目次

Microsoft Entra IDを使用したSAMLシングルサインオンの設定

現在、SAMLはWorkload Securityサービスへのサインオンとアクセスに対してのみサポートされており、 Trend Micro Cloud One製品全体に対してはサポートされていません。次のリージョンでサポートされています。

現在、 Workload SecurityはSAML 2.0 IDプロバイダ(IdP)からのログインフローのHTTP POSTバインディングのみをサポートしており、サービスプロバイダ(SP)からのログインフローはサポートしていません。

Trend Cloud Oneで動作するようにMicrosoft Entra IDを使用するSAML SSOを設定する方法の詳細については、Azure Microsoft Entra ID設定ガイドを参照してください。

Workload Security によるSAML標準の実装方法の詳細については、SAMLシングルサインオン(SSO)についてを参照してください。他のIDプロバイダとの設定手順については、 SAMLシングルサインオンの設定を参照してください。

誰がこのプロセスに関与していますか?

通常、SAMLシングルサインオン (SSO) にMicrosoft Entra IDを使用するようにWorkload Securityを設定するには、 Workload Security管理者とMicrosoft Entra ID管理者の2人が必要です。

Workload Security管理者には、SAMLアイデンティティプロバイダ権限を [完全]、または [カスタム] に設定し、[新規SAMLアイデンティティプロバイダを作成できます] を有効にして、Workload Securityロールを割り当てる必要があります。

Microsoft Entra IDを使用してWorkload SecurityでSAMLシングルサインオンを設定するために必要な手順と、各手順の実行者は次のとおりです。

ステップ 実行者
Workload Security サービスプロバイダのSAMLメタデータドキュメントをダウンロードする。 Workload Security 管理者
Microsoft Entra IDの設定 Microsoft Entra ID管理者
Workload SecurityでSAMLを設定する Workload Security 管理者
Microsoft Entra IDでの役割の定義 Microsoft Entra ID管理者

Workload Security サービスプロバイダのSAMLメタデータドキュメントをダウンロードする

Workload Securityコンソールで、[管理]→[ユーザ管理]→[IDプロバイダ]→[SAML] の順に選択し、[ダウンロード] をクリックします。ファイルは ServiceProviderMetadata.xmlとしてダウンロードされます。 Microsoft Entra ID管理者にファイルを送信します。

Microsoft Entra IDの設定

このセクションの手順は、Microsoft Entra ID管理者が実行します。これらの手順の実行方法の詳細については、「Microsoft Entra IDでのギャラリー以外のアプリケーションへのシングルサインオンの設定」を参照してください。

  1. ステップの実行方法の詳細については、ポータルで新しい非ギャラリーアプリケーションを追加します。
  2. アプリケーションのシングルサインオンを設定します。 Workload Securityからダウンロードしたメタデータファイル ServiceProviderMetadata.xmlをアップロードすることをお勧めします。または、応答URL (Workload Security URL + /saml) を入力することもできます。

    Workload SecurityのURLは、Trend Cloud Oneのリージョン によって異なります。

  3. SAML要求を設定します。Workload Security には次の2つが必要です。

    • https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName これは、 Workload Securityのユーザ名となる一意のユーザIDです。たとえば、User Principal Name(UPN)を使用できます。

    • https://deepsecurity.trendmicro.com/SAML/Attributes/Role 形式は「IDP URN,Role URN」です。 IDPはまだWorkload Securityで作成されていないため、後でMicrosoft Entra IDでの役割の定義でこのSAML要求を設定できます。

    SAMLクレーム構造で説明されているように、その他の任意のクレームを設定することもできます。

    SAMLでのシングルサインオンのセットアップ - プレビュー

  4. Federation Metadata XML ファイルをダウンロードし、 Workload Security 管理者に送信してください。

Workload Securityで複数の役割が定義されている場合は、これらの手順を繰り返して役割ごとに個別のアプリケーションを作成します。

Workload SecurityでSAMLを設定する

以下のセクションでは、Workload SecurityでのSAMLの設定について詳しく説明します。

Microsoft Entra IDメタデータドキュメントをインポートする

  1. Workload Securityで、 [Administration]→[User Management]→[Identity Providers]→[SAML]に選択します。
  2. [ Get Started ]または[ New ]をクリックします。
  3. [ファイルの選択] をクリックし、Microsoft Entra IDからダウンロードしたフェデレーションメタデータXMLファイルを選択して、[次へ] をクリックします。
  4. IDプロバイダの[名前]を入力し、[ Finish ]の順にクリックします。 Roles のページに移動します。

