目次

SAMLシングルサインオンを設定する

現在、SAMLは、 Workload Securityサービスへのサインオンとアクセスに対してのみサポートされていますが、Trend Cloud One製品全体に対してもサポートされています。このドキュメントでは、特にSAML for Workload Securityについて説明します。 Trend Micro Cloud One全般のSAML も参照することをお勧めします。

SAMLシングルサインオン(SSO)を使用するように Workload Security を設定すると、組織のポータルにサインインするユーザは、既存の Workload Security アカウントがなくても、シームレスに Workload Security にサインインできます。また、SAMLシングルサインオンを使用すると、次のようなユーザ認証アクセス制御機能を実装できます。

  • パスワード強度または変更の強制
  • ワンタイムパスワード (OTP)
  • 2要素認証 (2FA) または多要素認証 (MFA)

Workload SecurityによるSAML標準の実装方法の詳細については、「SAMLシングルサインオン (SSO)について」を参照してください。 Microsoft Entra IDをIDプロバイダとして使用している場合は、「Microsoft Entra IDを使用したSAMLシングルサインオンの設定」を参照してください。

Workload Security は、SAML 2.0 IDプロバイダ(IdP)から開始されるログインフローのHTTP POSTバインディングのみをサポートし、サービスプロバイダ(SP)から開始されるログインフローはサポートしません。

Workload Securityでは、次の リージョンに対してSAMLがサポートされます。

Workload SecurityだけでなくTrend Micro Cloud Oneのすべての部分でSAMLを使用する場合は、 こちらから開始します。

Workload SecurityでSAMLシングルサインオンを使用するには、次の手順を実行する必要があります。

  1. 設定前の要件を設定する
  2. Workload SecurityでSAMLを設定する
  3. IDプロバイダ管理者に情報を提供する
  4. SAMLクレームの構造
  5. SAMLシングルサインオンをテストする
  6. サービスとIDプロバイダの設定

セットアップ前の要件を設定する

  1. Workload Security が正常に機能していることを確認します。
  2. IDプロバイダの管理者に次のことを問い合わせます。
  3. ディレクトリサーバグループを Workload Security ロールにマッピングするための命名規則を確立します。
  4. IDプロバイダSAMLメタデータドキュメントを取得します。
  5. 必要なユーザ認証アクセス制御機能をポリシーに追加するよう依頼します。

Workload Security とSAMLシングルサインオンでテスト済みの次のIDプロバイダをサポートします。

  • Active Directoryフェデレーションサービス (ADFS)
  • Okta
  • PingOne
  • Shibboleth
  • Microsoft Entra ID

Workload SecurityでSAMLを設定する

以下のセクションでは、 Workload SecurityでSAMLを設定する方法について説明します。

IDプロバイダSAMLメタデータドキュメントをインポートする

Workload Securityアカウントには、管理者権限とSAML アイデンティティプロバイダの作成権限の両方が必要です。

  1. [管理] 画面で、[ユーザ管理]→[アイデンティティプロバイダ]→[SAML] に移動します。
  2. [開始] をクリックします。
  3. [ファイルの選択] をクリックし、IDプロバイダによって提供されたSAMLメタデータドキュメントを選択して、次へ をクリックします。
  4. IDプロバイダの [名前] を入力し、[完了] をクリックします。

Roles ページが表示されます。

SAMLユーザ用の Workload Security ロールの作成

想定されるユーザの種類ごとに役割を作成する必要があります。各役割は、IDプロバイダのディレクトリサーバに対応するグループがあり、グループのアクセス権限およびテナントの割り当てと一致する必要があります。

IDプロバイダのSAML統合では、グループのメンバーシップをSAMLクレームに変換するメカニズムが用意されます。クレームルールの詳細は、IDプロバイダに付属するドキュメントを確認してください。

役割の作成方法については、「 ユーザの役割の定義」を参照してください。

IDプロバイダ管理者に情報を提供する

以下のセクションでは、アイデンティティープロバイダの管理者が Workload Security のセットアップに対応するグループおよびルールを作成する方法について説明します。

Workload Security サービスプロバイダのSAMLメタデータドキュメントをダウンロードする

  1. [管理] 画面で、[ユーザ管理]→[アイデンティティプロバイダ]→[SAML] に移動します。
  2. SAMLサービスプロバイダの下にある[ ダウンロード]をクリックします。

