Trend Cloud One に、[ID] および [アカウント] へのフルアクセス権限でログインします。
[管理]を選択します。
左側の IDプロバイダをクリックします。
[ Download Metadata XML for Trend Micro Cloud One] をクリックするか、リンクを右クリックしてファイルを保存するオプションを選択します。

このXMLファイルは、SAMLを設定するためにADFSにアップロードされます。証明書利用者信頼の追加の説明に従って、後で別のXMLファイルを使用してTrend Cloud Oneにアップロードします。

ADFSでSAMLを設定する

詳細については、Microsoftのドキュメントを参照してください。

次の手順を実行するには、有効なメールアドレスを持つユーザがActive Directoryに存在し、少なくとも1つのグループに関連付けられている必要があります。

証明書利用者信頼の追加

ADFS管理コンソールを開き、 [証明書利用者信頼の追加]をクリックします。 [ Claimsaware ] (使用可能な場合) を選択し、[ Start] をクリックします。
[ ファイルから証明書利用者に関するデータをインポートする ]を選択し、Trend Cloud Oneメタデータファイルをアップロードします。
Trend Cloud Oneであることを示す表示名を入力し、[ Next] をクリックします。
アクセス制御ポリシーを選択します。たとえば、全員、特定のグループなどを許可します。後続のいずれかの手順で、グループ要求を定義します。
最後のページに到達するまでNextをクリックし、Finishをクリックします。

クレーム発行ポリシーの追加

[ Relying Party Trusts ]で、[ Edit Claim Issuance Policy ]をクリックします。

名前ID

[ Add Rule ]をクリックし、[ Send LDAP Attributes as Claims ]を選択して、「E-mail to E-mail」など、ルールの名前を入力します。
属性ストアに [Active Directory] を選択し、LDAP属性のE-Mail-Addressesを送信クレームの種類のE-Mail Addressにマッピングして、[完了] をクリックします。
[ Add Rule] をクリックし、[Transform an Incoming Claim] を選択し、「E-mail to Name ID」など、任意のルール名を入力します。
[受信] で、[ E-Mail Address]を選択します。送信要求の種類として、 [ Name ID] を選択します。送信名IDの形式として、 [Email]を選択します。 [ Pass through all Claim Value ] が選択されていることを確認し、 [ Finish] をクリックします。

グループのクレーム

[ Add Rule] をクリックし、[ Send Group Membership as a Claim] を選択し、「グループメンバーシップ」など、任意のルール名を入力します。
ユーザが所属するグループを選択します。Outgoing claim typeにはGroupを選択します。Outgoing claim valueには、このクレームの名前を入力します。例えば、group。この値を後で使用するためにメモしておいてください。

名前のマッピング

[ Add Rule ]をクリックし、[ Send LDAP Attributes as Claims ]を選択して、「Display Name to Name」などのルールの名前を入力します。
ストアに [ Active Directory ] を選択し、LDAP属性のDisplay-Nameを [Name] にマッピングし、 [OK] をクリックします。

詳細については、属性のクレームガイドを参照してください。

Relayステータス

現在、この機能はTrend Cloud One Workload Securityでのみ動作します。

ユーザがサインイン時にTrend Cloud One Workload Securityに自動的に移動するようにするには、次の手順を実行します。それ以外の場合は、ADFS用メタデータXMLのダウンロードセクションに進んでください。

ADFS 2.0の手順

ADFS 2.0ではなくADFS 3.0を使用している場合は、ADFS 3.0の手順に進んでください。それ以外の場合は、次の手順を実行します。

KB2681584 （アップデートロールアップ2）または KB2790338 （アップデートロールアップ3）をインストールして、 Relay Stateをサポートします。
テキストエディタで次のファイルを開きます: %systemroot%\inetpub\adfs\ls\web.config
web.config ファイルの microsoft.identityServer.web セクションに、 useRelyStateForIdpInitiatedSignOn に関する次の行を追加します。 <microsoft.identityServer.web> ... <useRelayStateForIdpInitiatedSignOn enabled="true" /> ...</microsoft.identityServer.web>

変更を保存します。

インターネットインフォメーションサービス（IIS）を再起動するには、コマンドラインで iisresetと入力します。
Windowsコンピュータでサービスアプリケーションを開き、[ Active Directory Federation Services] を右クリックして、[再起動] をクリックします。

ADFS 3.0の手順

テキストエディタで次のファイルを開きます: %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config
web.config ファイルの microsoft.identityServer.web セクションに、 useRelyStateForIdpInitiatedSignOn に関する次の行を追加します。 <microsoft.identityServer.web> ... <useRelayStateForIdpInitiatedSignOn enabled="true" /> ...</microsoft.identityServer.web>

変更を保存します。

Windowsコンピュータでサービスアプリケーションを開き、[ Active Directory Federation Services] を右クリックし、[再起動] の順にクリックします。

