目次

Googleセットアップガイド

Trend Micro Cloud OneのメタデータXMLをダウンロードする

  1. IDおよびアカウント権限へのフルアクセス権を持つ Trend Micro Cloud One にログインします。
  2. 画面の下部にある[ User Management ]をクリックします。
  3. 左側のIdentity Providersタブをクリックします。
  4. [ Download Metadata XML for Trend Micro Cloud One ]リンクをクリックするか、リンクを右クリックしてオプションを選択し、ファイルを保存します。

このXMLファイルは、GoogleでSAMLを設定するために読み込まれます。後で別のXMLファイルを使用して Cloud One にアップロードします。

GoogleでSAMLを設定する

以下の手順の詳細については、 Googleのドキュメント を参照してください。

この記事を公開した時点では、GoogleのSAMLレスポンスでのユーザーグループメンバーシップを送信はベータ版です。このガイドでは、回避策として、カスタム属性を使用してマッピング先を実装し、アカウントがその機能にアクセスできる場合にグループメンバーシップを使用する場所の表記を記載します。カスタム属性を使用するには、 Directory > Usersに移動します。クリックより多くのオプション、 選択するマネージャーのユーザー属性次にクリックしますカスタム属性を追加する。これは、 Cloud Oneの役割にどのユーザがアクセスできるかを決定するために使用されます。 CloudOneRoleのように、カテゴリを設定します。名前を roleに設定します。これは、組織および単一の値に対して表示されます。次に、ユーザのプロファイルを更新して、そのカスタムフィールドに値を設定します(例: full-access)。これについては、このガイドで後ほど説明します。

カスタムSAMLアプリの追加

  1. スーパー管理者権限Google管理コンソール にログインします
  2. 左側で、[Apps]→[Web and mobile apps]に移動します。 Add appをクリックし、 Add custom SAML appを選択し、アプリケーションの名前を入力してから、 Continueをクリックします。
  3. [Download Metadata]をクリックし、[Continue]をクリックします。
  4. 次のセクションに以下のように入力し、各セクションに入力するたびに[Continue]をクリックします。

サービスプロバイダの詳細:

フィールド 備考
ACSのURL Cloud One メタデータXMLファイルから、 AssertionConsumerService > Locationの値を入力します 例: https://saml.cloudone.trendmicro.com/idpresponse
エンティティID Cloud One メタデータXMLファイルから、 entityID 例: https://saml.cloudone.trendmicro.com
開始URL 空または「/workload」 サインイン時にユーザを自動的に Workload Security に移動させる場合は、これを設定します。
  • その他のフィールドは初期設定値のままにします。

属性マッピング:

Google Directoryの属性 アプリの属性
基本情報>名前 name
CloudOneRole>役割 役割

グループメンバーシップ を使用できる場合は、カスタム属性(CloudOneRole)マッピングを含めないでください。代わりに、 Google groups で、アプリケーションにマッピングするグループを検索して選択します。App attributesで、と入力 role

詳細については、 属性のクレームガイド を参照してください。

ユーザアクセスの設定

  1. SAMLアプリ内で、User accessをクリックし、ON for everyoneを選択してSaveをクリックします。
  2. 左側の[ Groups ]を展開し、アプリへのアクセスを提供するグループを検索またはクリックします。ON for everyoneを選択しSaveをクリックします。

Cloud OneでSAMLを設定する

  1. Cloud One Identity Providers ページで、[ New ]をクリックします。
  2. [アイデンティティプロバイダ]ダイアログボックスの[ Alias ]フィールドに任意の名前を入力しますが、名前にはGoogleなどのIDプロバイダを含めることをお勧めします。
  3. メタデータXMLファイル ボックスで、 ブラウズ ボタンをクリックし、IDプロバイダー( Cloud Oneではない)からダウンロードしたメタデータファイルに移動します。
  4. [マッピング]セクション(SAMLシングルサインオンについての説明を参照)には、次の手順で説明する役割と属性を指定します。
  5. 役割属性roleに設定します。
  6. Group をカスタム属性の名前(例: full-access またはマッピング先のグループ)に設定し、それを Cloud One ロールにマッピングします。
  7. 残りのオプション属性には、次の値を指定します。
  8. 名前属性name に設定し、 ロケール属性 および タイムゾーン属性 を空のままにします。
  9. [Save] をクリックします。

[マッピング]セクションで[ + ]をクリックして、複数の グループを追加します。複数のグループに異なるアクセス権を設定できます。

コンソールのテーマを設定する

テーマクエリパラメータの指定は任意で、ユーザはアイデンティティプロバイダSAML応答から取得したrelayStateで特定のテーマを指定できます。有効なテーマ値は「light」と「dark」です。「ダーク」を選択すると、 Trend Micro Cloud One コンソールがダークモードで開きます。テーマパラメータが指定されていない場合、ブラウザの初期設定はライトモードになります。

テーマを指定するには、SAML応答のrelayStateでクエリパラメータとして「theme」を「dark」または「light」のいずれかの値とともに含める必要があります。

RelayStateの場合:

  • /theme=dark 暗いテーマの場合
  • /theme=light ライトテーマ用

SAML SSOのテスト

  1. Googleでアプリケーションに戻ったら、必ずログアウトし、キャッシュをクリアしてから再度ログインしてください。そうしないと、既存のセッションで新しいアプリケーションとの関連付けが認識されないため、 Error: not_a_saml_app が表示されることがあります。
  2. アプリケーションに戻ったら、[ Test SAML login ]をクリックすると、 Cloud Oneに自動的にログインします。

問題が発生した場合は、 トラブルシューティングSAMLガイド を参照してください。