目次

Azure Active DirectoryでのSAMLシングルサインオンの設定

現在、SAMLはサインオンおよび Workload Security サービスへのアクセスでのみサポートされており、 Trend Micro Cloud One 製品全体ではサポートされていません。次の リージョンでサポートされます。

現在、 Workload SecurityはSAML 2.0 IDプロバイダ(IdP)からのログインフローのHTTP POSTバインディングのみをサポートしており、サービスプロバイダ(SP)からのログインフローはサポートしていません。

Trend Cloud Oneと連携するようにAzure Active Directoryを使用したSAML SSOを設定する方法の詳細については、Azure Active Directory (AD) セットアップガイドを参照してください。

Workload Security によるSAML標準の実装方法の詳細については、SAMLシングルサインオン(SSO)についてを参照してください。他のIDプロバイダとの設定手順については、 SAMLシングルサインオンの設定を参照してください。

誰がこのプロセスに関与していますか?

通常、SAMLシングルサインオン(SSO)でAzure Active Directoryを使用するようにWorkload Securityを設定するには、2人の担当者、Workload Security管理者とAzure Active Directory管理者が必要です。

Workload Security管理者には、SAMLアイデンティティプロバイダ権限を [完全]、または [カスタム] に設定し、[新規SAMLアイデンティティプロバイダを作成できます] を有効にして、Workload Securityロールを割り当てる必要があります。

Azure Active Directoryを使用して Workload Security でSAMLシングルサインオンを設定する手順と、各手順を実行する担当者は以下の通りです。

ステップ 実行者
Workload Security サービスプロバイダのSAMLメタデータドキュメントをダウンロードする。 Workload Security 管理者
Azure Active Directoryを設定する Azure Active Directory管理者
Workload SecurityでSAMLを設定する Workload Security 管理者
Azure Active Directoryで役割を定義する Azure Active Directory管理者

Workload Security サービスプロバイダのSAMLメタデータドキュメントをダウンロードする

Workload Security コンソールで、 [管理]→[ユーザ管理]→[IDプロバイダ]→SAML に移動し、[Download]をクリックします。ファイルは ServiceProviderMetadata.xmlとしてダウンロードされます。このファイルをAzure Active Directory管理者に送信します。

Azure Active Directoryを設定する

このセクションの手順は、Azure Active Directory管理者が実行します。

以下の手順の実行方法の詳細については、 Azure Active Directoryの非ギャラリーアプリケーションへのシングルサインオンの設定を参照してください。

  1. Azure Active Directoryポータルで、ギャラリー以外の新しいアプリケーションを追加します。
  2. アプリケーションのシングル・サインオンを設定します。Workload Securityからダウンロードされたメタデータファイル ServiceProviderMetadata.xmlをアップロードすることをお勧めします。また、返信URL( Workload Security URL + /saml)を入力することもできます。

    Workload Security URLは、 Trend Micro Cloud One リージョンによって異なります。

  3. SAML要求を設定します。Workload Security には次の2つが必要です。

    • https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName これは、 Workload Securityのユーザ名となる一意のユーザIDです。たとえば、User Principal Name(UPN)を使用できます。

    • https://deepsecurity.trendmicro.com/SAML/Attributes/Role 形式は「IDP URN、役割URN」です。IDCDは Workload Security でまだ作成されていません。このSAMLクレームは後で Azure Active Directoryで役割を定義して設定できます

    SAMLクレーム構造で説明されているように、その他の任意のクレームを設定することもできます。

    SAMLでのシングルサインオンのセットアップ - プレビュー

  4. Federation Metadata XML ファイルをダウンロードし、 Workload Security 管理者に送信してください。

Workload Securityで複数の役割が定義されている場合は、これらの手順を繰り返して役割ごとに個別のアプリケーションを作成します。

Workload SecurityでSAMLを設定する

以下のセクションでは、Workload SecurityでのSAMLの設定について詳しく説明します。

Azure Active Directoryメタデータドキュメントをインポートする

  1. Workload Securityで、 [Administration]→[User Management]→[Identity Providers]→[SAML]に選択します。
  2. [ Get Started ]または[ New ]をクリックします。
  3. [ ファイルの選択 ]の順に選択し、Azure Active DirectoryからダウンロードしたFederation Metadata XMLファイルを選択し、[ 次へ ]の順にクリックします。
  4. IDプロバイダの[名前]を入力し、[ Finish ]の順にクリックします。 Roles のページに移動します。

