Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。

本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

SAMLシングルサインオンをAzure Active Directory

Deep SecurityのSAML標準の実装の詳細については、SAMLシングルサインオンの実装を参照してください。他のIDプロバイダとの設定手順については、SAMLシングルサインオンの使用の開始を参照してください。

  • FIPSモードが有効な場合、SAMLシングルサインオンは利用できません。FIPS 140-2のサポートを参照.\
  • 現時点で、 Deep Securityは、SAML 2.0アイデンティティープロバイダ(IdP)-開始ログオンフロー)のHTTP POSTバインディングのみをのみサポートしていますが、サービスプロバイダ(SP)-によって開始されたログオンフロー)には対応していません。

誰がこのプロセスに関与していますか?

通常、Deep Security ManagerでSAMLシングルサインオンにAzure Active Directoryを使用するように設定するには、2人必要です(SSO): Deep Security管理者とAzure Active Directory管理者)。

Deep Securityの管理者には、 SAML IDプロバイダ 権限が 完全に設定されているか、 カスタムで新しいSAML IDプロバイダの作成可能な が有効)に設定されたDeep Securityの役割が割り当てられている必要があります。

Azure Active Directoryを使用してDeep SecurityでSAMLシングルサインオンを設定する手順と、各手順を実行する担当者の手順は次のとおりです。

ステップ 実行者
Deep SecurityをSAMLサービスプロバイダとして設定する Deep Security管理者
Deep SecurityサービスプロバイダのSAMLメタデータドキュメントをダウンロードする Deep Security管理者
Azure Active Directoryを設定するする Azure Active Directory管理者
Deep SecurityでSAMLを設定する Deep Security管理者
Azure Active Directoryで役割を定義する Azure Active Directory管理者

Deep SecurityをSAMLサービスプロバイダとして設定する

まず、 Deep Securityをサービスプロバイダとして設定します。

マルチテナントのDeep Securityインストール環境でDeep SecurityをSAMLサービスプロバイダとして設定できるのは、プライマリテナントの管理者だけです。

  1. Deep Security Managerで、  管理>ユーザ管理>IDプロバイダ>SAMLに移動します。
  2. [開始] をクリックします。
  3. エンティティIDサービス名を入力して、[次へ]をクリックします。

    [エンティティID] はSAMLサービスプロバイダの一意の識別子です。SAMLの仕様ではエンティティIDがエンティティのドメイン名を含むURLであることが推奨されており、業界の慣習として、エンティティIDにはSAMLメタデータURLを使用します。SAMLメタデータは、 Deep Security Manager上の/ samlエンドポイントから配信されるため、例の値はhttps://<DSMServerIP:4119>/samlです。
  4. 証明書のオプションを選択し、[次へ] をクリックします。SAMLサービスプロバイダの証明書は現時点では使用されていませんが、サービスプロバイダが開始したログオン機能やシングルサインアウト機能をサポートするために将来使用されます。証明書をインポートするには、PKCS#12キーストアファイルとパスワードを入力するか、新しい自己署名証明書を作成します。

  5. 証明書の詳細の概要が表示されるまで手順を実行し、完了をクリックします。

Deep SecurityサービスプロバイダのSAMLメタデータドキュメントをダウンロードする

Deep Security Manager で、  管理>ユーザ管理者>IDプロバイダ>SAMLを選択し、ダウンロードをクリックします。このファイルはServiceProviderMetadata.xmlとしてダウンロードされます。このファイルをAzure Active Directory管理者に送信します。

Azure Active Directoryを設定する

このセクションの手順は、Azure Active Directory管理者が実行します。

次の手順の実行方法の詳細については、Azure Active Directoryの非ギャラリーアプリケーションへのシングルサインオンを設定するを参照してください。

  1. Azure Active Directoryポータルで、ギャラリー以外の新しいアプリケーションを追加します。
  2. アプリケーションのシングル・サインオンを設定します。Deep Security ManagerからダウンロードしたメタデータファイルServiceProviderMetadata.xmlをアップロードすることをお勧めします。また、返信URL( Deep Security ManagerのURL + / saml).)を入力することもできます。
  3. SAML要求を設定します。Deep Securityには次の2つが必要です。
    • https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName
      これはDeep Securityのユーザ名となる一意のユーザIDです。たとえば、User Principal Name(UPN).)を使用できます。
    • https://deepsecurity.trendmicro.com/SAML/Attributes/Role形式は「IDP URN、役割URN」です。IDPはまだDeep Security Managerに作成されていません。このSAMLクレームは後でAzure Active Directoryで役割を定義するで設定できます。

    また、SAMLクレームの構造の説明に従って、その他の任意のクレームを設定することもできます。

    Azure Active Directoryの 「SAMLを使用したシングルサインオンのセットアップ」ページの検索

    上記のスクリーンショットに示すURLは、 Deep Security as a ServiceのURLです。Deep Security as a Service使用していない場合、URLは異なります。

