注意
注意
Cloud Oneコンソールを介してConformityにアクセスしている場合は、Cloud One User Managementを参照してください。このドキュメントはConformityスタンドアロンのお客様にのみ該当します。
[User Access]
シングルサインオン (SSO) を使用すると、1回のログインで1つの資格情報セットだけで、複数のアプリケーションやウェブサイトと共にTrend Micro Cloud One™ – Conformityに安全に認証してアクセスできます。ConformityはSAML 2.0 SSO標準をサポートしています。
ConformityのSSOを有効にするには、以下の2つのステップがあります:

コンテンツ

ステップ1: ドメイン検証リクエストを送信

お客様のOrganizationでSSOを設定できるようにするために、まずドメインを検証する必要があります。
組織のプライマリドメインを決定し、support@cloudconformity.com にメールを送信するか、サポートチケットを作成してSSOリクエスト - ドメイン検証というタイトルを付けてください。
step-1=eaaea781-91eb-4ecc-8807-3053d101b077.png
ドメイン名を確認してください:
  • お使いのOrganizationが所有しています
  • 無料のパブリックドメインであってはなりません。例: gmail.com、rediffmail.com、およびhotmail.com
  • 正しい形式である必要があります。例: abc.abc.com
  • Mozillaのパブリックサフィックスリストに従って、トップレベルドメインまたはセカンドレベルドメインである必要があります。例: .com、.co.uk
ドメインを検証し、SSO設定を有効にしたら、確認メールで通知します。
同じIDPインスタンス内で管理されている複数のメールドメインのサポートが必要な場合は、チケットでサポートチームにお知らせいただければ、対応いたします。

ステップ2: SSO設定を構成する

ドメイン検証の確認を受け取ったら、サインインしてConformityにアクセスし、[Administration] > [SSO]に移動して、以下の設定を構成し、SSOを有効化してください。
  1. [Organisation domain]: 検証済みのOrganizationドメイン名がデフォルトで入力されます。ドメイン名を更新するには、サポートチケットを作成するかメールを送信して、再度検証プロセスを行う必要があります。
  2. [Identify provider]: 組織のアイデンティティプロバイダをドロップダウンリストから選択してください。組織内のすべてのユーザがConformityにアクセスするために同じSSOプロバイダを使用するようにしてください。現在、Okta、ADFS、Microsoft Entra ID (Premium Azureサブスクリプションが必要)、Centrify、Keycloak、およびOneLoginをサポートしています。
    step-2=155f7c81-6d54-469d-9385-6b0ea18dfc89.png
    注意
    注意
    お使いのアイデンティティプロバイダがリストにない場合で、SAML 2.0をサポートしている場合は、サポートに連絡して設定を依頼してください。私たちは、SP-initサインオン (認証はCC SSOページから開始されます: https://www.cloudconformity.com/identity/saml-sign-in.html) でSAML 2.0に準拠した任意のアイデンティティプロバイダをサポートしています。また、アイデンティティプロバイダがDefault Relay State値をサポートしている場合、IdP-initサインオン (認証はアイデンティティプロバイダのユーザダッシュボードから開始されます) もサポートしています。
    ドロップダウンリストから利用できるオプションに加えて、LTSサポート付きで以下のアイデンティティプロバイダーを標準でサポートしています:
    1. Microsoft ADFS (Microsoftがサポートしているすべてのバージョン)
    2. AWS SSO
    3. OneLogin
    4. Microsoft Entra ID
    5. OpenAM
    6. IBM Security Access Manager
    7. PingFed
    詳細については、OktaおよびADFSの統合ガイドを参照するか、SSO@cloudconformity.comにメールを送信して、Microsoft Entra ID、Centrify、Keycloak、およびOneLoginとのConformityの統合に関する指示を受け取ってください。
  3. [Mappings:]は、アイデンティティプロバイダのSAMLレスポンス属性と値をConformityにマッピングします。選択したアイデンティティプロバイダとConformityを統合して、SAMLレスポンス属性と値を取得できるようにしてください。
    • [Cloud Conformity attribute] - 選択されたアイデンティティプロバイダのユーザ属性と一致させるConformityユーザ属性。
    • [Provider SAML response attribute] - 選択したアイデンティティプロバイダの同等の値を入力して、Conformity属性と一致させます。例えば、[Cloud Conformity attribute] > [User first name]の場合、選択したアイデンティティプロバイダユーザの名前に使用される属性を入力します。
    • [Cloud Conformity value:]クラウドConformityユーザRole値をプロバイダSAMLレスポンスRole値と一致させます。
    • [Provider SAML response value]: プロバイダのSAMLレスポンスRole値はCloud Conformity valueに相当します。 例えば、[Conformity value][User role as READ_ONLY]の場合、アイデンティティプロバイダのRead-onlyアクセスのRoleに使用される属性を入力します。 ConformityのUser Rolesの詳細については、Roles and Permissionsを参照してください。
    • [Default Role]: ドロップダウンリストから属性を選択して、アイデンティティプロバイダによってRoleが割り当てられていないすべてのSSOユーザにデフォルトのConformityRoleを割り当てます。
    注意
    注意
    [Cloud Conformity attribute] > [User role as ADMIN] をマッピングすることは、Organizationへの管理アクセスを保持するために必須です。Default RoleとしてAdminを選択するか、SAMLプロバイダRole値にマッピングすることができます。
  4. [SAML response signature/encryption order:]を選択
    • [Sign then encrypt -]のADFSアイデンティティプロバイダー用
    • [Encrypt then sign -]のすべての非ADFSアイデンティティプロバイダーに対して
  5. [SAML logout request encryption algorithm]を選択してください:
    • [SHA512 -]はすべての非ADFSアイデンティティプロバイダー向け
    • [SHA256 -]のADFSアイデンティティプロバイダー用
  6. [Identity provider metadata.]をコピーして貼り付けてください。メタデータの取得方法や統合手順をリクエストするメールの送信方法については、選択したSAMLプロバイダの統合ガイドを参照してください。
  7. [Test run settings]をクリックして、認可と認証の設定をテストしてください。
    step-7=250a3232-4f8c-42fd-8635-1e05257afbde.png
    注意
    注意
    SSO設定を更新するたびに、新しい設定を保存する前にテスト実行を行う必要があります。テスト実行が成功するまで、SSO設定を保存するオプションは無効になります。テスト実行が成功すると、[Save SSO settings]ボタンがクリック可能になります。
  8. [Save SSO settings]をクリックしてください。
    step-8=e664ae21-0021-4371-980d-b1a7b5ee7785.png
  9. 設定を確認するには[Yes]をクリックします。正常にアクティベーションされると、通知が[SSO Settings]ページの上部に表示されます。
  10. 通知から[Perform a sign in via Identity provider]リンクをクリックして、SSOを使用してCloud Conformityにサインインします。
    step-10=28519ced-8269-4ca1-99ca-940a7d8244eb.png
SSOを設定したら、サポートチケットを発行してローカル認証を無効にすることをお勧めします。

