SAMLシングルサインオンについて
Trend Cloud Oneは、Security Assertion Markup Language 2.0 (SAML) と呼ばれるオープンな認証標準を使用したシングルサインオン (SSO) をサポートします。 SSOを使用すると、ユーザは1セットの資格情報を使用してアプリケーションへの認証を行うことができ、組織は、組織のIDプロバイダを使用してアプリケーションへの従業員のアクセスをより簡単に制御できます。
Trend Cloud One SAMLでは、 アイデンティティプロバイダが開始するSSOのみがサポートされます。Trend Cloud Oneにアクセスするには、IDプロバイダ経由でログインする必要があります。
以前は、Trend Cloud One Workload SecurityにSAMLシングルサインオンを直接設定できました。 SAMLを使用してTrend Cloud Oneのすべてにログインできるようになりました。ただし、Trend Cloud One全体に対するこの新しいシングルサインオンは、個別に設定する必要があります。
Trend Cloud Oneでは、SAML SSOとは別の通常のWebインタフェースとTrend Cloud Oneの認証情報を使用したネイティブサインオンが引き続きサポートされます。
SAMLシングルサインオンを実装するには、SAMLシングルサインオンの設定を参照してください。
Trend Cloud OneでのSAMLシングルサインオンの仕組み
SAMLシングルサインオンでは、IDプロバイダとサービスプロバイダの2者間の信頼関係を確立します。
IDプロバイダは、ユーザID情報をディレクトリサーバに格納します。サービスプロバイダ (この場合はTrend Cloud One) は、IDプロバイダからの要求を受け入れて、ユーザに代わってサービスプロバイダに対する認証を行います。
IDプロバイダとサービスプロバイダは、SAMLメタデータドキュメントを相互に交換することで信頼を確立します。
Trend Cloud OneとIDプロバイダがSAMLメタデータドキュメントを交換し、信頼関係を確立すると、Trend Cloud OneはIDプロバイダからのアサーションを受け入れ、それを使用してTrend Cloud Oneアカウントへのユーザの認証を行うことができます。 Trend Cloud Oneでは、メタデータドキュメントに加えて、ユーザを認証する方法を知るために、アサーション内のデータを解釈するための指示が必要です。これは、 マッピング、ロール、クレームを使用して実行されます。
- マッピングは、Trend Cloud Oneの属性をIDプロバイダのユーザ属性に関連付けるために使用されます。
- クレームは、IDプロバイダからアサーションで提供されるユーザに関する情報です。
- ロールでは、IDプロバイダのユーザグループをTrend Cloud Oneアカウントのロールにマッピングする方法を指定します。
Trend Cloud Oneでは、次のマッピングを使用します。
- Name attribute (オプション): ユーザの名前を含むクレーム属性を指定します。これは表示目的で使用されます。
- ロケール属性 (オプション): ユーザのロケールを含むクレーム属性を指定します。 Trend Cloud Oneのロケール設定に使用します。
- タイムゾーン属性 (オプション): ユーザのタイムゾーンを含むクレーム属性を指定します。 Trend Cloud Oneのタイムゾーン設定に使用します。
- Role attributes: ユーザが属するグループを含むクレーム属性を指定します。これは、役割マッピング値とともに使用され、ユーザがアクセスできるアカウント内の役割を決定します。
- Group: これは、ユーザが属しているグループ (ロールマッピングで指定された属性から読み取られる) をTrend Cloud Oneアカウントのロールにマッピングする方法を指定する名前と値のペアのリストです。グループは、アカウント内の1つのTrend Cloud Oneロールにのみ割り当てることができます。
Trend Cloud OneのIDプロバイダの設定は、特定のTrend Cloud Oneアカウントに関連付けられています。つまり、役割マッピングで指定する役割は、現在のTrend Cloud Oneアカウントのものである必要があります。同じIDプロバイダを使用して複数のアカウントにログインするには、設定情報をTrend Cloud Oneアカウントごとに個別に追加する必要があります。
Trend Cloud Oneはアサーションを受信すると、マッピングを使用してユーザが属しているグループを読み取り、ユーザがアクセスできるTrend Cloud Oneのロールにマッピングします。 IDプロバイダが設定されているすべてのTrend Cloud Oneアカウントに対してこのマッピングを行い、Trend Cloud Cloud Oneへのログインに使用できるアカウントとロールのリストをユーザに提供します。
複数のロールまたはTrend Cloud Oneアカウントを持つユーザの場合、IDプロバイダからの単一のアサーションを介して、すべてのロールとアカウントへのアクセス権を付与できます。ただし、Trend Cloud Oneアカウントはそれぞれ固有のIDプロバイダ設定に関連付けられているため、アクセスを有効にするには、IDプロバイダを使用して各アカウントを個別に設定する必要があります。
設定が完了すると、Trend Cloud Oneはアサーションで提供されるマッピングを使用して、ユーザがログインできるすべてのロールとアカウントをリストします。
Trend Cloud Oneから削除された役割は、IDプロバイダの設定には反映されません。 Trend Cloud OneでIDプロバイダに移動し、削除された役割の横にある警告のヒントを確認する必要があります。このマッピングに関連付けられているユーザは、Trend Cloud Oneにログインできません。マッピングを有効な役割に手動で更新するか、マッピングを完全に削除する必要があります。
Trend Cloud OneにSAMLシングルサインオンを実装する
SAMLメタデータドキュメント交換を使用してTrend Cloud OneとIDプロバイダの間で信頼が確立されると、ユーザはSAMLシングルサインオンを使用して、組織のポータルからTrend Cloud Oneにログインできるようになります。
詳細については、SAMLシングルサインオンを設定するを参照してください。
[SAMLユーザ]タブ
[SAMLユーザ]タブには、アカウントにアクセスしたSAMLユーザが読み取り専用で表示されます。この機能を使用すると、SAML経由でアカウントにログインしているユーザを確認できます。また、監査ログに記述された対応する処理とSAMLユーザIDを相互参照することもできます。
[SAMLユーザ]タブには、次の情報が表示されます。
- Name: SAMLユーザのNameID属性です。
- Role: SAMLユーザがアカウント内で最後に引き受けた役割。
- Last Sign In: SAMLユーザが最後にアカウントにアクセスした日付
- ID: Trend Cloud OneがそのSAMLユーザに対して使用する識別子です。この識別子は監査ログのプリンシパルURNに追加され、SAMLユーザが実行した処理の監査に使用できます。
このタブからSAMLユーザを編集または削除することはできません。SAMLユーザが1年以内にアカウントにアクセスしていない場合、リストから削除されます。
このページにアクセスするには
- アカウントの横にあるドロップダウンからAccount Settingsを選択します。
- 左側のウィンドウでUsersを選択します。
- SAMLを選択します。