SAMLユーザ用の Workload Security ロールの作成

Workload Security の[管理]→[ユーザ管理]→[役割]画面に組織の適切な役割が含まれていることを確認します。ユーザには、自分の業務を職務の遂行に必要なものに限定する役割が割り当てられている必要があります。役割の作成方法については、ユーザの役割の定義を参照してください。各 Workload Security の役割には、対応するAzure Active Directoryアプリケーションが必要です。

URNを取得する

Azure Active Directory管理者には、アイデンティティプロバイダのURNと役割URNS(Azure Active Directoryアプリケーションに関連付ける役割の Workload Security に対するURN)が必要です。必要な情報は、 Workload Security コンソールで確認できます。

  • IDプロバイダのURNを表示するには、 [管理]→[ユーザ管理]→[IDプロバイダ]→[SAML]→[IDプロバイダ] の順に選択し、[URN]列を確認します。
  • ロールURNを表示するには、 [管理]→[ユーザ管理]→[ロール] の順に選択し、[URN]列を選択します。

複数の役割を持つ場合は、役割ごとにURNが必要になります。役割ごとに個別のAzure Activeアプリケーションが必要なためです。

Azure Active Directoryで役割を定義する

このセクションの手順は、Azure Active Directory管理者が実行する必要があります。

Azure Active Directoryでは、前のセクションで識別されたIDプロバイダのURNと役割のURNを使用して、Azureアプリケーションで「役割」属性を定義します。これは、「IDP URN,Role URN」の形式で指定してください。SAMLクレーム構造 セクションの「Workload Security ユーザの役割(必須)」を参照してください。

Azure Active Directoryの[検証]ボタンを使用してセットアップをテストするか、新しいアプリケーションをユーザに割り当ててテストします。

サービスとIDプロバイダの設定

Workload Security からサーバとIDプロバイダの証明書の有効期限までの期間、およびSAMLシングルサインオンで追加された非アクティブなユーザアカウントが自動的に削除されるまでの時間を設定できます。

これらの設定を変更するには、[管理]→[システム設定]→[セキュリティ]→[アイデンティティプロバイダ] に移動します。

SAMLクレームの構造

Workload Security、次のSAMLクレームがサポートされます。

Workload Security username(必須)

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName``Attributeエレメントと、1つのAttributeValueエレメントが含まれるSAMLアサーションが必要です。Workload Security は、 Workload Security ユーザ名として AttributeValue を使用します。

サンプルのSAMLデータ (略語):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName">
        <AttributeValue>alice</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response> 

Workload Security ユーザの役割(必須)

要求には、 https://deepsecurity.trendmicro.com/SAML/Attributes/RoleName 属性を持つ Attribute 要素と1〜10個のAttributeValue要素を含むSAMLアサーションが必要です。Workload Security は、属性値を使用して、ユーザのテナント、IDプロバイダ、および役割を判断します。1つのアサーションには複数のテナントの役割が含まれる場合があります。

サンプルのSAMLデータ (略語):

読みやすいようにAttributeValueエレメントに改行を入れていますが、クレームでは1行にする必要があります。

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/Role">
        <AttributeValue>urn:tmds:identity:[pod ID]:[tenant ID]:saml-provider/[IDP name],
            urn:tmds:identity:[pod ID]:[tenant ID]:role/[role name]</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

最大セッション期間 (オプション)

Name 属性が https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration である Attribute 要素と整数値の AttributeValue 要素を含むSAMLアサーションが要求にある場合、その時間(秒単位)が経過するとセッションは自動的に終了します。

サンプルのSAMLデータ (略語):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration">
        <AttributeValue>28800</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

言語設定 (オプション)

要求に https://deepsecurity.trendmicro.com/SAML/attributes/PreferredLanguage という Name 属性とサポートされている言語のいずれかに等しい文字列値の AttributeValue 要素が含まれる Attribute 要素を含むSAMLアサーションがある場合、 Workload Security はその値を使用してユーザの優先言語を設定します。

次の言語がサポートされます。

  • en-US (米国英語)
  • ja-JP (日本語)
  • zh-CN (簡体字中国語)

サンプルのSAMLデータ (略語):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/PreferredLanguage">
        <AttributeValue>en-US</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>