このページのトピック
Azure AD Saml-SSO Integration
Trend Micro Cloud One™– Conformity を Azure ADのカスタムSAML 2.0アプリとして追加するには
Conformity をエンタープライズアプリケーションとして Azure AD に追加し、SAMLシングルサインオンを有効にする手順は次のとおりです。
- 管理者としてAzureポータルにサインインします。
- Azure Active Directoryに移動します。
- Enterprise Applicationsを開きます。
- [ + New application]をクリックします。
- + Create your own applicationをクリックします。
- Name フィールドに名前を入力します。たとえば、"Conformity"
- 「Integrate any other application you don’t find in the gallery」を選択します。
- [Create]をクリックします。**"
- アプリケーションの作成後、このロゴを[Properties]セクションにアップロードして保存します。
- [Users and groups]セクションで、「Cloud Conformity」にアクセスするグループを割り当てます。
- [Single sign-on]セクションを開きます。
- [SAML-based Sign-on]を選択します。**"
- 「 Basic SAML Configuration 」を編集します。
- Identifier:「https://www.cloudconformity.com」と入力します。
- Reply URL:「https://www.cloudconformity.com/v1/proxy/sso/saml/consume」と入力します。
- サービスの地域と電子メールドメインに応じて、Relay Stateに {region}:{domain} を入力します。
- {region} をサービス地域に置き換える必要があります。つまり、 us-west-2、 ap-southeast-2、または eu-west-1の3つのリージョンのいずれかを使用します。
- {domain} は、ユーザのメールのドメイン部分に置き換える必要があります。例: us-west-2:your- company.com
- 「User Attributes & Claims」を編集します。
- [Unique User Identifier]フィールドのソース属性として[user.mail]を選択します。
- 次の追加の要求が存在することを確認します。
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress :user.mail
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname :user.givenname
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name :user.userprincipalname
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname:user.surname
- [ SAML Signing Certificate]で、 Federation Metadata XML ファイルをダウンロードします。これは、 ConformityでのSSO設定に必要です。
- 上部の検索バーで、 ** App Registrations **を検索します。
- [ All Applications ]タブを選択し、このガイドの **手順5 ** で作成したアプリケーション(「Cloud Conformity」)を選択します。
- [ Manifest ]をクリックして、 Manifest Editorを開きます。
- ** groupMembershipClaims ** をnullから ** SecurityGroup IE **groupMembershipClaims: _SecurityGroup_に変更します。
- マニフェストを保存します。
-
Azureの Role Groupsを Conformity Role Mappingsに一致させます
Conformity の4つの役割のそれぞれに、 Azure Active Directoryで定義されたグループが必要です。
[Users and groups]で各グループを開き、 "Object ID"をメモして、 Azure AD グループをCloud Conformity の役割に自動的にマッピングします。 Conformity でサポートされる役割は次のとおりです。 -
Admin:組織管理者、すべてへのフルアクセス
- Power-user:すべてのアカウントへのフルアクセス、組織レベルの設定へのアクセス権なし、新しいアカウントの追加はできません
- Read-only: Read-only アクセス(組織レベルの設定へのアクセスは不可)
- Custom:初期設定ではアクセス権はありませんが、組織管理者は個々のアカウントに対する読み取り専用アクセス権またはフルアクセス権を付与できます。
Azure ADにConformityを追加したら、ConformityでSSOを設定するの手順2以降の手順に従います。
ConformityでセルフサービスSSOを設定するには、次の情報を書き留めます。
-
手順21でセットアップ中にダウンロードされる FederationメタデータXMLファイル。 2.オブジェクトID ** (管理者、パワーユーザ、読み取り専用、および制限付きグループ用) 3.それぞれのロール属性値はオブジェクトID ** Azure ADの関連グループのUUID形式
-
次のような各キー属性の要求名:
- 名:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
- 苗字:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
- メールアドレス:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- Role:http://schemas.microsoft.com/ws/2008/06/identity/claims/groups