Trend Cloud OneのメタデータXMLをダウンロードする 親トピック

手順

  1. Trend Cloud One に、[ID] および [アカウント] へのフルアクセス権限でログインします。
  2. [管理]を選択してください。
  3. 左側のアイデンティティプロバイダーをクリックします。
  4. [Trend Micro Cloud One用のメタデータXMLをダウンロード] をクリックするか、リンクを右クリックしてファイルを保存するオプションを選択します。
    このXMLファイルは、SAMLを設定するためにADFSにアップロードされます。 証明書利用者信頼の追加の説明に従って、後で別のXMLファイルを使用してTrend Cloud Oneにアップロードします。

ADFSでSAMLを設定する 親トピック

詳細については、Microsoftのドキュメントを参照してください。
次の手順を実行するには、有効なメールアドレスを持つユーザがActive Directoryに存在し、少なくとも1つのグループに関連付けられている必要があります。

証明書利用者信頼の追加 親トピック

手順

  1. [ADFS Management console]を開き、[証明書利用者信頼の追加]をクリックします。[Claims aware](利用可能な場合) を選択し、[開始]をクリックします。
  2. [Import data about the relying party from a file]を選択し、Trend Cloud Oneメタデータファイルをアップロードしてください。
  3. Trend Cloud Oneであることを示す表示名を入力し、[次へ] をクリックします。
  4. アクセス制御ポリシーを選択します。たとえば、全員、特定のグループなどを許可します。後続のいずれかの手順で、グループ要求を定義します。
  5. [次へ]をクリックして最終ページに到達したら、[完了]をクリックしてください。

クレーム発行ポリシーの追加 親トピック

手順

  1. [Relying Party Trusts]から[Edit Claim Issuance Policy]をクリックします。

名前ID 親トピック

手順

  1. [ルールの追加]をクリックし、[Send LDAP Attributes as Claims]を選択し、ルールの名前として「E-mail to E-mail」など任意の名前を入力します。
  2. 属性ストアに[Active Directory]を選択し、LDAP属性[E-Mail-Addresses]を送信クレームタイプ[E-Mail Address]にマッピングして、[完了]をクリックします。
  3. [ルールの追加] をクリックし、[Transform an Incoming Claim] を選択し、「E-mail to Name ID」など、任意のルール名を入力します。
  4. 受信には[E-Mail Address]を選択します。送信クレームタイプには[名前ID]を選択します。送信名ID形式には[メール]を選択します。[Pass through all claim values]が選択されていることを確認し、[完了]をクリックします。

グループのクレーム 親トピック

手順

  1. [ルールの追加]をクリックし、[Send Group Membership as a Claim]を選択して、ルールに好きな名前を入力します。例えば、「Group Membership」などです。
  2. ユーザが所属するグループを選択します。[Outgoing claim type]には[グループ]を選択します。[Outgoing claim value]には、このクレームの名前を入力します。例えば、group。この値を後で使用するためにメモしておいてください。

名前のマッピング 親トピック

手順

  1. [ルールの追加]をクリックし、[Send LDAP Attributes as Claims]を選択して、「Display Name to Name」などのルールの名前を入力します。
  2. ストアの[Active Directory]を選択し、LDAP属性[Display-Name][名前]にマッピングして、[OK]をクリックします。
    詳細については、属性クレームガイドを参照してください。

Relayステータス 親トピック

現在、この機能はTrend Cloud One Workload Securityでのみ動作します。
ユーザがサインイン時にTrend Cloud One Workload Securityに自動的に移動するようにするには、次の手順を実行します。それ以外の場合は、ADFS用メタデータXMLのダウンロード セクションに進んでください。

ADFS 2.0の手順 親トピック

ADFS 2.0ではなくADFS 3.0を使用している場合は、ADFS 3.0の手順に進んでください。それ以外の場合は、次の手順を実行します。

手順

  1. Relay Stateサポートを提供するには、KB2681584(Update Rollup 2) またはKB2790338(Update Rollup 3) をインストールしてください。
  2. テキストエディタで次のファイルを開きます: %systemroot%\inetpub\adfs\ls\web.config.
  3. web.config ファイルの microsoft.identityServer.web セクションに、 useRelyStateForIdpInitiatedSignOn に関する次の行を追加します。 <microsoft.identityServer.web> ... <useRelayStateForIdpInitiatedSignOn enabled="true" /> ...</microsoft.identityServer.web>
    変更を保存します。
  4. インターネットインフォメーションサービス (IIS) を再起動するには、コマンドラインで iisreset と入力します。
  5. Windowsコンピュータでサービスアプリケーションを開き、[Active Directory Federation Services] を右クリックして、[Restart] をクリックします。

ADFS 3.0の手順 親トピック

手順

  1. テキストエディタで次のファイルを開きます: %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config
  2. web.config ファイルの microsoft.identityServer.web セクションに、 useRelyStateForIdpInitiatedSignOn に関する次の行を追加します。 <microsoft.identityServer.web> ... <useRelayStateForIdpInitiatedSignOn enabled="true" /> ...</microsoft.identityServer.web>
    変更を保存します。
  3. Windowsコンピュータでサービスアプリケーションを開き、[Active Directory Federation Services] を右クリックして、[Restart] をクリックします。

