現在、SAMLはWorkload Securityサービスへのサインオンとアクセスのみに対応していますが、全体的にはTrend Cloud One製品にも対応しています。このドキュメントでは、特にWorkload SecurityのSAMLについて説明します。トレンドマイクロは、一般的なTrend Cloud OneのSAMLも参照することを推奨します。
SAMLシングルサインオン (SSO) を使用するようにWorkload Securityを設定すると、組織のポータルにサインインするユーザは、既存のWorkload SecurityアカウントがなくてもシームレスにWorkload Securityにサインインできます。 SAMLシングルサインオンでは、次のようなユーザ認証アクセス制御要素を実装することもできます。
  • パスワード強度または変更の強制
  • ワンタイムパスワード (OTP)
  • 2要素認証 (2FA) または多要素認証 (MFA)
Workload SecurityがSAML標準をどのように実装しているかの詳細な説明については、About SAML single sign-on (SSO)を参照してください。Microsoft Entra IDをアイデンティティプロバイダとして使用している場合は、Configure SAML single sign-on with Microsoft Entra IDを参照してください。
現時点では、 Workload Securityでは、SAML 2.0アイデンティティプロバイダ (IdP) が開始するログインフローのHTTP POSTバインディングのみがサポートされ、サービスプロバイダ (SP) が開始するログインフローはサポートされないことに注意してください。
Workload Security内では、SAMLはこれらのリージョンでサポートされています:
Trend Cloud One全体でSAMLを使用したい場合は、Workload Securityだけでなく、SAML Single Sign-Onについてを参照してください。
Workload SecurityでSAMLシングルサインオンを使用するには、次の手順を実行する必要があります。

前提条件 親トピック

  1. Workload Security が正常に機能していることを確認します。
  2. IDプロバイダの管理者に問い合わせて、次の手順を実行します。
    • ディレクトリサーバグループを Workload Security ロールにマッピングするための命名規則を確立します。
    • IDプロバイダSAMLメタデータドキュメントを取得します。
    • 必要なユーザ認証アクセス制御機能をポリシーに追加するよう依頼します。
    Workload Security とSAMLシングルサインオンでテスト済みの次のIDプロバイダをサポートします。

Workload SecurityでSAMLを設定する 親トピック

Workload SecurityでSAMLを設定するには、いくつかの手順を実行する必要があります。

IDプロバイダSAMLメタデータドキュメントをインポートする 親トピック

Workload Securityアカウントには、管理者権限とSAML アイデンティティプロバイダの作成権限の両方が必要です。
  1. [管理]ページで、[ユーザ管理][Identity Providers][SAML]に移動します。
  2. [開始する] をクリックします。
  3. [ファイルの選択]をクリックし、アイデンティティプロバイダによって提供されたSAMLメタデータドキュメントを選択し、[次へ]をクリックします。
  4. アイデンティティプロバイダの[名前]を入力し、[完了]をクリックして[役割]ページに移動します。

SAMLユーザ用の Workload Security ロールの作成 親トピック

想定されるユーザの種類ごとに役割を作成する必要があります。各役割は、IDプロバイダのディレクトリサーバに対応するグループがあり、グループのアクセス権限およびテナントの割り当てと一致する必要があります。
IDプロバイダのSAML統合には、グループメンバーシップをSAMLクレームに変換するメカニズムがあります。要求ルールの詳細については、IDプロバイダに付属のマニュアルを参照してください。
ロールの作成方法については、ユーザのロールを定義するを参照してください。

IDプロバイダ管理者に情報を提供する 親トピック

アイデンティティプロバイダの管理者が、 Workload Securityの設定に対応するグループとルールを作成できるようにします。

Workload Security サービスプロバイダのSAMLメタデータドキュメントをダウンロードする 親トピック

  1. [管理]ページで、[ユーザ管理][Identity Providers][SAML]に移動します。
  2. [SAML Service Provider]の下で、[ダウンロード]をクリックします。
    お使いのブラウザは、Workload SecurityサービスプロバイダSAMLメタデータドキュメント (ServiceProviderMetadata.xml) をダウンロードします。