  4. フェデレーションメタデータXMLファイルをダウンロードし、 Deep Security管理者に送信してください。

Deep Securityで複数の役割が定義されている場合は、これらの手順を繰り返して役割ごとに個別のアプリケーションを作成します。

Deep SecurityでSAMLを設定する

Azure Active Directoryメタデータドキュメントをインポートする

  1. Deep Security Manager で、  管理>ユーザ管理>IDプロバイダ>SAML
  2. 開始または新規をクリックします。
  3. [ファイル]をクリックし、Azure Active DirectoryからダウンロードされたフェデレーションメタデータXMLファイルを選択し、次へをクリックします。
  4. IDプロバイダの [名前] を入力し、[完了] をクリックします。

    役割ページが表示されます。

SAMLユーザのDeep Securityの役割を作成する

Deep Securityの管理>ユーザ管理>の役割ページに、組織の適切な役割が含まれていることを確認してください。ユーザには、自分の業務を職務の遂行に必要なものに限定する役割が割り当てられている必要があります。役割の作成方法については、ユーザロールの定義を参照してください。Deep Securityの各役割には、対応するAzure Active Directoryアプリケーションが必要です。

URNを取得する

Deep Security Managerで、次の情報を収集します。この情報は、Azure Active Directory管理者に提供する必要があります。

  • アイデンティティプロバイダURNIDプロバイダのURNを表示するには、管理>ユーザ管理>IDプロバイダ>SAML>IDプロバイダに移動し、URN列を確認します。
  • Azure Active Directoryアプリケーションに関連付けるDeep Securityの役割のURN。役割URNを表示するには、管理>ユーザ管理>の役割に移動し、[URN]列を確認します。複数の役割を持つ場合は、役割ごとにURNが必要になります。役割ごとに個別のAzure Activeアプリケーションが必要なためです。

Azure Active Directoryで役割を定義する

このセクションの手順は、Azure Active Directory管理者が実行する必要があります。

Azure Active Directoryでは、前のセクションで識別されたIDプロバイダのURNと役割のURNを使用して、Azureアプリケーションで「役割」属性を定義します。これは “ IDP URN、ロールURN”.の形式で指定してください。SAMLクレームの構造の「Deep Securityユーザの役割(必須)」を参照してください。

Azure Active Directoryの [検証]ボタンを使用してセットアップをテストするか、新しいアプリケーションをユーザに割り当ててテストします。

サービスとIDプロバイダの設定

サーバ証明書とIDプロバイダ証明書の有効期限を事前に通知するタイミングや、SAMLシングルサインオン経由で追加された非アクティブなユーザアカウントを自動的に削除するまでの期間を設定できます。

これらの設定を変更するには、[管理]→[システム設定]→[セキュリティ]→[アイデンティティプロバイダ] に移動します。

SAMLクレームの構造

次のSAML要求はDeep Securityでサポートされています。

Deep Securityユーザ名 (必須)

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionNameAttributeエレメントと、1つのAttributeValueエレメントが含まれるSAMLアサーションが必要です。Deep Security ManagerはAttributeValueをDeep Securityユーザ名として使用します。

SAMLデータの例 (簡略版)

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
			<Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
			<AttributeStatement>
			<Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName">
			<AttributeValue>alice</AttributeValue>
			</Attribute>
			</AttributeStatement>
			</Assertion>
		</samlp:Response> 

Deep Securityユーザの役割 (必須)

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleAttributeエレメントと、1~10個のAttributeValueエレメントが含まれるSAMLアサーションが必要です。Deep Security Managerは、この属性値を使用して、ユーザのテナント、IDプロバイダ、役割を確認します。1つのアサーションには複数のテナントの役割が含まれる場合があります。

SAMLデータの例 (簡略版)

読みやすいようにAttributeValueエレメントに改行を入れていますが、クレームでは1行にする必要があります。

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
			<Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
			<AttributeStatement>
			<Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/Role">
			<AttributeValue>urn:tmds:identity:[pod ID]:[tenant ID]:saml-provider/[IDP name],
			urn:tmds:identity:[pod ID]:[tenant ID]:role/[role name]</AttributeValue>
			</Attribute>
			</AttributeStatement>
			</Assertion>
		</samlp:Response>

最大セッション期間 (オプション)

クレームに https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDurationName 属性と整数値の AttributeValue 要素を含む Attribute 要素が含まれているSAMLアサーションがある場合、セッションはその時間(秒)が経過すると自動的に終了します。

SAMLデータの例 (簡略版)

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
			<Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
			<AttributeStatement>
			<Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration">
			<AttributeValue>28800</AttributeValue>
			</Attribute>
			</AttributeStatement>
			</Assertion>
		</samlp:Response>

言語設定 (オプション)

要求に https://deepsecurity.trendmicro.com/SAML/attributes/PreferredLanguage という Name 属性の Attribute 要素が含まれ、サポートされている言語のいずれかと同じ文字列値の AttributeValue 要素が含まれるSAMLアサーションがある場合、 Deep Security Managerはこの値を使用してユーザの優先言語を設定します。

次の言語がサポートされます。

  • en-US (米国英語)
  • ja-JP (日本語)
  • zh-CN (簡体字中国語)

SAMLデータの例 (簡略版)

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
			<Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
			<AttributeStatement>
			<Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/PreferredLanguage">
			<AttributeValue>en-US</AttributeValue>
			</Attribute>
			</AttributeStatement>
			</Assertion>
		</samlp:Response>