Active Directory Federation Services（ADFS）セットアップガイド

Trend Micro Cloud OneのメタデータXMLをダウンロードする

1. IDおよびアカウント権限へのフルアクセス権を持つ Trend Micro Cloud One にログインします。
2. ページの下部にある [User Management] をクリックします。
3. 左側のIdentity Providersタブをクリックします。
4. [ Trend Micro Cloud One用のメタデータXMLをダウンロード ]リンクをクリックするか、リンクを右クリックしてオプションを選択し、ファイルを保存します。

このXMLファイルは、SAMLを設定するためにADFSにアップロードされます。後で別のXMLファイルを使用して Cloud One にアップロードします。

ADFSでSAMLを設定する

以下の手順の詳細については、 Microsoftのドキュメント を参照してください。

これは、Active Directoryに少なくとも1つのグループに関連付けられたユーザがいることを前提としています。次の設定を使用するには、これらのユーザに有効なメールアドレスが必要です。

証明書利用者信頼の追加

1. ADFS Management consoleを開き、[ Add Relying Party Trust ]をクリックします。 Claims aware （利用可能な場合）を選択し、 Startをクリックします。
2. Import data about the relying party from a fileを選択し、Cloud Oneメタデータファイルをアップロードします。
3. Cloud One の表示名を入力し、[ Next ]をクリックします。
4. アクセス制御ポリシーを選択します。たとえば、すべてのユーザ、特定のグループを許可するなどです（グループのクレームは後の手順で定義します）。
5. 最後のページに到達するまでNextをクリックし、Finishをクリックします。

クレーム発行ポリシーの追加

1. [ Relying Party Trusts ]で、[ Edit Claim Issuance Policy ]をクリックします。

名前ID

1. [ Add Rule ]をクリックし、[ Send LDAP Attributes as Claims ]を選択して、「E-mail to E-mail」など、ルールの名前を入力します。
2. 属性ストアに[ Active Directory ]を選択し、LDAP属性[ E-Mail-Addresses ]を送信クレームの種類[ E-Mail Address ]にマップします。[Finish] をクリックします。
3. [ Add Rule ]をクリックし、[ Transform an Incoming Claim ]を選択して、「E-mail to Name ID」など、ルールに付ける任意の名前を入力します。
4. 受信の場合は、[ E-Mail Address ]を選択します。送信クレームの種類として、[ Name ID ]を選択します。送信名IDの形式として、[ Email ]を選択します。 Pass through all claim values が選択されていることを確認し、[ Finish ]をクリックします。

グループのクレーム

1. [ Add Rule ]をクリックします。 [ Send Group Membership as a Claim ]を選択し、「Group Membership」など、ルールに付ける名前を入力します。
2. ユーザが属するグループを選択します。[ Outgoing claim type ]を選択する場合は、[ Group ]を選択します。[Outgoing claim value]にこのクレームの名前を入力します（例： group） 。この値は後で使用するため、覚えておいてください。

名前のマッピング

1. [ Add Rule ]をクリックし、[ Send LDAP Attributes as Claims ]を選択して、「Display Name to Name」などのルールの名前を入力します。
2. ストアに[ Active Directory ]を選択し、LDAP Attribute Display-Name を[ Name ]にマッピングして、[ OK ]をクリックします。

詳細については、 属性のクレームガイド を参照してください。

Relayステータス

現在、この機能はTrend Micro Cloud One Workload Securityでのみ機能します。

サインイン時にユーザが自動的に Cloud One Workload Security にアクセスできるようにするには、次の手順に従ってください。それ以外の場合は、ADFS のメタデータXMLのダウンロードに進んでください。

ADFS 2.0の手順

にスキップADFS 3.0 の手順ADFS 2.0 ではなく ADFS 3.0 を使用している場合。

1. KB2681584 （アップデートロールアップ2）または KB2790338 （アップデートロールアップ3）をインストールして、 Relay Stateをサポートします。
2. テキストエディタ（メモ帳など）でファイル %systemroot%\inetpub\adfs\ls\web.configを開きます。
3. web.config ファイルの microsoft.identityServer.web セクションに、 useRelyStateForIdpInitiatedSignOn に関する行を次のように追加し、変更を保存します。 <microsoft.identityServer.web> ... <useRelayStateForIdpInitiatedSignOn enabled="true" /> ...</microsoft.identityServer.web>
4. インターネットインフォメーションサービス（IIS）を再起動するには、コマンドラインで iisresetと入力します。
5. Windowsマシンでサービスアプリを開き、 Active Directory Federation Servicesを右クリックして、[ Restart ]オプションを選択します。

ADFS 3.0の手順

1. テキストエディタ（メモ帳など）でファイル %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.configを開きます。
2. web.config ファイルの microsoft.identityServer.web セクションに、 useRelyStateForIdpInitiatedSignOn に関する行を次のように追加し、変更を保存します。 <microsoft.identityServer.web> ... <useRelayStateForIdpInitiatedSignOn enabled="true" /> ...</microsoft.identityServer.web>
3. Windowsコンピュータでサービスアプリを開き、 Active Directory Federation Servicesを右クリックして、restartオプションを選択します。

