目次

SAMLシングルサインオンを設定する

現在、SAMLは、 Workload Securityサービスへのサインオンとアクセスに対してのみサポートされていますが、Trend Cloud One製品全体に対してもサポートされています。このドキュメントでは、特にSAML for Workload Securityについて説明します。 トレンドマイクロ Cloud One全般のSAML も参照することをお勧めします。

SAMLシングルサインオン (SSO) を使用するようにWorkload Securityを設定すると、組織のポータルにサインインするユーザは、既存のWorkload SecurityアカウントがなくてもシームレスにWorkload Securityにサインインできます。 SAMLシングルサインオンでは、次のようなユーザ認証アクセス制御要素を実装することもできます。

  • パスワード強度または変更の強制
  • ワンタイムパスワード (OTP)
  • 2要素認証 (2FA) または多要素認証 (MFA)

Workload SecurityによるSAML標準の実装方法の詳細については、「SAMLシングルサインオン (SSO)について」を参照してください。 Microsoft Entra IDをIDプロバイダとして使用している場合は、「Microsoft Entra IDを使用したSAMLシングルサインオンの設定」を参照してください。

現時点では、 Workload Securityでは、SAML 2.0アイデンティティプロバイダ (IdP) が開始するログインフローのHTTP POSTバインディングのみがサポートされ、サービスプロバイダ (SP) が開始するログインフローはサポートされないことに注意してください。

Workload Securityでは、次の リージョンに対してSAMLがサポートされます。

Workload SecurityだけでなくTrend Cloud Oneのすべての部分でSAMLを使用する場合は、SAMLシングルサインオンについて を参照してください。

Workload SecurityでSAMLシングルサインオンを使用するには、次の手順を実行する必要があります。

  1. 設定前の要件を設定する
  2. Workload SecurityでSAMLを設定する
  3. IDプロバイダ管理者に情報を提供する
  4. SAMLクレームの構造
  5. SAMLシングルサインオンをテストする
  6. サービスとIDプロバイダの設定

前提条件

  1. Workload Security が正常に機能していることを確認します。
  2. IDプロバイダの管理者に問い合わせて、次の手順を実行します。
  3. ディレクトリサーバグループを Workload Security ロールにマッピングするための命名規則を確立します。
  4. IDプロバイダSAMLメタデータドキュメントを取得します。
  5. 必要なユーザ認証アクセス制御機能をポリシーに追加するよう依頼します。

Workload Security とSAMLシングルサインオンでテスト済みの次のIDプロバイダをサポートします。

  • Active Directoryフェデレーションサービス (ADFS)
  • Okta
  • PingOne
  • Shibboleth
  • Microsoft Entra ID

Workload SecurityでSAMLを設定する

Workload SecurityでSAMLを設定するには、いくつかの手順を実行する必要があります。

IDプロバイダSAMLメタデータドキュメントをインポートする

Workload Securityアカウントには、管理者権限とSAML アイデンティティプロバイダの作成権限の両方が必要です。

  1. [管理] 画面で、[ユーザ管理]→[アイデンティティプロバイダ]→[SAML] に移動します。
  2. [開始] をクリックします。
  3. [ファイルの選択] をクリックし、IDプロバイダによって提供されたSAMLメタデータドキュメントを選択して、次へ をクリックします。
  4. IDプロバイダの Name を入力し、 Finish をクリックして Roles ページに移動します。

SAMLユーザ用の Workload Security ロールの作成

想定されるユーザの種類ごとに役割を作成する必要があります。各役割は、IDプロバイダのディレクトリサーバに対応するグループがあり、グループのアクセス権限およびテナントの割り当てと一致する必要があります。

IDプロバイダのSAML統合には、グループメンバーシップをSAMLクレームに変換するメカニズムがあります。要求ルールの詳細については、IDプロバイダに付属のマニュアルを参照してください。

役割の作成方法については、「 ユーザの役割の定義」を参照してください。

IDプロバイダ管理者に情報を提供する

アイデンティティプロバイダの管理者が、 Workload Securityの設定に対応するグループとルールを作成できるようにします。

Workload Security サービスプロバイダのSAMLメタデータドキュメントをダウンロードする

  1. [管理] 画面で、[ユーザ管理]→[アイデンティティプロバイダ]→[SAML] に移動します。
  2. SAMLサービスプロバイダの下にある[ ダウンロード]をクリックします。