よくある質問

[Q: Do you support OAuth authentication?]
いいえ。SAML 2.0が関係ない特定のユースケースがある場合は、Customer Successチームに連絡してください。ガイダンスを提供するか、機能リクエストをRelayします。
[Q: Do you provide standard service-provider metadata?]
[Q: Which nameid formats do you support?]
A: できれば urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress を使用してください。ただし、値がメールアドレスまたはその他の一意のものであり、メールアドレスが別の一意の属性として送信される限り、urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified でも対応可能です。
[Q: Which SAML attributes do you support?]
A: メールアドレス (できればnameid) 以外に、Conformityは任意のSAML属性から名、姓、およびユーザRoleをマッピングできます。
[Q: Do you need SAML response/assertions to be encrypted/signed?]
A: 応答には署名が必要ですが、暗号化は任意です。
[Q: Can we use multiple identity providers?]
A: はい。ただし、同じOrganization内で異なるアイデンティティプロバイダを使用しているユーザは完全に分離されておらず、個人を特定できる情報が他のユーザにアクセス可能であることに注意してください。
[Q: Can we use local Conformity username/passwords alongside SSO?]
A: はい。ただし、SSOの設定後はローカル認証を無効にすることをお勧めします。これはカスタマーサポートポータルからリクエストできます。
[Q: What access level do SSO users get?]
SSOユーザはConformityで次のいずれかの役割を取得できます:
  • Admin: 組織およびAll AccountsへのFull Access
  • Power user: All AccountsへのFull Access
  • Read-only: 全てのAll AccountsへのRead-onlyアクセス
  • カスタム: デフォルトではNo Accessですが、AdminによってConformityユーザ管理においてアカウントレベルの権限 (フル、Read-only、なし) を付与することができます。
アイデンティティプロバイダによっては、GroupメンバーシップまたはRole属性を送信するように設定でき、前述のRoleにマッピングされる値を持つことができます。
[Q: I have my own internal identity management, how would authorization work with SSO?]
A: Cloud Conformityは、ユーザがアクセスを許可するためにサインインする役割を受け入れます。つまり、ユーザがAdminとしてサインインすると、Adminとして扱われます。
[Q: What if we have groups of users that require access to separate sets of accounts?]
A: ユーザ権限を管理するためのAdminグループを1つ作成し、他の全員をCustom Roleにマッピングすることができます。Conformityユーザ管理でアカウントレベルの権限を管理できます。
[Q: What if we have a lot of users with custom permissions? It's not efficient to wait for all of them to sign in before we can manage their permissions.]
A: カスタム権限を持つユーザが多い場合は、まずすべてのアカウントを追加し、次にカスタマーサポートポータルを通じてCSV形式での一括ユーザインポートをリクエストしてください。
[Q: How does user provisioning work when SSO is enabled?]
A: ConformityはJust in Timeユーザプロビジョニングをサポートしています。SSO認証が成功すると、Conformityは提供された名前、姓、およびRoleで既存のユーザを更新するか、提供された属性で新しいユーザを作成します。
[Q: How can I revoke an SSO user in Conformity?]
A: SSO構成でローカルサインオン (ユーザ名/パスワード) が許可されている場合、Conformity UIからAdminとしてユーザを取り消すことができます。ユーザがアイデンティティプロバイダによって完全に管理されている場合は、サポートチケットを発行する必要があります。
[Q: Do you support break-glass credentials in case our identity provider is not working or SSO configuration requires an update?]
A: はい。カスタマーサポートポータルを通じてローカル認証情報の削除をリクエストする際に、ユーザ認証情報を保持したい旨を伝えることができます。