このページのトピック
Oktaセットアップガイド
Trend Micro Cloud OneのメタデータXMLをダウンロードする
- IDおよびアカウント権限へのフルアクセス権を持つ Trend Micro Cloud One にログインします。
- ページの下部にある [User Management] をクリックします。
- 左側のIdentity Providersタブをクリックします。
- [ Trend Micro Cloud One用のメタデータXMLをダウンロード ]リンクをクリックするか、リンクを右クリックしてオプションを選択し、ファイルを保存します。
このXMLファイルは、 OktaでSAMLを設定するために読み込まれます。後で別のXMLファイルを使用して Cloud One にアップロードします。
OktaでSAMLを設定する
以下の手順の詳細については Oktaのドキュメント を参照してください。
Oktaアプリケーションを作成する
- Oktaにログインします。Oktaアカウントをお持ちでなく、機能をテストする場合は、代わりに Developer Account を選択できます。
- 展開して、左側の[ Applications ]をクリックします。 Create App Integrationをクリックし、 SAML 2.0 を選択してから、 Nextをクリックします。一般設定を入力し、[Next]をクリックします。
- 次のようにページに入力します。
一般:
| フィールド | 値 | 備考 |
|---|---|---|
| シングルサインオンURL | Cloud One メタデータXMLファイルから、 AssertionConsumerService > Locationの値を入力します |
例: https://saml.cloudone.trendmicro.com/idpresponse |
| [受信者URL]と[送信先URL]に使用します。 | チェック済み | |
| オーディエンスURL | Cloud One メタデータXMLファイルから、 entityID |
例: https://saml.cloudone.trendmicro.com |
| Relay の初期設定の状態 | 空または「/workload」 | サインイン時にユーザを自動的に Workload Security に移動させる場合は、これを設定します。 |
- その他の一般的なフィールドは初期設定値のままにします。
属性文:
| 属性 | 名前 | 名前の形式 | 値 |
|---|---|---|---|
| 名前 | name | 指定なし | String.append(user.firstName + "" + user.lastName) |
| ロケール | ロケール | 指定なし | user.locale |
| タイムゾーン | タイムゾーン | 指定なし | user.timezone |
上記のSAML属性の要求は推奨事項です。必要に応じてカスタマイズできます。
グループ属性文:
| 属性 | 名前 | 名前の形式 | フィルタ |
|---|---|---|---|
| グループ | groups | 指定なし | ここでは、アクセスを許可するグループを正確に定義できます。任意のグループに Matches regex + .* |
詳細については、 属性のクレームガイド を参照してください。
- 完了したら、をクリックします次を選択しますI'm an Okta customer adding an internal appのチェックボックスを選択しますThis is an internal app that we have created次にクリックします終了。
アプリでOktaを使用するために追加のSAML設定手順が必要な場合は、 It's required to contact the vendor to enable SAMLのチェックボックスをオンにします。提供されたフィールドに入力して、 OktaサポートチームがSAML設定を理解できるようにします。
アプリケーションにグループを割り当てる
- [ Assignments ]タブをクリックして、アプリケーションにグループを割り当てます。使用するユーザがそのグループに関連付けられていることを確認します。
- Oktaのユーザディレクトリで設定できます。
Oktaのメタデータをダウンロードする
- [Sign On]タブをクリックし、[identity provider metadata]リンクをクリックして、アプリケーションのメタデータをダウンロードします。
Cloud OneでSAMLを設定する
- Cloud One Identity Providers ページで、[ New ]をクリックします。
- [ アイデンティティプロバイダ ]ダイアログボックスの[ エイリアス ]フィールドに任意の名前を入力しますが、名前にはAzure ADやOktaなどのIDプロバイダを含めることをお勧めします。
- メタデータXMLファイル ボックスで、 ブラウズ ボタンをクリックし、IDプロバイダー( Cloud Oneではない)からダウンロードしたメタデータファイルに移動します。
- [マッピング]セクション(SAMLシングルサインオンについての説明を参照)には、次の手順で説明する役割と属性を指定します。
- 役割属性: を:
groups( グループ属性ステートメントの Name の値)に設定します。 - Group をグループの名前(
Everyoneなど)に設定し、そのグループに付与するアクセス権を選択します。 - 名前属性 を次のように設定します。
name - ロケール属性 を次のように設定します。
locale - タイムゾーン属性 を次のように設定します。
timezone - [Save] をクリックします。
[マッピング]セクションで[ + ]をクリックして、複数の グループを追加します。複数のグループに異なるアクセス権を設定できます。
コンソールのテーマを設定する
テーマクエリパラメータの指定は任意で、ユーザはアイデンティティプロバイダSAML応答から取得したrelayStateで特定のテーマを指定できます。有効なテーマ値は「light」と「dark」です。「ダーク」を選択すると、 Trend Micro Cloud One コンソールがダークモードで開きます。テーマパラメータが指定されていない場合、ブラウザの初期設定はライトモードになります。
テーマを指定するには、SAML応答のrelayStateでクエリパラメータとして「theme」を「dark」または「light」のいずれかの値とともに含める必要があります。
RelayStateの場合:
/theme=dark暗いテーマの場合/theme=lightライトテーマ用
SAML SSOのテスト
- アプリケーションにアクセスできるユーザとしてOktaにログインします。
- 新しい Cloud One アプリケーションをクリックしてログインすると、 Cloud Oneに自動的にログインします。
問題が発生した場合は、 トラブルシューティングSAMLガイド を参照してください。