ADFS 2.0とADFS 3.0の両方に共通の手順

PowerShellプロンプトで、 Set-AdfsProperties -EnableRelayStateForIdpInitiatedSignOn $trueと入力します。
Windowsの[ファイル名を指定して実行]ダイアログで、%windir%\ADFS\Microsoft.IdentityServer.msc と入力してADFS管理アプリケーションを開きます。
AD FSの下のアプリケーションの左側で、 Relying Party Trusts フォルダを選択します。
信頼を右クリックし、[ Properties ]を選択します。
[ Identifiers]を選択します。
証明書利用者識別子 ( https://saml.cloudone.trendmicro.comなど) を書き留めます。
URLエンコーダ（https://www.urlencoder.org/など）を使用してRPIDをエンコードします。
Valid Relay States テーブルから選択したリレー状態をエンコードします (たとえば、 /workload は %2Fworkloadになります)。
値 RelayState=<Your encoded Relay State> をエンコードします (例: RelayState%3D%252Fworkload)。
これで、完全なRelayState文字列: ?RelayState=RPID%3<Your encoded RPID>%26RelayState%3D%252Fworkload (例: ?RelayState=RPID%3https%3A%2F%2Fsaml.cloudone.trendmicro.com%26RelayState%3D%252Fworkload) を作成できます。
SAML SSOを使用する場合は、RelayState文字列をURL https://YOUR-DNS/adfs/ls/idpinitiatedsignonの末尾に追加します。 https://YOUR-DNS/adfs/ls/idpinitiatedsignon?RelayState=RPID%3https%3A%2F%2Fsaml.cloudone.trendmicro.com%26RelayState%3D%252Fworkloadのような形式である必要があります

コンソールのテーマを設定する

テーマクエリパラメータの指定はオプションです。これにより、ユーザはアイデンティティプロバイダのSAML応答から取得する RelayState で特定のテーマを指定できます。有効なテーマの値は、明るい色と暗い色です。 [ダーク] を選択した場合、Trend Cloud Oneコンソールはダークモードで開きます。 themeパラメータが指定されていない場合、ブラウザは初期設定でライトモードに設定されます。または、ユーザのローカルブラウザ設定内に保存された内容が使用されます。

テーマを指定するには、SAML応答の RelayState に、 dark または lightのいずれかの値を持つクエリパラメータとして theme を含める必要があります。

RelayStateの場合:

/theme=dark 暗いテーマの場合
/theme=light ライトテーマ用

Relayの状態をテストする

ブラウザで、 Relay Stateで作成したURLに移動します。

ADFSで設定した証明書利用者信頼にログインするように求められます。
証明書利用者信頼のリストから、ログインするサイトを選択します。
[ サインイン] をクリックします。
有効なメールアドレスとパスワードを入力し、[ Sign In] をクリックします。このメールアドレスとパスワードは、Windows Server Active Directoryで設定されているユーザと一致している必要があります。

これで、 Cloud Oneへのログインプロセスは完了です。 Relayの状態が正しく設定されている場合は、このページからWorkload Securityにリダイレクトされます。

有効な Relay ：

Relay Sate	送信先サービス
/workload	エンドポイント保護

ADFSのメタデータXMLをダウンロードする

https://YOUR-DNS/FederationMetadata/2007-06/FederationMetadata.xml に移動して、Federated Metadata XMLを取得します。

Trend Cloud OneでのSAMLの設定

Trend Cloud One IDプロバイダ画面で、 Newをクリックします。
[ Identity Provider]に、 Aliasの名前を入力します。この名前には、Microsoft Entra IDやOktaなどのIDプロバイダを含める必要があります。
[ メタデータXMLファイル] で、[Browse] をクリックし、IDプロバイダ (Trend Cloud Oneではない) からダウンロードしたメタデータファイルに移動します。
Mapping セクション (「SAMLシングルサインオンについて」を参照) を使用して、役割と属性を指定します。
ロール属性 を http://schemas.xmlsoap.org/claims/Groupに設定します。
グループの を group に設定し (これは、グループ要求の作成時に入力した Outgoing claim value の値です)、Trend Cloud Oneのロールにマッピングします。
名前属性 を http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name に設定し、 ロケール属性 と タイムゾーン属性 は空のままにします。
[Save] をクリックします。

[ Mapping ] セクションで、[ + ] をクリックして複数の グループを追加します。複数のグループに異なるアクセス権限を設定できます。

SAML SSOのテスト

ADFSに戻ります。
ADFSから、 https://YOUR-DNS/adfs/ls/idpinitiatedsignonに移動します。
いずれかのユーザとしてActive Directoryにログインすると、Trend Cloud Oneに自動的にログインします。

問題が発生した場合は、SAMLのトラブルシューティングガイドを参照してください。

このページのトピック

Active Directory Federation Services（ADFS）セットアップガイド

Trend Cloud OneのメタデータXMLをダウンロードする