフローではありません)。

ユーザIDからのサービスアカウントDeep Security as a Serviceの作成

Deep Security as a ServiceとアイデンティティプロバイダがSAMLメタデータドキュメントを交換し、信頼関係を確立すると、 Deep Security as a Serviceはアイデンティティプロバイダのディレクトリサーバ上のユーザIDにアクセスできます。ただし、 Deep Security as a Serviceが実際にユーザのIDからアカウントを作成できるようにするには、アカウントの種類を定義する必要があり、データ形式を変換するための手順を実行する必要があります。これは、グループ役割クレームを使用して実行されます。

グループと役割では、 Deep Security as a Serviceユーザアカウントに付与されるテナントとアクセス権限を指定します。グループは、IDプロバイダのディレクトリサーバ上に作成されます。IDプロバイダは、1つ以上のグループにユーザIDを割り当てます。役割は、 Deep Security as a Serviceコンソールで作成されます。各Deep Security as a Serviceアカウントの種類ごとにグループと役割の両方が存在し、そのアクセス権とテナントの割り当てが一致する必要があります。

ユーザの種類ごとに一致するグループと役割が設定されると、 Deep Security as a Serviceが認識できる形式にグループデータ形式を変換する必要があります。これは、IDプロバイダによりクレームを使用して実行されます。この要求には、グループデータ形式をDeep Security as a Serviceの一致する役割に変換するための手順が含まれています。

Deep Security as a Serviceで必要なSAMLクレーム構造の詳細を参照してください。

このプロセスを次に示します。

Deep Security as a Serviceのクレームにグループデータを変換するアイデンティティプロバイダ

Deep Security as a ServiceでSAMLシングルサインオンを実装する

Deep Security as a Serviceと、SAMLメタデータドキュメント交換を使用するアイデンティティプロバイダとの間に信頼関係が確立されると、一致するグループと役割が作成され、グループデータを役割に変換するクレームが送信され、 Deep Security as a Serviceは次のことを実行できます。 Deep Security as a ServiceをSAMLシングルサインオンを使用して組織のポータルからサインインするユーザのサービスアカウントとして自動的に作成します。

SAMLシングルサインオンの実装の詳細については、 SAMLシングルサインオンの設定を参照してください。