SAMLユーザ用の Workload Security ロールの作成

Workload Securityの [管理]→[ユーザ管理]→[役割] ページに、組織に適した役割が含まれていることを確認します。ユーザには、職務の完了に必要なアクティビティのみに制限する役割を割り当てる必要があります。役割の作成方法については、「ユーザの役割の定義」を参照してください。各Workload Securityの役割には、対応するMicrosoft Entra IDアプリケーションが必要です。

URNを取得する

Microsoft Entra ID管理者は、IDプロバイダのURNと役割のURNS (役割のWorkload SecurityのURNをMicrosoft Entra IDアプリケーションに関連付ける) を必要とします。両方に必要な情報は、 Workload Securityコンソールで確認できます。

  • IDプロバイダのURNを表示するには、 [管理]→[ユーザ管理]→[IDプロバイダ]→[SAML]→[IDプロバイダ] の順に選択し、[URN]列を確認します。
  • ロールURNを表示するには、 [管理]→[ユーザ管理]→[ロール] の順に選択し、[URN]列を選択します。

複数の役割がある場合は、役割ごとに個別のMicrosoft Entra IDアプリケーションが必要になるため、役割ごとにURNが必要です。

Microsoft Entra IDでの役割の定義

このセクションの手順は、Microsoft Entra ID管理者が実行する必要があります。

Microsoft Entra IDで、前のセクションで特定したIDプロバイダのURNとロールのURNを使用して、Azureアプリケーションの「role」属性を定義します。 「IDP URN,Role URN」の形式にする必要があります。 SAMLクレーム構造 セクションの「 Workload Securityユーザの役割 (必須)」を参照してください。

Microsoft Entra IDのValidateボタンを使用して設定をテストするか、新しいアプリケーションをユーザに割り当てて動作をテストします。

サービスとIDプロバイダの設定

Workload Security からサーバとIDプロバイダの証明書の有効期限までの期間、およびSAMLシングルサインオンで追加された非アクティブなユーザアカウントが自動的に削除されるまでの時間を設定できます。

これらの設定を変更するには、[管理]→[システム設定]→[セキュリティ]→[アイデンティティプロバイダ] に移動します。

SAMLクレームの構造

Workload Security、次のSAMLクレームがサポートされます。

Workload Security username(必須)

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName``Attributeエレメントと、1つのAttributeValueエレメントが含まれるSAMLアサーションが必要です。Workload Security は、 Workload Security ユーザ名として AttributeValue を使用します。

サンプルのSAMLデータ (略語):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName">
        <AttributeValue>alice</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response> 

Workload Security ユーザの役割(必須)

要求には、 https://deepsecurity.trendmicro.com/SAML/Attributes/RoleName 属性を持つ Attribute 要素と1〜10個のAttributeValue要素を含むSAMLアサーションが必要です。Workload Security は、属性値を使用して、ユーザのテナント、IDプロバイダ、および役割を判断します。1つのアサーションには複数のテナントの役割が含まれる場合があります。

サンプルのSAMLデータ (略語):

読みやすいようにAttributeValueエレメントに改行を入れていますが、クレームでは1行にする必要があります。

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/Role">
        <AttributeValue>urn:tmds:identity:[pod ID]:[tenant ID]:saml-provider/[IDP name],
            urn:tmds:identity:[pod ID]:[tenant ID]:role/[role name]</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

最大セッション期間 (オプション)

Name 属性が https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration である Attribute 要素と整数値の AttributeValue 要素を含むSAMLアサーションが要求にある場合、その時間(秒単位)が経過するとセッションは自動的に終了します。

サンプルのSAMLデータ (略語):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration">
        <AttributeValue>28800</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

言語設定 (オプション)

要求に https://deepsecurity.trendmicro.com/SAML/attributes/PreferredLanguage という Name 属性とサポートされている言語のいずれかに等しい文字列値の AttributeValue 要素が含まれる Attribute 要素を含むSAMLアサーションがある場合、 Workload Security はその値を使用してユーザの優先言語を設定します。

次の言語がサポートされます。

  • en-US (米国英語)
  • ja-JP (日本語)
  • zh-CN (簡体字中国語)

サンプルのSAMLデータ (略語):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/PreferredLanguage">
        <AttributeValue>en-US</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>