Microsoft Entra ID Saml-SSOの統合
このページのトピック
Trend Micro Cloud One™ – ConformityをカスタムSAML 2.0アプリとしてMicrosoft Entra IDに追加するには
ConformityをMicrosoft Entraエンタープライズアプリケーションとして追加し、SAMLシングルサインオンを有効にする手順は次の通りです。
- Azure Portalに管理者としてサインインします
- [Microsoft Entra ID] に移動します
- [Enterprise Applications] を開きます
- [+ New application] をクリックします
- [+ Create your own application] をクリックします。
- [Name] フィールドに名前を入力します。例: Conformity
- [Integrate any other application you don’t find in the gallery] を選択します。
- [Create] をクリックします
- アプリケーションが作成されたら、このロゴを [Properties] セクションにアップロードして保存します。
- [Users and groups] セクションで、「Cloud Conformity」へのアクセスを許可するグループを割り当てます。
- [Single sign-on] セクションを開きます。
- [SAML-based Sign-on] を選択します。
- 「Basic SAML Configuration」を編集します。
- 識別子: "https://www.cloudconformity.com"と入力します。
- 応答URL: 「https://www.cloudconformity.com/v1/proxy/sso/saml/consume"」と入力します。
- サービスの地域とメールドメインに応じて、Relay Stateに「 ** {region}:{domain} ** 」と入力します。
- ** {region} ** はサービスの地域に置き換えてください。つまり、 us-west-2、 ap-southeast-2、またはeu-west-1の3つのリージョンのいずれかを使用します。
- ** {domain} ** は、ユーザメールのドメイン部分に置き換えてください (例: us-west-2:your-company.com)。
- 「User Attributes & Claims」を編集します。
- [Unique User Identifier] フィールドのソース属性として [user.mail]を選択します。
- 次の追加の要求が存在することを確認します。
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress - value: user.mail
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname - value: user.givenname
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name - value: user.userprincipalname
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname - value: user.surname
- [SAML Signing Certificate]で、 Federation Metadata XML ファイルをダウンロードします。これは、 ConformityでのSSO設定に必要です。
- 上部の検索バーで、「App Registrations」を検索します。
- [All Applications] タブを選択し、このガイドの「手順5」で作成したアプリケーション、つまり「Cloud Conformity」を選択します。
- [Manifest ]をクリックして、 Manifest Editorを開きます。
- groupMembershipClaims をnullから SecurityGroup (つまり、 groupMembershipClaims: SecurityGroup) に変更します。
- マニフェストを保存します。
-
Conformityロールマッピングと一致するようにAzureでロールグループを設定する
4つのConformityロールのそれぞれに、Microsoft Entra IDで定義されたグループが必要です。 [ユーザとグループ] で各グループを開き、[オブジェクトID] をメモして、Microsoft Entraグループをクラウド適合性ロールに自動的にマッピングします。 Conformityでサポートされる役割は次のとおりです。 -
Admin: 組織管理者、すべてへのフルアクセス
- Power-user: すべてのアカウントへのフルアクセス権、組織レベルの設定へのアクセス権なし、新しいアカウントの追加はできません
- Read-only: すべてのアカウントへのRead-onlyアクセス権、組織レベルの設定へのアクセス権なし
- Custom: 初期設定ではアクセス権なし
Conformity が Microsoft Entra ID に追加されたら、「ConformityでSSO設定を構成する」の手順2以降の手順に従います。
ConformityでセルフサービスSSOを設定するには、次の情報をメモしておきます。
- セットアップの手順20でダウンロードしたFederationメタデータXMLファイル。
- 管理者、パワーユーザ、読み取り専用、および制限付きグループのオブジェクトID。
-
各role属性値は、関連するMicrosoft EntraグループのオブジェクトIDをUUID形式で表したものです。
-
各キー属性のクレーム名は次のとおりです。
- 名: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
- 姓: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
- メールアドレス: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- Role: http://schemas.microsoft.com/ws/2008/06/identity/claims/groups