Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。

本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

SAMLシングルサインオンの使用の開始

FIPSモードが有効な場合、SAMLシングルサインオンは利用できません。FIPS 140-2のサポートを参照してください。

SAMLシングルサインオンを使用するようにDeep Securityを設定すると、組織のポータルにログオンしているユーザは既存のDeep Securityアカウントを使用せずにDeep Securityにシームレスにログオンできるようになります。また、SAMLシングルサインオンを使用すると、次のようなユーザ認証アクセス制御機能を実装できます。

  • パスワード強度または変更の強制
  • ワンタイムパスワード (OTP)
  • 2要素認証 (2FA) または多要素認証 (MFA)

Deep SecurityのSAML標準実装の詳細については、SAMLシングルサインオンの実装を参照してください。

現時点では、Deep SecurityはSAML 2.0 IDプロバイダ (IdP) で開始されたログインフローのHTTP POSTバインディングのみをサポートし、サービスプロバイダ (SP) で開始されたログインフローはサポートしません。

Deep SecurityでSAMLシングルサインオンを使用するには、次の手順を実行する必要があります。

  1. 設定前の要件を設定する
  2. Deep SecurityをSAMLサービスプロバイダとして設定する
  3. Deep SecurityでSAMLを設定する
  4. IDプロバイダの管理者に情報を提供する
  5. SAMLクレームの構造
  6. SAMLシングルサインオンをテストする
  7. サービスとIDプロバイダの設定

設定前の要件を設定する

  1. Deep Security Managerが正常に動作していることを確認します。
  2. IDプロバイダの管理者に次のことを問い合わせます。
    • ディレクトリサーバグループをDeep Securityロールにマッピングするための名前付け規則を設定します。
    • IDプロバイダSAMLメタデータドキュメントを取得します。
    • 必要なユーザ認証アクセス制御機能をポリシーに追加するよう依頼します。

Deep SecurityでのSAMLシングルサインオンの動作がすでにテストされている次のIDプロバイダがサポートされています。

Deep SecurityをSAMLサービスプロバイダとして設定する

SAMLシングルサインオン設定の最初の手順として、Deep Securityをサービスプロバイダとして設定する必要があります。

Deep SecurityのSAML標準実装の詳細については、SAMLシングルサインオンの実装を参照してください。

マルチテナントのDeep Securityインストール環境でDeep SecurityをSAMLサービスプロバイダとして設定できるのは、プライマリテナントの管理者だけです。

  1. [管理] 画面で、[ユーザ管理]→[IDプロバイダ]→[SAML] に移動します。
  2. [開始] をクリックします。
  3. [エンティティID][サービス名] を入力し、[次へ] をクリックします。

    [エンティティID] はSAMLサービスプロバイダの一意の識別子です。SAMLの仕様ではエンティティIDがエンティティのドメイン名を含むURLであることが推奨されており、業界の慣習として、エンティティIDにはSAMLメタデータURLを使用します。SAMLメタデータはDeep Security Manager上の/samlエンドポイントから提供されるため、値はhttps://<DSMServerIP:4119>/samlのようになります。
  4. 証明書のオプションを選択し、[次へ] をクリックします。サービスプロバイダ証明書はこの時点では使用されませんが、以降のサービスプロバイダによるログインまたはシングルサインオン機能をサポートするために使用されます。サービスプロバイダを作成する際は、証明書と秘密鍵をインポートするか、新しい自己署名証明書と秘密鍵を作成できます。

証明書と秘密鍵のインポート

  1. [ファイルの選択] をクリックし、証明書を含むPKCS #12 Keystoreファイルを開きます。
  2. キーストアのパスワードを入力します。
  3. [Next] をクリックします。

    証明書の詳細の概要が表示されます。

  4. [Finish] をクリックします。

新しい自己署名サーバ証明書の生成

  1. 以下の証明書の詳細情報を入力します。
    • 共通名 (CN)
    • 組織 (O)
    • 組織単位 (OU)
    • メールアドレス (E)
  2. [Next] をクリックします。

    証明書の詳細の概要が表示されます。

  3. [Finish] をクリックします。

現在のサーバ証明書を保持

  1. [次へ] をクリックし、[完了] をクリックします。

これで、Deep SecurityがSAMLサービスプロバイダに設定されました。

Deep SecurityでSAMLを設定する

IDプロバイダSAMLメタデータドキュメントをインポートする

Deep Securityアカウントには、管理者権限と「SAML IDプロバイダの作成」権限の両方が必要です。

  1. [管理] 画面で、[ユーザ管理]→[IDプロバイダ]→[SAML] に移動します。
  2. [開始] をクリックします。
  3. [ファイルの選択] をクリックし、IDプロバイダによって提供されたSAMLメタデータドキュメントを選択して、[次へ] をクリックします。
  4. IDプロバイダの [名前] を入力し、[完了] をクリックします。

    [役割] 画面が表示されます。

SAMLユーザのDeep Securityの役割を作成する

想定されるユーザの種類ごとに役割を作成する必要があります。各役割は、IDプロバイダのディレクトリサーバに対応するグループがあり、グループのアクセス権限およびテナントの割り当てと一致する必要があります。