ブラウザに、Workload SecurityサービスプロバイダのSAMLメタデータドキュメント (ServiceProviderMetadata.xml) がダウンロードされます。

URNと Workload Security SAMLメタデータドキュメントをIDプロバイダ管理者に送信する

IDプロバイダの管理者 Workload SecurityのサービスプロバイダSAMLメタデータドキュメント、IDプロバイダのURN、および作成した各 Workload Security ロールのURNを指定する必要があります。

ロールURNを表示するには、 [管理]→[ユーザ管理]→[ロール] の順に選択し、[URN]列を確認します。IDプロバイダのURNを確認するには、[管理]→[ユーザ管理]→[アイデンティティプロバイダ]→[SAML]→[アイデンティティプロバイダ] の順に選択し、[URN] 列を参照します。

IDDEFの管理者が、 Workload Security ロールに対応するグループと、グループメンバーシップをSAMLクレームに変換するために必要なルールを作成したことを確認したら、SAMLシングルサインオンの設定は完了です。

必要に応じて、Workload Securityに必要なSAMLクレーム構造についてIDプロバイダの管理者に通知できます。

SAMLクレームの構造

Workload Security、次のSAMLクレームがサポートされます。

Workload Security username(必須)

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName``Attributeエレメントと、1つのAttributeValueエレメントが含まれるSAMLアサーションが必要です。Workload Security は、 Workload Security ユーザ名として AttributeValue を使用します。

サンプルのSAMLデータ (略語):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName">
        <AttributeValue>alice</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response> 
</pre>

Workload Security ユーザの役割(必須)

クレームには、 https://deepsecurity.trendmicro.com/SAML/Attributes/RoleName 属性を持つ Attribute 要素と1から10個の AttributeValue 要素を含むSAMLアサーションが必要です。

Workload Securityは、属性値を使用して、ユーザのテナント、IDプロバイダ、および役割を決定します。 1つのアサーションに、複数のテナントのロールを含めることができます。

サンプルのSAMLデータ (略語):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/Role">
        <AttributeValue>urn:tmds:identity:[pod ID]:[tenant ID]:saml-provider/[IDP name],
            urn:tmds:identity:[pod ID]:[tenant ID]:role/[role name]</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

読みやすいようにAttributeValueエレメントに改行を入れていますが、クレームでは1行にする必要があります。

最大セッション期間 (オプション)

Name 属性が https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration である Attribute 要素と整数値の AttributeValue 要素を含むSAMLアサーションが要求にある場合、その時間(秒単位)が経過するとセッションは自動的に終了します。

サンプルのSAMLデータ (略語):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration">
        <AttributeValue>28800</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

言語設定 (オプション)

要求に https://deepsecurity.trendmicro.com/SAML/attributes/PreferredLanguage という Name 属性とサポートされている言語のいずれかに等しい文字列値の AttributeValue 要素が含まれる Attribute 要素を含むSAMLアサーションがある場合、 Workload Security はその値を使用してユーザの優先言語を設定します。

次の言語がサポートされます。

  • en-US (米国英語)
  • ja-JP (日本語)

サンプルのSAMLデータ (省略形):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/PreferredLanguage">
        <AttributeValue>en-US</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

SAMLシングルサインオンをテストする

IDプロバイダサーバのシングルサインオンログインページに移動し、そこから Workload Security にログインします。Workload Security コンソールにリダイレクトされます。

SAMLシングルサインオンが機能しない場合は、設定を確認します。

  1. 「設定前の要件を設定する」セクションを確認します。
  2. ユーザが正しいディレクトリグループに属していることを確認します。
  3. IDプロバイダと役割のURNがIDプロバイダのフェデレーションサービスで正しく設定されていることを確認します。

サービスとIDプロバイダの設定

Workload Securityがサーバ証明書とIDプロバイダ証明書の有効期限を通知する期間、およびSAMLシングルサインオンを介して追加された非アクティブなユーザアカウントが自動的に削除されるまでの期間を設定できます。

これらの設定を変更するには、[管理]→[システム設定]→[セキュリティ]→[アイデンティティプロバイダ] に移動します。