現在、SAMLはWorkload Securityサービスへのサインオンとアクセスのみに対応していますが、全体的にはTrend Cloud One製品にも対応しています。このドキュメントでは、特にWorkload
SecurityのSAMLについて説明します。トレンドマイクロは、一般的なTrend Cloud OneのSAMLも参照することを推奨します。
SAMLシングルサインオン (SSO) を使用するようにWorkload Securityを設定すると、組織のポータルにサインインするユーザは、既存のWorkload
SecurityアカウントがなくてもシームレスにWorkload Securityにサインインできます。 SAMLシングルサインオンでは、次のようなユーザ認証アクセス制御要素を実装することもできます。
-
パスワード強度または変更の強制
-
ワンタイムパスワード (OTP)
-
2要素認証 (2FA) または多要素認証 (MFA)
Workload SecurityがSAML標準をどのように実装しているかの詳細な説明については、About SAML single sign-on (SSO)を参照してください。Microsoft Entra IDをアイデンティティプロバイダとして使用している場合は、Configure SAML single sign-on with Microsoft Entra IDを参照してください。
現時点では、 Workload Securityでは、SAML 2.0アイデンティティプロバイダ (IdP) が開始するログインフローのHTTP POSTバインディングのみがサポートされ、サービスプロバイダ
(SP) が開始するログインフローはサポートされないことに注意してください。
Workload Security内では、SAMLはこれらのリージョンでサポートされています:
Trend Cloud One全体でSAMLを使用したい場合は、Workload Securityだけでなく、SAML Single Sign-Onについてを参照してください。
Workload SecurityでSAMLシングルサインオンを使用するには、次の手順を実行する必要があります。
前提条件
-
Workload Security が正常に機能していることを確認します。
-
IDプロバイダの管理者に問い合わせて、次の手順を実行します。
-
ディレクトリサーバグループを Workload Security ロールにマッピングするための命名規則を確立します。
-
IDプロバイダSAMLメタデータドキュメントを取得します。
-
必要なユーザ認証アクセス制御機能をポリシーに追加するよう依頼します。
Workload Security とSAMLシングルサインオンでテスト済みの次のIDプロバイダをサポートします。-
Active Directory Federation Services (ADFS)
-
Okta
-
PingOne
-
Shibboleth
-
Workload SecurityでSAMLを設定する
Workload SecurityでSAMLを設定するには、いくつかの手順を実行する必要があります。
IDプロバイダSAMLメタデータドキュメントをインポートする
Workload Securityアカウントには、管理者権限とSAML アイデンティティプロバイダの作成権限の両方が必要です。
-
[管理]ページで、に移動します。
-
[開始する] をクリックします。
-
[ファイルの選択]をクリックし、アイデンティティプロバイダによって提供されたSAMLメタデータドキュメントを選択し、[次へ]をクリックします。
-
アイデンティティプロバイダの[名前]を入力し、[完了]をクリックして[役割]ページに移動します。
SAMLユーザ用の Workload Security ロールの作成
想定されるユーザの種類ごとに役割を作成する必要があります。各役割は、IDプロバイダのディレクトリサーバに対応するグループがあり、グループのアクセス権限およびテナントの割り当てと一致する必要があります。
IDプロバイダのSAML統合には、グループメンバーシップをSAMLクレームに変換するメカニズムがあります。要求ルールの詳細については、IDプロバイダに付属のマニュアルを参照してください。
ロールの作成方法については、ユーザのロールを定義するを参照してください。
IDプロバイダ管理者に情報を提供する
アイデンティティプロバイダの管理者が、 Workload Securityの設定に対応するグループとルールを作成できるようにします。
Workload Security サービスプロバイダのSAMLメタデータドキュメントをダウンロードする
-
[管理]ページで、に移動します。
-
[SAML Service Provider]の下で、[ダウンロード]をクリックします。お使いのブラウザは、Workload SecurityサービスプロバイダSAMLメタデータドキュメント (
ServiceProviderMetadata.xml
) をダウンロードします。
URNと Workload Security SAMLメタデータドキュメントをIDプロバイダ管理者に送信する
IDプロバイダの管理者 Workload SecurityのサービスプロバイダSAMLメタデータドキュメント、IDプロバイダのURN、および作成した各 Workload
Security ロールのURNを指定する必要があります。
役割URNを表示するには、
に移動し、URN列を確認してください。アイデンティティプロバイダURNを表示するには、 に移動し、URN列を確認してください。IDDEFの管理者が、 Workload Security ロールに対応するグループと、グループメンバーシップをSAMLクレームに変換するために必要なルールを作成したことを確認したら、SAMLシングルサインオンの設定は完了です。
必要に応じて、Workload Securityに必要なSAMLクレーム構造についてアイデンティティプロバイダの管理者に通知することができます。
SAMLクレームの構造
Workload Security、次のSAMLクレームがサポートされます。
Workload Security username(必須)
クレームには、
Attribute
