このページのトピック
Googleセットアップガイド
Trend Micro Cloud OneのメタデータXMLをダウンロードする
- IDおよびアカウント権限へのフルアクセス権を持つ Trend Micro Cloud One にログインします。
- ページの下部にある [User Management] をクリックします。
- 左側のIdentity Providersタブをクリックします。
- [ Download Metadata XML for Trend Micro Cloud One ]リンクをクリックするか、リンクを右クリックしてオプションを選択し、ファイルを保存します。
このXMLファイルは、GoogleでSAMLを設定するために読み込まれます。後で別のXMLファイルを使用して Cloud One にアップロードします。
GoogleでSAMLを設定する
以下の手順の詳細については、 Googleのドキュメント を参照してください。
この記事を公開した時点では、GoogleのSAMLレスポンスでのユーザーグループメンバーシップを送信はベータ版です。このガイドでは、回避策として、カスタム属性を使用してマッピング先を実装し、アカウントがその機能にアクセスできる場合にグループメンバーシップを使用する場所の表記を記載します。カスタム属性を使用するには、 Directory > Usersに移動します。クリックより多くのオプション、 選択するマネージャーのユーザー属性次にクリックしますカスタム属性を追加する。これは、 Cloud Oneの役割にどのユーザがアクセスできるかを決定するために使用されます。 CloudOneRoleのように、カテゴリを設定します。名前を roleに設定します。これは、組織および単一の値に対して表示されます。次に、ユーザのプロファイルを更新して、そのカスタムフィールドに値を設定します(例: full-access)。これについては、このガイドで後ほど説明します。
カスタムSAMLアプリの追加
- スーパー管理者権限でGoogle管理コンソール にログインします。
- 左側で、[Apps]→[Web and mobile apps]に移動します。 Add appをクリックし、 Add custom SAML appを選択し、アプリケーションの名前を入力してから、 Continueをクリックします。
- [Download Metadata]をクリックし、[Continue]をクリックします。
- 次のセクションに以下のように入力し、各セクションに入力するたびに[Continue]をクリックします。
サービスプロバイダの詳細:
| フィールド | 値 | 備考 |
|---|---|---|
| ACSのURL | Cloud One メタデータXMLファイルから、 AssertionConsumerService > Locationの値を入力します |
例: https://saml.cloudone.trendmicro.com/idpresponse |
| エンティティID | Cloud One メタデータXMLファイルから、 entityID |
例: https://saml.cloudone.trendmicro.com |
| 開始URL | 空または「/workload」 | サインイン時にユーザを自動的に Workload Security に移動させる場合は、これを設定します。 |
- その他のフィールドは初期設定値のままにします。
属性マッピング:
| Google Directoryの属性 | アプリの属性 |
|---|---|
| 基本情報>名前 | name |
| CloudOneRole>役割 | 役割 |
グループメンバーシップ を使用できる場合は、カスタム属性(CloudOneRole)マッピングを含めないでください。代わりに、 Google groups で、アプリケーションにマッピングするグループを検索して選択します。App attributesで、と入力 role。
詳細については、 属性のクレームガイド を参照してください。
ユーザアクセスの設定
- SAMLアプリ内で、User accessをクリックし、ON for everyoneを選択してSaveをクリックします。
- 左側の[ Groups ]を展開し、アプリへのアクセスを提供するグループを検索またはクリックします。ON for everyoneを選択しSaveをクリックします。
Cloud OneでSAMLを設定する
- Cloud One Identity Providers ページで、[ New ]をクリックします。
- [アイデンティティプロバイダ]ダイアログボックスの[ Alias ]フィールドに任意の名前を入力しますが、名前にはGoogleなどのIDプロバイダを含めることをお勧めします。
- メタデータXMLファイル ボックスで、 ブラウズ ボタンをクリックし、IDプロバイダー( Cloud Oneではない)からダウンロードしたメタデータファイルに移動します。
- [マッピング]セクション(SAMLシングルサインオンについての説明を参照)には、次の手順で説明する役割と属性を指定します。
- 役割属性 を
roleに設定します。 - Group をカスタム属性の名前(例:
full-accessまたはマッピング先のグループ)に設定し、それを Cloud One ロールにマッピングします。 - 残りのオプション属性には、次の値を指定します。
- 名前属性 を
nameに設定し、 ロケール属性 および タイムゾーン属性 を空のままにします。 - [Save] をクリックします。
[マッピング]セクションで[ + ]をクリックして、複数の グループを追加します。複数のグループに異なるアクセス権を設定できます。
コンソールのテーマを設定する
テーマクエリパラメータの指定は任意で、ユーザはアイデンティティプロバイダSAML応答から取得したrelayStateで特定のテーマを指定できます。有効なテーマ値は「light」と「dark」です。「ダーク」を選択すると、 Trend Micro Cloud One コンソールがダークモードで開きます。テーマパラメータが指定されていない場合、ブラウザの初期設定はライトモードになります。
テーマを指定するには、SAML応答のrelayStateでクエリパラメータとして「theme」を「dark」または「light」のいずれかの値とともに含める必要があります。
RelayStateの場合:
/theme=dark暗いテーマの場合/theme=lightライトテーマ用
SAML SSOのテスト
- Googleでアプリケーションに戻ったら、必ずログアウトし、キャッシュをクリアしてから再度ログインしてください。そうしないと、既存のセッションで新しいアプリケーションとの関連付けが認識されないため、
Error: not_a_saml_appが表示されることがあります。 - アプリケーションに戻ったら、[ Test SAML login ]をクリックすると、 Cloud Oneに自動的にログインします。
問題が発生した場合は、 トラブルシューティングSAMLガイド を参照してください。