ブラウザは、 Workload Security サービスプロバイダのSAMLメタデータドキュメント(ServiceProviderMetadata.xml)をダウンロードします。

URNと Workload Security SAMLメタデータドキュメントをIDプロバイダ管理者に送信する

IDプロバイダの管理者 Workload SecurityのサービスプロバイダSAMLメタデータドキュメント、IDプロバイダのURN、および作成した各 Workload Security ロールのURNを指定する必要があります。

ロールURNを表示するには、 [管理]→[ユーザ管理]→[ロール] の順に選択し、[URN]列を確認します。IDプロバイダのURNを確認するには、[管理]→[ユーザ管理]→[アイデンティティプロバイダ]→[SAML]→[アイデンティティプロバイダ] の順に選択し、[URN] 列を参照します。

IDDEFの管理者が、 Workload Security ロールに対応するグループと、グループメンバーシップをSAMLクレームに変換するために必要なルールを作成したことを確認したら、SAMLシングルサインオンの設定は完了です。

必要に応じて、Workload Securityに必要なSAMLクレーム構造についてIDプロバイダの管理者に通知できます。

SAMLクレームの構造

Workload Security、次のSAMLクレームがサポートされます。

Workload Security username(必須)

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName``Attributeエレメントと、1つのAttributeValueエレメントが含まれるSAMLアサーションが必要です。Workload Security は、 Workload Security ユーザ名として AttributeValue を使用します。

サンプルのSAMLデータ (略語):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName">
        <AttributeValue>alice</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response> 
</pre>

Workload Security ユーザの役割(必須)

クレームには、 https://deepsecurity.trendmicro.com/SAML/Attributes/RoleName 属性を持つ Attribute 要素と1から10個の AttributeValue 要素を含むSAMLアサーションが必要です。

Workload Security は、属性値を使用して、ユーザのテナント、IDプロバイダ、および役割を判断します。1つのアサーションには複数のテナントの役割が含まれる場合があります。

サンプルのSAMLデータ (略語):

読みやすいようにAttributeValueエレメントに改行を入れていますが、クレームでは1行にする必要があります。

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/Role">
        <AttributeValue>urn:tmds:identity:[pod ID]:[tenant ID]:saml-provider/[IDP name],
            urn:tmds:identity:[pod ID]:[tenant ID]:role/[role name]</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

最大セッション期間 (オプション)

Name 属性が https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration である Attribute 要素と整数値の AttributeValue 要素を含むSAMLアサーションが要求にある場合、その時間(秒単位)が経過するとセッションは自動的に終了します。

サンプルのSAMLデータ (略語):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration">
        <AttributeValue>28800</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

言語設定 (オプション)

要求に https://deepsecurity.trendmicro.com/SAML/attributes/PreferredLanguage という Name 属性とサポートされている言語のいずれかに等しい文字列値の AttributeValue 要素が含まれる Attribute 要素を含むSAMLアサーションがある場合、 Workload Security はその値を使用してユーザの優先言語を設定します。

次の言語がサポートされます。

  • en-US (米国英語)
  • ja-JP (日本語)

サンプルのSAMLデータ (省略形):

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/PreferredLanguage">
        <AttributeValue>en-US</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

SAMLシングルサインオンをテストする

IDプロバイダサーバのシングルサインオンログインページに移動し、そこから Workload Security にログインします。Workload Security コンソールにリダイレクトされます。

SAMLシングルサインオンが機能しない場合は、次の手順に従って設定を確認してください。

  1. 「設定前の要件を設定する」セクションを確認します。
  2. ユーザが正しいディレクトリグループに属していることを確認します。
  3. IDプロバイダと役割のURNがIDプロバイダのフェデレーションサービスで正しく設定されていることを確認します。

サービスとIDプロバイダの設定

Workload Security からサーバとIDプロバイダの証明書の有効期限までの期間、およびSAMLシングルサインオンで追加された非アクティブなユーザアカウントが自動的に削除されるまでの時間を設定できます。

これらの設定を変更するには、[管理]→[システム設定]→[セキュリティ]→[アイデンティティプロバイダ] に移動します。