このページのトピック
Azure Active Directory (AD)セットアップガイド
Trend Cloud One Workload Securityと連携するようにAzure Active DirectoryでSAML SSOを設定する方法の詳細については、Azure Active DirectoryでのSAMLシングルサインオンの設定を参照してください。
Trend Micro Cloud OneのメタデータXMLをダウンロードする
- IDおよびアカウント権限へのフルアクセス権を持つ Trend Micro Cloud One にログインします。
- ページの下部にあるAdministrationをクリックします。
- 左側のIdentity Providersタブをクリックします。
- [ Trend Micro Cloud One用のメタデータXMLをダウンロード ]リンクをクリックするか、リンクを右クリックしてオプションを選択し、ファイルを保存します。
このXMLファイルは、SAMLを設定するためにAzureにアップロードされます。後で別のXMLファイルを使用して Cloud One にアップロードします。
Azure ADでのSAMLの設定
以下の手順の詳細については、 Azureのドキュメント を参照してください。
Azureアプリケーションを作成する
- Azureにログインします。 SAMLを設定するディレクトリを選択していることを確認します。
- Azure Active Directory に移動し、[ Enterprise Applications ]を選択します。
- [ New Application ]をクリックし、[ Create your own application ]を選択します (無効、つまりグレー表示になっている場合、サブスクリプションへの管理アクセス権があることを確認します)。
- アプリの名前を指定し、[ non-gallery ] (以下)を選択して、[ Create ]をクリックします。
- 左側のナビゲーションバーで[ Single sign-on ]をクリックし、シングルサインオン方法として[ SAML ]を選択します。
ユーザとグループを割り当てる
- 左側の[ Users and groups ]をクリックし、[ Add user/group ]をクリックします。アプリケーションに割り当てるユーザまたはグループを選択します。
- 個々のユーザを選択する場合は、そのユーザがグループの一部であることを確認し、後で使用する グループIDを書き留めます。グループを選択する場合は、後で使用するために オブジェクトID を書き留めてください。
基本的なSAML設定
- 左側の[ Single sign-on ]をクリックし、[ Upload metadata file ]をクリックして、 Cloud One メタデータファイルを選択します。
- Identifier (Entity ID) および Reply URL (Assertion Consumer Service URL) が入力されていることを確認します。Reply URL にはパス
/idpresponse
が含まれることに注意してください。さらに、ユーザのサインインで Workload Security を自動的に開くには、 [ Relay State ]フィールドに「/workload
」と入力します。 - 右側にある[ Save ]をクリックします。
コンソールのテーマを設定する
テーマクエリパラメータの指定はオプションで、ユーザはアイデンティティプロバイダSAML応答から取得したrelayStateで特定のテーマを指定できます。有効なテーマ値は「light」と「dark」です。「ダーク」を選択すると、 Trend Micro Cloud One コンソールがダークモードで開きます。テーマパラメータが指定されていない場合、ブラウザの初期設定はライトモードになります。
テーマを指定するには、SAML応答のrelayStateでクエリパラメータとして「theme」を「dark」または「light」のいずれかの値とともに含める必要があります。
RelayStateの場合:
/theme=dark
暗いテーマの場合/theme=light
ライトテーマ用
属性と要求
- [ Edit ]をクリックして、 Attributes and Claimsを設定します。
- Name ID クレームは初期設定のままにします。
- [ Add a group claim ]をクリックします。Cloud Oneにアクセスするグループを追加できます。以前にアプリケーションに割り当てたグループを反映した最適なオプションを選択します。詳細については、Azureのドキュメントを参照してください。
- ソース属性を Group ID のままにして、[ Save ]をクリックします。クレーム名をメモします。例:
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
- 戻って属性と主張、 クリック新しいクレームを追加、名前を入力してください
locale
とのためにソース属性選択するuser.preferredlanguage
次にクリックします保存
詳細については、 属性のクレームガイド を参照してください。
Cloud OneでSAMLを設定する
- Cloud One IDプロバイダ ページで、[ 新規 ]をクリックします。
- [ IDプロバイダ ]ダイアログボックスの[ エイリアス ]フィールドに任意の名前を入力しますが、名前にはAzure ADやOktaなどのIDプロバイダを含めることをお勧めします。
- メタデータXMLファイル ボックスで、 ブラウズ ボタンをクリックし、IDプロバイダー( Cloud Oneではない)からダウンロードしたメタデータファイルに移動します。
- [マッピング]セクション(SAMLシングルサインオンについての説明を参照)には、次の手順で説明する役割と属性を指定します。
- 役割 を
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
に設定します(これはグループ要求の要求名です)。 - グループ を先ほど割り当てたグループのグループIDまたはオブジェクトIDに設定し、 Cloud One ロールにマッピングします。
- 名前属性 を
http://schemas.microsoft.com/identity/claims/displayname
- ロケール属性 をに設定
locale
- タイムゾーンの要求がないため、 タイムゾーン属性 を空のままにします。
- [保存] をクリックします。
[マッピング]セクションで[ + ]をクリックして、複数の グループを追加します。複数のグループに異なるアクセス権を設定できます。
SAML SSOのテスト
- Azureで、 Single sign-on 内の下部にある[ Test ]をクリックして、現在のユーザとしてのログインをテストします。
- 通常のワークフローをテストするには、 My Apps for Microsoftに移動し、SAMLアプリケーションを選択して Cloud Oneにログインします。
問題が発生した場合は、 トラブルシューティングSAMLガイド を参照してください。