SAMLシングルサインオンについて
Trend Micro Cloud One は、Security Assertion Markup Language 2.0(SAML)と呼ばれるオープン認証標準を使用したシングルサインオン(SSO)をサポートします。SSOを使用すると、1組の資格情報を使用してアプリケーションを認証できます。また、組織のIDプロバイダを使用すると、従業員によるアプリケーションへのアクセスをより簡単に制御できます。
Cloud One SAMLは、 アイデンティティプロバイダで開始されたSSOのみをサポートします Cloud Oneにアクセスするには、IDプロバイダ経由でログインする必要があります。
以前は、 Cloud One Workload SecurityにSAMLシングルサインオンを直接設定できました。SAMLを使用してすべての Cloud One にログインできるようになりました。ただし、このすべての Cloud One への新しいシングルサインオンは個別に設定する必要があります。
Cloud One は、通常のWebインタフェースと Cloud One 資格情報(SAML SSOとは別)を使用したネイティブサインオンを引き続きサポートします。
SAMLシングルサインオンを実装するには、SAMLシングルサインオンの設定を参照してください。
Cloud OneでのSAMLシングルサインオンの仕組み
SAMLシングルサインオンでは、IDプロバイダとサービスプロバイダの2者間の信頼関係を確立します。
IDプロバイダのディレクトリサーバにはユーザID情報が保存されています。サービスプロバイダ(この場合は Cloud One)は、ユーザに代わってサービスプロバイダへの認証を求めるIDプロバイダからの要求を受け入れます。
IDプロバイダとサービスプロバイダは、SAMLメタデータドキュメントを相互に交換することで信頼を確立します。
Cloud One とIDプロバイダがSAMLメタデータドキュメントを交換して信頼関係を確立すると、 Cloud One はIDプロバイダからのアサーションを受け入れ、それらを使用して Cloud One アカウントでユーザを認証できます。 Cloud One では、メタデータドキュメントに加えて、ユーザの認証方法を知るためにアサーション内のデータを解釈するための指示が必要です。これは、 マッピング、役割、クレームによって行います。
- マッピングは、 Cloud One の属性をIDプロバイダのユーザ属性に関連付けるために使用されます。
- クレームは、IDプロバイダがアサーションで提供するユーザに関する情報です。
- 役割は、IDプロバイダのユーザのグループを Cloud One アカウントの役割にマップする方法を指定します。
Cloud One は、次のマッピングを使用します。
- 名前属性 (オプション):ユーザの名前を含む要求属性を指定します。表示用です。
- ロケール属性 (オプション):ユーザのロケールを含む要求属性を指定します。Cloud Oneでロケールを設定するために使用します。
- タイムゾーン属性 (オプション):ユーザのタイムゾーンを含む要求属性を指定します。 Cloud Oneでタイムゾーンを設定するために使用します。
- 役割属性:ユーザが属するグループを含む要求属性を指定します。これは、役割マッピング値とともに使用され、ユーザがアクセスできるアカウント内の役割を決定します。
- Group:名前と値のペアのリストで、ユーザが所属するグループ(役割マッピングで指定された属性から読み込まれる)を Cloud One アカウントの役割にマッピングする方法を指定します。グループは、アカウント内の単一の Cloud One ロールにのみ割り当てることができます。
Cloud One のIDプロバイダ設定は、特定の Cloud One アカウントに関連付けられています。つまり、役割のマッピングで指定する役割は、現在の Cloud One アカウントのものである必要があります。同じIDプロバイダを使用して複数のアカウントにログインするには、各 Cloud One アカウントに設定情報を個別に追加する必要があります。
Cloud One は、アサーションを受信すると、マッピングを使用してユーザが所属するグループを読み取り、ユーザがアクセスできる Cloud One ロールにそれらをマッピングします。このマッピングは、IDプロバイダが設定されているすべての Cloud One アカウントに対して行われ、 Cloud Oneへのログインに使用できるアカウントとロールのリストがユーザに提供されます。
複数の役割を持つユーザまたは Cloud One アカウントの場合、IDプロバイダからの単一のアサーションですべての役割とアカウントへのアクセスを許可できます。ただし、 Cloud One アカウントはそれぞれ固有のIDプロバイダ設定に関連付けられているため、アクセスを有効にするには、IDプロバイダで各アカウントを個別に設定する必要があります。
設定が完了すると、 Cloud One は、アサーションで提供されるマッピングを使用して、ユーザがサインインできるすべての役割とアカウントを一覧表示します。
Cloud Oneから役割を削除しても、IDプロバイダの設定には反映されません。 Cloud One でIDプロバイダに移動し、削除された役割の横にある警告のヒントをメモしておく必要があります。このマッピングに関連付けられているユーザは、 Cloud Oneにログインできません。マッピングを手動で有効な役割に更新するか、マッピングをすべて削除する必要があります。
Cloud OneでのSAMLシングルサインオンの実装
Cloud One とSAMLメタデータドキュメント交換を使用するIDプロバイダの間に信頼関係が確立されると、ユーザはSAMLシングルサインオンを使用して組織のポータルから Cloud One にサインインできます。
詳細については、SAMLシングルサインオンを設定するを参照してください。