URNと Workload Security SAMLメタデータドキュメントをIDプロバイダ管理者に送信する 親トピック

IDプロバイダの管理者 Workload SecurityのサービスプロバイダSAMLメタデータドキュメント、IDプロバイダのURN、および作成した各 Workload Security ロールのURNを指定する必要があります。
役割URNを表示するには、[管理 ][ユーザ管理 ][役割]に移動し、URN列を確認してください。アイデンティティプロバイダURNを表示するには、[管理 ][ユーザ管理 ][アイデンティティプロバイダ ][SAML ][アイデンティティプロバイダ]に移動し、URN列を確認してください。
IDDEFの管理者が、 Workload Security ロールに対応するグループと、グループメンバーシップをSAMLクレームに変換するために必要なルールを作成したことを確認したら、SAMLシングルサインオンの設定は完了です。
必要に応じて、Workload Securityに必要なSAMLクレーム構造についてアイデンティティプロバイダの管理者に通知することができます。

SAMLクレームの構造 親トピック

Workload Security username(必須) 親トピック

クレームには、Attribute要素とhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionNameName属性、および単一のAttributeValue要素を含むSAMLアサーションが必要です。Workload SecurityはAttributeValueをWorkload Securityのユーザー名として使用します。
サンプルのSAMLデータ (略語):
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName">
        <AttributeValue>alice</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

Workload Security ユーザの役割(必須) 親トピック

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/Roleであり、1から10のAttributeValue要素を含むAttribute要素を含むSAMLアサーションが必要です。
Workload Securityは、属性値を使用して、ユーザのテナント、IDプロバイダ、および役割を決定します。 1つのアサーションに、複数のテナントのロールを含めることができます。
サンプルのSAMLデータ (略語):
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/Role">
        <AttributeValue>urn:tmds:identity:[pod ID]:[tenant ID]:saml-provider/[IDP name],
            urn:tmds:identity:[pod ID]:[tenant ID]:role/[role name]</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>
AttributeValue要素の改行は読みやすさのためにありますが、クレームでは1行でなければなりません。

最大セッション期間 (オプション) 親トピック

クレームにAttribute要素を含むSAMLアサーションがあり、そのName属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/SessionDurationで、整数値のAttributeValue要素が含まれている場合、その時間 (秒単位) が経過するとセッションは自動的に終了します。
サンプルのSAMLデータ (略語):
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration">
        <AttributeValue>28800</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

言語設定 (オプション) 親トピック

クレームにName属性がhttps://deepsecurity.trendmicro.com/SAML/attributes/PreferredLanguageであり、サポートされている言語のいずれかに等しい文字列値のAttributeValue要素を含むAttribute要素を含むSAMLアサーションがある場合、Workload Securityはその値を使用してユーザの優先言語を設定します。
次の言語がサポートされます。
  • en-US (米国英語)
  • ja-JP (日本語)
サンプルのSAMLデータ (略語):
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/PreferredLanguage">
        <AttributeValue>en-US</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

SAMLシングルサインオンをテストする 親トピック

IDプロバイダサーバのシングルサインオンログインページに移動し、そこから Workload Security にログインします。Workload Security コンソールにリダイレクトされます。
SAMLシングルサインオンが機能しない場合は、設定を確認します。
  1. 事前設定の要件を構成するセクションを確認してください。
  2. ユーザが正しいディレクトリグループに属していることを確認します。
  3. IDプロバイダと役割のURNがIDプロバイダのフェデレーションサービスで正しく設定されていることを確認します。

サービスとIDプロバイダの設定 親トピック

Workload Securityがサーバ証明書とIDプロバイダ証明書の有効期限を通知する期間、およびSAMLシングルサインオンを介して追加された非アクティブなユーザアカウントが自動的に削除されるまでの期間を設定できます。
これらの設定を変更するには、[管理 ][システム設定 ][セキュリティ ][アイデンティティプロバイダー]に移動します。