目次

Azure Active Directory (AD)セットアップガイド

Trend Cloud One Workload Securityと連携するようにAzure Active DirectoryでSAML SSOを設定する方法の詳細については、Azure Active DirectoryでのSAMLシングルサインオンの設定を参照してください。

Trend Micro Cloud OneのメタデータXMLをダウンロードする

  1. IDおよびアカウント権限へのフルアクセス権を持つ Trend Micro Cloud One にログインします。
  2. ページの下部にあるAdministrationをクリックします。
  3. 左側のIdentity Providersタブをクリックします。
  4. [ Trend Micro Cloud One用のメタデータXMLをダウンロード ]リンクをクリックするか、リンクを右クリックしてオプションを選択し、ファイルを保存します。

このXMLファイルは、SAMLを設定するためにAzureにアップロードされます。後で別のXMLファイルを使用して Cloud One にアップロードします。

Azure ADでのSAMLの設定

以下の手順の詳細については、 Azureのドキュメント を参照してください。

Azureアプリケーションを作成する

  1. Azureにログインします。 SAMLを設定するディレクトリを選択していることを確認します。
  2. Azure Active Directory に移動し、[ Enterprise Applications ]を選択します。
  3. [ New Application ]をクリックし、[ Create your own application ]を選択します (無効、つまりグレー表示になっている場合、サブスクリプションへの管理アクセス権があることを確認します)。
  4. アプリの名前を指定し、[ non-gallery ] (以下)を選択して、[ Create ]をクリックします。
  5. 左側のナビゲーションバーで[ Single sign-on ]をクリックし、シングルサインオン方法として[ SAML ]を選択します。

ユーザとグループを割り当てる

  1. 左側の[ Users and groups ]をクリックし、[ Add user/group ]をクリックします。アプリケーションに割り当てるユーザまたはグループを選択します。
  2. 個々のユーザを選択する場合は、そのユーザがグループの一部であることを確認し、後で使用する グループIDを書き留めます。グループを選択する場合は、後で使用するために オブジェクトID を書き留めてください。

基本的なSAML設定

  1. 左側の[ Single sign-on ]をクリックし、[ Upload metadata file ]をクリックして、 Cloud One メタデータファイルを選択します。
  2. Identifier (Entity ID) および Reply URL (Assertion Consumer Service URL) が入力されていることを確認します。Reply URL にはパス /idpresponseが含まれることに注意してください。さらに、ユーザのサインインで Workload Security を自動的に開くには、 [ Relay State ]フィールドに「/workload」と入力します。
  3. 右側にある[ Save ]をクリックします。

コンソールのテーマを設定する

テーマクエリパラメータの指定はオプションで、ユーザはアイデンティティプロバイダSAML応答から取得したrelayStateで特定のテーマを指定できます。有効なテーマ値は「light」と「dark」です。「ダーク」を選択すると、 Trend Micro Cloud One コンソールがダークモードで開きます。テーマパラメータが指定されていない場合、ブラウザの初期設定はライトモードになります。

テーマを指定するには、SAML応答のrelayStateでクエリパラメータとして「theme」を「dark」または「light」のいずれかの値とともに含める必要があります。

RelayStateの場合:

  • /theme=dark 暗いテーマの場合
  • /theme=light ライトテーマ用

属性と要求

  1. [ Edit ]をクリックして、 Attributes and Claimsを設定します。
  2. Name ID クレームは初期設定のままにします。
  3. [ Add a group claim ]をクリックします。Cloud Oneにアクセスするグループを追加できます。以前にアプリケーションに割り当てたグループを反映した最適なオプションを選択します。詳細については、Azureのドキュメントを参照してください。
  4. ソース属性を Group ID のままにして、[ Save ]をクリックします。クレーム名をメモします。例: http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  5. 戻って属性と主張、 クリック新しいクレームを追加、名前を入力してくださいlocaleとのためにソース属性選択するuser.preferredlanguage次にクリックします保存

詳細については、 属性のクレームガイド を参照してください。

Cloud OneでSAMLを設定する

  1. Cloud One IDプロバイダ ページで、[ 新規 ]をクリックします。
  2. [ IDプロバイダ ]ダイアログボックスの[ エイリアス ]フィールドに任意の名前を入力しますが、名前にはAzure ADやOktaなどのIDプロバイダを含めることをお勧めします。
  3. メタデータXMLファイル ボックスで、 ブラウズ ボタンをクリックし、IDプロバイダー( Cloud Oneではない)からダウンロードしたメタデータファイルに移動します。
  4. [マッピング]セクション(SAMLシングルサインオンについての説明を参照)には、次の手順で説明する役割と属性を指定します。
  5. 役割http://schemas.microsoft.com/ws/2008/06/identity/claims/groups に設定します(これはグループ要求の要求名です)。
  6. グループ を先ほど割り当てたグループのグループIDまたはオブジェクトIDに設定し、 Cloud One ロールにマッピングします。
  7. 名前属性http://schemas.microsoft.com/identity/claims/displayname
  8. ロケール属性 をに設定 locale
  9. タイムゾーンの要求がないため、 タイムゾーン属性 を空のままにします。
  10. [保存] をクリックします。

[マッピング]セクションで[ + ]をクリックして、複数の グループを追加します。複数のグループに異なるアクセス権を設定できます。

SAML SSOのテスト

  1. Azureで、 Single sign-on 内の下部にある[ Test ]をクリックして、現在のユーザとしてのログインをテストします。
  2. 通常のワークフローをテストするには、 My Apps for Microsoftに移動し、SAMLアプリケーションを選択して Cloud Oneにログインします。

問題が発生した場合は、 トラブルシューティングSAMLガイド を参照してください。