IDプロバイダのSAML統合では、グループのメンバーシップをSAMLクレームに変換するメカニズムが用意されます。クレームルールの詳細は、IDプロバイダに付属するドキュメントを確認してください。

役割の作成方法については、ユーザロールの定義を参照してください。

IDプロバイダの管理者に情報を提供する

Deep Security ManagerサービスプロバイダSAMLメタデータドキュメントをダウンロードする

  1. [管理] 画面で、[ユーザ管理]→[IDプロバイダ]→[SAML] に移動します。
  2. SAMLサービスプロバイダの下の [ダウンロード] をクリックします。
    Deep SecurityサービスプロバイダSAMLメタデータドキュメント (ServiceProviderMetadata.xml) がダウンロードされます。

URNおよびDeep Security SAMLメタデータドキュメントをIDプロバイダの管理者に送信する

IDプロバイダの管理者には、Deep SecurityのサービスプロバイダSAMLメタデータドキュメント、IDプロバイダのURN、および作成したDeep Securityの各役割のURNを指定する必要があります。

役割のURNを確認するには、[管理]→[ユーザ管理]→[役割] の順に選択し、[URN] 列を参照します。

IDプロバイダのURNを確認するには、[管理]→[ユーザ管理]→[IDプロバイダ]→[SAML]→[IDプロバイダ] の順に選択し、[URN] 列を参照します。

IDプロバイダの管理者が、Deep Securityの役割に対応するグループと、グループメンバーシップをSAMLクレームに変換するために必要なルールを作成していることを確認したら、SAMLシングルサインオンの設定は完了です。

IDプロバイダの管理者には、必要に応じて、Deep Securityが必要とするSAMLクレームの構造についての情報を提供できます。

SAMLクレームの構造

Deep Securityでは次のSAMLクレームがサポートされます。

Deep Securityユーザ名 (必須)

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionNameAttributeエレメントと、1つのAttributeValueエレメントが含まれるSAMLアサーションが必要です。Deep Security ManagerはAttributeValueをDeep Securityユーザ名として使用します。

SAMLデータの例 (簡略版)

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName">
        <AttributeValue>alice</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response> 

Deep Securityユーザの役割 (必須)

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleAttributeエレメントと、1~10個のAttributeValueエレメントが含まれるSAMLアサーションが必要です。Deep Security Managerは、この属性値を使用して、ユーザのテナント、IDプロバイダ、役割を確認します。1つのアサーションには複数のテナントの役割が含まれる場合があります。

SAMLデータの例 (簡略版)

読みやすいようにAttributeValueエレメントに改行を入れていますが、クレームでは1行にする必要があります。

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/Role">
        <AttributeValue>urn:tmds:identity:[pod ID]:[tenant ID]:saml-provider/[IDP name],
            urn:tmds:identity:[pod ID]:[tenant ID]:role/[role name]</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

最大セッション期間 (オプション)

Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/SessionDurationAttributeエレメントと整数値のAttributeValueエレメントを含むSAMLアサーションがクレームにある場合、この期間 (秒数) が経過するとセッションは自動的に終了します。

SAMLデータの例 (簡略版)

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration">
        <AttributeValue>28800</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

言語設定 (オプション)

Name属性がhttps://deepsecurity.trendmicro.com/SAML/attributes/PreferredLanguageAttributeエレメントと、サポート対象のいずれかの言語の文字列値と等しい値のAttributeValueエレメントを含むSAMLアサーションがクレームにある場合、Deep Security Managerはこの値を使用してユーザの言語を設定します。

次の言語がサポートされます。

  • en-US (米国英語)
  • ja-JP (日本語)

SAMLデータの例 (簡略版)

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/PreferredLanguage">
        <AttributeValue>en-US</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

SAMLシングルサインオンをテストする

IDプロバイダサーバのシングルサインオンのログイン画面に移動し、そこからDeep Security Managerにログインします。正しく設定されている場合、Deep Security Managerコンソールにリダイレクトされます。SAMLシングルサインオンが機能していない場合は、次の手順に従います。

設定を確認する

  1. 設定前の要件を設定するセクションを確認します。
  2. ユーザが正しいディレクトリグループに属していることを確認します。
  3. IDプロバイダと役割のURNがIDプロバイダのフェデレーションサービスで正しく設定されていることを確認します。

診断パッケージを作成する

  1. [管理]→[システム情報] の順に選択し、[診断ログ] をクリックします。
  2. [SAMLに関する問題] を選択し、[保存] をクリックします。
  3. ログを生成します。IDプロバイダ経由でDeep Security Managerにログインし、問題を再現します。
  4. ログインが失敗したら、[管理]→[システム情報] に移動し、[診断パッケージの作成] をクリックして診断パッケージを生成します。
  5. 診断パッケージが作成されたら、https://success.trendmicro.com/jp/contact-supportに移動してテクニカルサポートケースを開き、ケースの作成時に診断パッケージをアップロードします。

サービスとIDプロバイダの設定

サーバ証明書とIDプロバイダ証明書の有効期限を事前に通知するタイミングや、SAMLシングルサインオン経由で追加された非アクティブなユーザアカウントを自動的に削除するまでの期間を設定できます。

これらの設定を変更するには、[管理]→[システム設定]→[セキュリティ]→[IDプロバイダ] に移動します。