ADFS 2.0とADFS 3.0の両方に共通の手順 親トピック

手順

  1. PowerShellプロンプトで、Set-AdfsProperties -EnableRelayStateForIdpInitiatedSignOn $trueと入力します。
  2. Windowsの[ファイル名を指定して実行]ダイアログで、%windir%\ADFS\Microsoft.IdentityServer.msc と入力してADFS管理アプリケーションを開きます。
  3. AD FSの下のアプリケーションの左側で、Relying Party Trusts フォルダを選択します。
  4. 信頼を右クリックし、[のプロパティ]を選択します。
  5. [Identifiers]を選択してください。
  6. 証明書利用者識別子 ( https://saml.cloudone.trendmicro.comなど) を書き留めます。
  7. 任意のURLエンコーダー (例えば、https://www.urlencoder.org/) を使用してRPIDをエンコードしてください。
  8. [Valid Relay States] テーブルから選択したリレー状態をエンコードします (たとえば、 /workload%2Fworkload になります)。
  9. RelayState=<Your encoded Relay State> をエンコードします (例: RelayState%3D%252Fworkload)。
  10. これで、完全なRelayState文字列: ?RelayState=RPID%3<Your encoded RPID>%26RelayState%3D%252Fworkload (例: ?RelayState=RPID%3https%3A%2F%2Fsaml.cloudone.trendmicro.com%26RelayState%3D%252Fworkload) を作成できます。
  11. SAML SSOを使用する場合は、RelayState文字列をURL https://YOUR-DNS/adfs/ls/idpinitiatedsignonの末尾に追加します。 https://YOUR-DNS/adfs/ls/idpinitiatedsignon?RelayState=RPID%3https%3A%2F%2Fsaml.cloudone.trendmicro.com%26RelayState%3D%252Fworkloadのような形式である必要があります

コンソールのテーマを設定する 親トピック

テーマクエリパラメータの指定はオプションです。これにより、ユーザはアイデンティティプロバイダのSAML応答から取得する RelayState で特定のテーマを指定できます。有効なテーマの値は、明るい色と暗い色です。 [ダーク] を選択した場合、Trend Cloud Oneコンソールはダークモードで開きます。 themeパラメータが指定されていない場合、ブラウザは初期設定でライトモードに設定されます。または、ユーザのローカルブラウザ設定内に保存された内容が使用されます。
テーマを指定するには、SAML応答の RelayState に、theme をクエリパラメータとして含め、その値を dark または light にする必要があります。
RelayStateの場合:
  • /theme=dark 暗いテーマの場合
  • /theme=light ライトテーマ用

Relayの状態をテストする 親トピック

手順

  1. ブラウザで、 Relay Stateで作成したURLに移動します。
    ADFSで設定した証明書利用者信頼にログインするように求められます。
  2. 証明書利用者信頼のリストから、ログインするサイトを選択します。
  3. [サインイン]をクリックしてください。
  4. 有効なメールアドレスとパスワードを入力し、[サインイン] をクリックします。このメールアドレスとパスワードは、Windows Server Active Directoryで設定されているユーザと一致している必要があります。
    これで、 Cloud Oneへのログインプロセスは完了です。 Relayの状態が正しく設定されている場合は、このページからWorkload Securityにリダイレクトされます。
    [Valid Relay States:]
    [Relay Sate]
    [Destination Service]
    /workload
    エンドポイント保護

ADFSのメタデータXMLをダウンロードする 親トピック

手順

  1. https://YOUR-DNS/FederationMetadata/2007-06/FederationMetadata.xml に移動して、Federated Metadata XMLを取得します。

Trend Cloud OneでのSAMLの設定 親トピック

手順

  1. Trend Cloud OneIdentity Providersページから、[新規]をクリックします。
  2. [アイデンティティプロバイダ]に、[エイリアス]の名前を入力します。この名前には、Microsoft Entra IDやOktaなどのIDプロバイダを含める必要があります。
  3. [[メタデータXMLファイル]] で、[[参照]] をクリックし、IDプロバイダ (Trend Cloud Oneではない) からダウンロードしたメタデータファイルに移動します。
  4. [マッピング]セクション ( SAMLシングルサインオンについてを参照) を使用して、ロールと属性を提供します。
  5. [Role attribute]http://schemas.xmlsoap.org/claims/Groupに設定
  6. [グループ]group に設定し (これは、グループ要求の作成時に入力した [Outgoing claim value] の値です)、Trend Cloud Oneのロールにマッピングします。
  7. [名前属性]http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameに設定し、[ロケール属性][タイムゾーン属性]を空のままにします。
  8. [保存]をクリックしてください。
    [マッピング]セクションで[+]をクリックして、複数の[グループ]を追加します。複数のグループに異なるアクセス権を設定できます。

SAML SSOのテスト 親トピック

手順

  1. ADFSに戻ります。
  2. ADFSから、https://YOUR-DNS/adfs/ls/idpinitiatedsignonに移動します。
  3. いずれかのユーザとしてActive Directoryにログインすると、Trend Cloud Oneに自動的にログインします。
    問題が発生した場合は、SAMLトラブルシューティングガイドを参照してください。