Trend Cloud OneのメタデータXMLをダウンロードする 親トピック

手順

  1. Trend Cloud One に、[ID] および [アカウント] へのフルアクセス権限でログインします。
  2. ページの下部にある[管理]をクリックします。
  3. 左側のIdentity Providersタブをクリックします。
  4. [Download Metadata XML for Trend Cloud One] をクリックするか、リンクを右クリックしてファイルを保存するオプションを選択します。
    このXMLファイルは、GoogleでSAMLを設定するために読み取られます。

GoogleでSAMLを設定する 親トピック

詳細についてはGoogleのドキュメントを参照してください。
注意
注意
現在、Googleはまだ、SAML応答でユーザのグループメンバーシップを送信するためのベータ版 を提供しています。回避策として、このドキュメントで説明する手順では、カスタム属性を使用してマップし、アカウントがその機能にアクセスできる場合にグループメンバーシップを使用する場所の表記を含めます。カスタム属性を使用するには、[ディレクトリ] > [ユーザ] に移動し、[その他のオプション] をクリックし、[Manager user attributes] を選択してから、[Add custom attribute] をクリックします。これは、Trend Cloud Oneのどのロールにどのユーザがアクセスできるかを決定するために使用されます。カテゴリを設定します (例: CloudOneRole)。名前を role に設定します。組織に表示され、単一の値になります。ユーザプロファイルを更新して、そのカスタムフィールドに値 (例: full-access) を設定します。以降の手順でマッピングを作成します。

カスタムSAMLアプリの追加 親トピック

手順

  1. Google管理コンソールにログインし、スーパ管理者権限を使用します。
  2. 左側で、[Apps][Web and mobile apps]に移動します。[Add app]をクリックし、[Add custom SAML app]を選択し、アプリケーションの名前を入力してから[続行]をクリックします。
  3. [Download Metadata]をクリックし、次に[続行]をクリックします。
  4. 次のセクションに以下のように入力し、各セクションに入力するたびに[続行]をクリックします。
    • [Service Provider Details:]
      [フィールド]
      [値]
      [メモ]
      ACSのURL
      Trend Cloud OneメタデータXMLファイルで、AssertionConsumerService の値を入力します > Location
      例えば: https://saml.cloudone.trendmicro.com/idpresponse
      エンティティID
      Trend Cloud OneメタデータXMLファイルで、entityIDの値を入力します
      例えば: https://saml.cloudone.trendmicro.com
      開始URL
      空または「/workload」
      ユーザのサインイン時に自動的にWorkload Securityに移動する場合は、これを設定します。
    • 他のフィールドは初期設定のままにします。
      [Attribute Mapping:]
      [Google Directory attributes]
      [App attributes]
      基本情報>名前
      name
      CloudOneRole > ロール
      役割
    [Group membership] が使用可能な場合は、カスタム属性 (CloudOneRole) マッピングを含めないでください。代わりに、[Google groups] で、アプリケーションにマッピングするグループを検索して選択します。[App attributes] で、role を入力します。
    詳細については、属性クレームガイドを参照してください。

ユーザアクセスの設定 親トピック

手順

  1. SAMLアプリケーション内で、[User access]をクリックし、[ON for everyone]を選択して、[保存]をクリックします。
  2. 左側の [グループ] を展開し、アプリケーションへのアクセスを提供するグループを検索またはクリックします。 [ON for everyone] を選択し、[保存] をクリックします。

Trend Cloud OneでのSAMLの設定 親トピック

手順

  1. Trend Cloud One Identity Providersページで、[新規]をクリックします。
  2. [ [アイデンティティプロバイダ] ]の[ [エイリアス] ]フィールドに、IDプロバイダを含む名前 (Googleなど) を入力します。
  3. [メタデータXMLファイル]で、[参照] をクリックし、IDプロバイダ (Trend Cloud Oneではない) からダウンロードしたメタデータファイルに移動します。
  4. [マッピング]セクション (About SAML single sign-onの説明を参照) には、次の手順で説明する役割と属性を指定します。
  5. [Role attribute]roleに設定します。
  6. [グループ] をカスタム属性の名前に設定し (例: full-access またはマッピングしたグループ) Trend Cloud Oneの役割にマッピングします。
  7. 残りのオプション属性については、次の値を指定します: [名前属性]nameに設定し、[ロケール属性][タイムゾーン属性]は空のままにします。
  8. [保存]をクリックしてください。
    [マッピング]セクションで[+]をクリックして、複数の[グループ]を追加します。複数のグループに異なるアクセス権を設定できます。

コンソールのテーマを設定する 親トピック

テーマクエリパラメータの指定はオプションです。これにより、ユーザはアイデンティティプロバイダのSAML応答から取得する RelayState で特定のテーマを指定できます。有効なテーマ値は、light および darkです。dark を選択した場合、Trend Cloud Oneコンソールはダークモードで開きます。themeパラメータが指定されていない場合、ブラウザは初期設定でライトモードに設定されます。または、ユーザのローカルブラウザ設定内に保存された内容が使用されます。
テーマを指定するには、SAML応答の relayState に、theme をクエリパラメータとして含め、dark または light のいずれかの値を持つ必要があります。
RelayStateの場合:
  • /theme=dark 暗いテーマの場合
  • /theme=light ライトテーマ用

SAML SSOのテスト 親トピック

手順

  1. Googleでアプリケーションに戻り、必ずログアウトし、キャッシュをクリアしてから再度ログインします。そうしないと、既存のセッションが新しいアプリケーションとの関連付けを認識しないため、Error: not_a_saml_appが発生する可能性があります。
  2. アプリケーションに戻ったら、[Test SAML login] をクリックすると、Trend Cloud Oneに自動的にログインします。
    問題が発生した場合は、SAMLトラブルシューティングガイドを参照してください。