Microsoft Entra IDセットアップガイド

Trend Cloud One Workload Securityで動作するようにMicrosoft Entra ID (旧称 Microsoft Azure Active Directory ) を使用するSAML SSOを設定する方法の詳細については、Microsoft Entra IDを使用したSAMLシングルサインオンの設定を参照してください。

Trend Cloud OneのメタデータXMLをダウンロードする

Trend Cloud One に、[ID] および [アカウント] へのフルアクセス権限でログインします。
[管理] を選択します。
左側の IDプロバイダを選択します。
[Download Metadata XML for Trend Cloud One] をクリックするか、右クリックしてファイルを保存するオプションを選択します。

このXMLファイルは、SAMLを設定するためにMicrosoft Entra IDにアップロードされます。基本的なSAML設定の説明に従って、後で別のXMLファイルを使用してTrend Cloud Oneにアップロードします。

Microsoft Entra IDでのSAMLの設定

詳細については、Microsoft Entra IDのドキュメントを参照してください。

Azureアプリケーションを作成する

Azureにログインします。 SAMLを設定するディレクトリを選択します。
[ Microsoft Entra ID ] に移動し、[ Enterprise Applications] を選択します。
[ New Application ]をクリックし、[ Create your own application ]を選択します (もし無効またはグレー表示されていたら、サブスクリプションへの管理者アクセス権があることを確認してください)。
アプリの名前を入力して [ non-gallery] を選択し、[ Create] をクリックします。
[ Single sign-on]をクリックし、シングルサインオン方法として [ SAML ]を選択します。

ユーザとグループを割り当てる

左側の[ Users and groups ]をクリックし、[ Add user/group ]をクリックします。アプリケーションに割り当てるユーザまたはグループを選択します。
個々のユーザを選択する場合は、そのユーザがグループに属していることを確認し、後で使用するため、 グループIDをメモしておきます。グループを選択する場合は、後で使用するために オブジェクトID を書き留めておきます。

基本的なSAML設定

左側の[ Single sign-on ] をクリックし、[Upload metadata file] の順にクリックして、Trend Cloud Oneメタデータファイルを選択します。
Identifier (Entity ID) および Reply URL (Assertion Consumer Service URL) が入力されていることを確認します。 Reply URL にパス /idpresponseが含まれていることに注意してください。また、ユーザのサインインでワークロードセキュリティが自動的に開くようにするには、[ Relay State ] フィールドに /workloadと入力します。
[保存] をクリックします。

コンソールのテーマを設定する

テーマクエリパラメータの指定はオプションです。これにより、ユーザはアイデンティティプロバイダのSAML応答から取得する RelayState で特定のテーマを指定できます。有効なテーマ値は、light および darkです。 dark を選択した場合、Trend Cloud Oneコンソールはダークモードで開きます。 themeパラメータが指定されていない場合、ブラウザはデフォルトでライトモードに設定されます。または、ユーザのローカルブラウザ設定内に保存されている設定が適用されます。

テーマを指定するには、SAML応答の RelayState に、dark または lightのいずれかの値を持つクエリパラメータとして theme を含める必要があります。

RelayStateの場合:

/theme=dark 暗いテーマの場合
/theme=light ライトテーマ用

属性と要求

[ Edit ]をクリックして、 Attributes and Claimsを設定します。
Name ID クレームは初期設定のままにします。
Add a group claimをクリックします。ここで、Cloud One にアクセスしたいグループを追加できます。以前にアプリケーションに割り当てたグループを反映する最適なオプションを選択します。詳細については、Microsoft Entra ID ドキュメントを参照してください。
ソース属性の設定を Group IDのままにして、[ Save] をクリックします。クレーム名を書き留めます。例: http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
Attributes and Claimsに戻り、 Add new claimをクリックし、名前 locale を入力し、 Source attribute で user.preferredlanguageを選択し、保存をクリックします。

詳細については、属性のクレームガイドを参照してください。

Trend Cloud OneでのSAMLの設定

Trend Cloud One IDプロバイダ画面で、 Newをクリックします。
[ Identity Provider]に、 Aliasに名前を入力します。名前には、Microsoft Entra IDやOktaなどのIDプロバイダを含める必要があります。
[ Metadata XML File]で、[Browse] をクリックし、IDプロバイダ (Trend Cloud Oneではない) からダウンロードしたメタデータファイルに移動します。
[ Mapping ] セクション (「SAMLシングルサインオンについて」を参照) で、次の手順の説明に従って、役割と属性を指定します。
役割を http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsに設定します。これは、グループ要求の要求名です。
Group を、以前に割り当てたグループのグループIDまたはオブジェクトIDに設定し、Trend Cloud Oneのロールにマッピングします。
Name attribute を http://schemas.microsoft.com/identity/claims/displaynameに設定します。
Locale attribute を localeに設定します。
タイムゾーンの要求がないため、 Timezone attribute は空のままにします。
[保存] をクリックします。

[ Mapping ] セクションで、[ + ] をクリックして複数の グループを追加します。複数のグループに異なるアクセス権限を設定できます。

SAML SSOのテスト

Azure から、 Single sign-on内で、 Test をクリックして、現在のユーザとしてのログインをテストします。
通常のワークフローをテストするには、MicrosoftのMy Apps に移動し、SAMLアプリケーションを選択してTrend Cloud Oneにログインします。

問題が発生した場合は、「SAML設定のトラブルシューティング」を参照してください。

このページのトピック