ADFS 2.0とADFS 3.0の両方に共通の手順

1. PowerShellプロンプトで、 Set-AdfsProperties -EnableRelayStateForIdpInitiatedSignOn $trueと入力します。
2. Windowsの[ファイル名を指定して実行]ダイアログボックスで、「 %windir%\ADFS\Microsoft.IdentityServer.msc 」と入力してAD FS管理アプリケーションを開きます。
3. AD FSの下のアプリケーションの左側で、 Relying Party Trusts フォルダを選択します。
4. 信頼を右クリックし、[ Properties ]を選択します。
5. Identifiers タブを選択します。
6. Relying Party Identifier をメモします（例： https://saml.cloudone.trendmicro.com）。
7. URLエンコーダ（https://www.urlencoder.org/など）を使用してRPIDをエンコードします。
8. 以下の Valid Relay States テーブルから選択した Relay Stateをエンコードします（たとえば、 /workload は %2Fworkloadになります）。
9. 値 RelayState=<Your encoded Relay State> をエンコードします（例： RelayState%3D%252Fworkload）。
10. これで、RelayStateの完全な文字列 ?RelayState=RPID%3<Your encoded RPID>%26RelayState%3D%252Fworkload を作成できます（例： ?RelayState=RPID%3https%3A%2F%2Fsaml.cloudone.trendmicro.com%26RelayState%3D%252Fworkload）。
11. SAML SSOを使用する場合は、RelayState文字列をURL https://YOUR-DNS/adfs/ls/idpinitiatedsignonの末尾に追加します。次のような形式になります。 https://YOUR-DNS/adfs/ls/idpinitiatedsignon?RelayState=RPID%3https%3A%2F%2Fsaml.cloudone.trendmicro.com%26RelayState%3D%252Fworkload

コンソールのテーマを設定する

テーマクエリパラメータの指定は任意で、ユーザはアイデンティティプロバイダSAML応答から取得したrelayStateで特定のテーマを指定できます。有効なテーマ値は「light」と「dark」です。「ダーク」を選択すると、 Trend Micro Cloud One コンソールがダークモードで開きます。テーマパラメータが指定されていない場合、ブラウザの初期設定はライトモードになります。

テーマを指定するには、SAML応答のrelayStateでクエリパラメータとして「theme」を「dark」または「light」のいずれかの値とともに含める必要があります。

RelayStateの場合：

• /theme=dark 暗いテーマの場合
• /theme=light ライトテーマ用

Relay状態サインインのテスト

1. ブラウザを開き、 Relay Stateで作成したURLに移動します。

プロンプトが表示され、ADFSで設定した証明書利用者信頼にログインできるようになります。
利用可能なすべての証明書利用者信頼を含むドロップダウンが表示されます。

1. ログインするサイトを選択します。

2. [ Sign In ]ボタンをクリックします。

メールアドレスとパスワードの入力を求められます。
このメールアドレスとパスワードは、Windows Server Active Directoryで設定されているユーザと一致する必要があります。

1. 有効なメールアドレスとパスワードを入力し、[ Sign In ]をクリックします。

Cloud Oneにログインします。Relay Stateが正しく設定されている場合、 Workload Securityにリダイレクトされます。

有効な Relay ：

ADFSのメタデータXMLをダウンロードする

1. https://YOUR-DNS/FederationMetadata/2007-06/FederationMetadata.xmlに移動して、フェデレーションメタデータXMLを取得します。

Cloud OneでSAMLを設定する

1. Cloud One Identity Providers ページで、[ New ]をクリックします。
2. [ アイデンティティプロバイダ ]ダイアログボックスの[ エイリアス ]フィールドに任意の名前を入力しますが、名前にはAzure ADやOktaなどのIDプロバイダを含めることをお勧めします。
3. メタデータXMLファイル ボックスで、 ブラウズ ボタンをクリックし、IDプロバイダー（ Cloud Oneではない）からダウンロードしたメタデータファイルに移動します。
4. [マッピング]セクション（SAMLシングルサインオンについての説明を参照）には、次の手順で説明する役割と属性を指定します。
5. 役割属性 を次のように設定します。 http://schemas.xmlsoap.org/claims/Group
6. グループ を group （グループ要求の作成時に入力した 送信要求の値 の値）に設定し、 Cloud One ロールにマッピングします。
7. 名前属性 を http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name に設定し、 ロケール属性 および タイムゾーン属性 を空のままにします。
8. [Save] をクリックします。

[マッピング]セクションで[ + ]をクリックして、複数の グループを追加します。複数のグループに異なるアクセス権を設定できます。

SAML SSOのテスト

1. ADFSに戻ります。ADFSから、 https://YOUR-DNS/adfs/ls/idpinitiatedsignonに移動します。
2. Active Directoryのユーザの1人としてログインすると、 Cloud Oneに自動的にログインします。

問題が発生した場合は、 トラブルシューティングSAMLガイド を参照してください。