要素とhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName
のName
属性、および単一のAttributeValue
要素を含むSAMLアサーションが必要です。Workload SecurityはAttributeValue
をWorkload Securityのユーザー名として使用します。サンプルのSAMLデータ (略語):
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"> <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> <AttributeStatement> <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName"> <AttributeValue>alice</AttributeValue> </Attribute> </AttributeStatement> </Assertion> </samlp:Response>
Workload Security ユーザの役割(必須)
クレームには、
Name
属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/Role
であり、1から10のAttributeValue
要素を含むAttribute
要素を含むSAMLアサーションが必要です。Workload Securityは、属性値を使用して、ユーザのテナント、IDプロバイダ、および役割を決定します。 1つのアサーションに、複数のテナントのロールを含めることができます。
サンプルのSAMLデータ (略語):
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"> <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> <AttributeStatement> <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/Role"> <AttributeValue>urn:tmds:identity:[pod ID]:[tenant ID]:saml-provider/[IDP name], urn:tmds:identity:[pod ID]:[tenant ID]:role/[role name]</AttributeValue> </Attribute> </AttributeStatement> </Assertion> </samlp:Response>
AttributeValue
要素の改行は読みやすさのためにありますが、クレームでは1行でなければなりません。最大セッション期間 (オプション)
クレームに
Attribute
要素を含むSAMLアサーションがあり、そのName
属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration
で、整数値のAttributeValue
要素が含まれている場合、その時間 (秒単位) が経過するとセッションは自動的に終了します。サンプルのSAMLデータ (略語):
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"> <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> <AttributeStatement> <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration"> <AttributeValue>28800</AttributeValue> </Attribute> </AttributeStatement> </Assertion> </samlp:Response>
言語設定 (オプション)
クレームに
Name
属性がhttps://deepsecurity.trendmicro.com/SAML/attributes/PreferredLanguage
であり、サポートされている言語のいずれかに等しい文字列値のAttributeValue
要素を含むAttribute
要素を含むSAMLアサーションがある場合、Workload Securityはその値を使用してユーザの優先言語を設定します。次の言語がサポートされます。
en-US
(米国英語)ja-JP
(日本語)
サンプルのSAMLデータ (略語):
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"> <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> <AttributeStatement> <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/PreferredLanguage"> <AttributeValue>en-US</AttributeValue> </Attribute> </AttributeStatement> </Assertion> </samlp:Response>
SAMLシングルサインオンをテストする
IDプロバイダサーバのシングルサインオンログインページに移動し、そこから Workload Security にログインします。Workload Security
コンソールにリダイレクトされます。
SAMLシングルサインオンが機能しない場合は、設定を確認します。
- 事前設定の要件を構成するセクションを確認してください。
- ユーザが正しいディレクトリグループに属していることを確認します。
- IDプロバイダと役割のURNがIDプロバイダのフェデレーションサービスで正しく設定されていることを確認します。
サービスとIDプロバイダの設定
Workload Securityがサーバ証明書とIDプロバイダ証明書の有効期限を通知する期間、およびSAMLシングルサインオンを介して追加された非アクティブなユーザアカウントが自動的に削除されるまでの期間を設定できます。
これらの設定を変更するには、
に移動します。