このページのトピック
Googleセットアップガイド
Trend Cloud OneのメタデータXMLをダウンロードする
- Trend Cloud One に、[ID] および [アカウント] へのフルアクセス権限でログインします。
- ページの下部にあるAdministrationをクリックします。
- 左側のIdentity Providersタブをクリックします。
- [Trend Cloud OneのメタデータXMLのダウンロード] をクリックするか、リンクを右クリックしてファイルを保存するオプションを選択します。
このXMLファイルは、GoogleでSAMLを設定するために読み取られます。
GoogleでSAMLを設定する
詳細については、Googleのドキュメント を参照してください。
現在、Googleはまだ、SAML応答でユーザのグループメンバーシップを送信するためのベータ版 を提供しています。回避策として、このドキュメントで説明する手順では、カスタム属性を使用してマップし、アカウントがその機能にアクセスできる場合にグループメンバーシップを使用する場所の表記を含めます。カスタム属性を使用するには、[ Directory ]→[ Users] に移動し、[ More options] をクリックし、[ Manager user attributes]を選択してから、[Add custom attribute] をクリックします。これは、Trend Cloud Oneのどのロールにどのユーザがアクセスできるかを決定するために使用されます。カテゴリを設定します (例: CloudOneRole)。名前を roleに設定します。組織に表示され、単一の値になります。ユーザプロファイルを更新して、そのカスタムフィールドに値 (例: full-access) を設定します。以降の手順でマッピングを作成します。
カスタムSAMLアプリの追加
- スーパー管理者権限でGoogle管理コンソール にログインします。
- 左側で、[ アプリ]→[Webおよびモバイルアプリ]の順に選択します。 [Add app] をクリックし、[ Add custom SAML app] を選択してアプリケーションの名前を入力し、[Continue] をクリックします。
- [ Download Metadata]をクリックし、[ Continue]をクリックします。
- 次のセクションに以下のように入力し、各セクションに入力するたびに[Continue]をクリックします。
サービスプロバイダの詳細:
| フィールド | 値 | 備考 |
|---|---|---|
| ACSのURL | Trend Cloud OneメタデータXMLファイルで、AssertionConsumerService → Locationの値を入力します。 |
例: https://saml.cloudone.trendmicro.com/idpresponse |
| エンティティID | Trend Cloud OneメタデータXMLファイルで、 entityIDの値を入力します。 |
例: https://saml.cloudone.trendmicro.com |
| 開始URL | 空または「/workload」 | ユーザのサインイン時に自動的にWorkload Securityに移動する場合は、これを設定します。 |
他のフィールドは初期設定のままにします。
属性マッピング:
| Google Directoryの属性 | アプリの属性 |
|---|---|
| 基本情報>名前 | name |
| CloudOneRole>役割 | 役割 |
グループメンバーシップ が使用可能な場合は、カスタム属性 (CloudOneRole) マッピングを含めないでください。代わりに、 Googleグループ で、アプリケーションにマッピングするグループを検索して選択します。[アプリの属性]で、roleを入力します。
詳細については、 属性のクレームガイド を参照してください。
ユーザアクセスの設定
- SAMLアプリケーション内で、[ User access] をクリックし、[ ON for Everyone ] を選択して、[保存] をクリックします。
- 左側の [ Groups ] を展開し、アプリケーションへのアクセスを提供するグループを検索またはクリックします。 [ ON for Everyone ] を選択し、[保存] をクリックします。
Trend Cloud OneでのSAMLの設定
- Trend Cloud One IDプロバイダ 画面で、 Newをクリックします。
- [ アイデンティティプロバイダ]の[ Alias ]フィールドに、IDプロバイダを含む名前 (Googleなど) を入力します。
- [ メタデータXMLファイル]で、[Browse] をクリックし、IDプロバイダ (Trend Cloud Oneではない) からダウンロードしたメタデータファイルに移動します。
- [マッピング]セクション(SAMLシングルサインオンについての説明を参照)には、次の手順で説明する役割と属性を指定します。
- 役割属性 を
roleに設定します。 - Group をカスタム属性の名前に設定し (例:
full-accessまたはマッピングしたグループ) Trend Cloud Oneの役割にマッピングします。 - 残りのオプション属性に次の値を指定します。名前属性 を
nameに設定し、ロケール属性および タイムゾーン属性を空のままにします。 - [Save] をクリックします。
[ Mapping ] セクションで、[ + ] をクリックして複数の グループを追加します。複数のグループに異なるアクセス権限を設定できます。
コンソールのテーマを設定する
テーマクエリパラメータの指定はオプションです。これにより、ユーザはアイデンティティプロバイダのSAML応答から取得する RelayState で特定のテーマを指定できます。有効なテーマ値は、light および darkです。dark を選択した場合、Trend Cloud Oneコンソールはダークモードで開きます。 themeパラメータが指定されていない場合、ブラウザは初期設定でライトモードに設定されます。または、ユーザのローカルブラウザ設定内に保存された内容が使用されます。
テーマを指定するには、SAML応答の relayState に、 dark または lightのいずれかの値を持つクエリパラメータとして theme を含める必要があります。
RelayStateの場合:
/theme=dark暗いテーマの場合/theme=lightライトテーマ用
SAML SSOのテスト
- Googleでアプリケーションに戻り、必ずログアウトし、キャッシュをクリアしてから再度ログインします。そうしないと、既存のセッションが新しいアプリケーションとの関連付けを認識しないため、
Error: not_a_saml_appが発生する可能性があります。 - アプリケーションに戻ったら、[ Test SAML login ] をクリックすると、Trend Cloud Oneに自動的にログインします。
問題が発生した場合は、SAMLのトラブルシューティングガイドを参照してください。