本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

SAMLシングルサインオンをAzure Active Directoryで設定する

Deep SecurityのSAML標準の実装の詳細については、 SAMLシングルサインオン(SSO)を実装するの実装を参照してください。他のIDプロバイダとの設定手順については、 SAMLシングルサインオンを設定するを参照してください。

  • FIPSモードが有効な場合、SAMLシングルサインオンは利用できません。 FIPS 140-2のサポート \
  • 現時点では、Deep Securityでは のみがサポートされています.では、SAML 2.0アイデンティティープロバイダのHTTP POSTバインドのみがサポートされます(IdP)-はログインフローを開始し、サービスプロバイダは開始しませんでした(SP)-はログオンフローを開始しました)。

誰がこのプロセスに関与していますか?

通常、Deep Security ManagerでSAMLシングルサインオンにAzure Active Directoryを使用するように設定するには、2人必要です(SSO): a Deep Security管理者とAzure Active Directory管理者)。

Deep Securityの管理者には、 SAML IDプロバイダ 権限が 完全に設定されているか、 カスタムで新しいSAML IDプロバイダの作成可能な が有効)に設定されたDeep Securityの役割が割り当てられている必要があります。

Azure Active Directoryを使用してDeep SecurityでSAMLシングルサインオンを設定する手順と、各手順を実行する担当者の手順は次のとおりです。

ステップ 実行者
Deep SecurityをSAMLサービスプロバイダとして設定する Deep Security管理者
Deep SecurityサービスプロバイダのSAMLメタデータドキュメントをダウンロードする Deep Security管理者
Azure Active Directoryを設定する Azure Active Directory管理者
Deep SecurityでSAMLを設定する Deep Security管理者
Azure Active Directoryで役割を定義する Azure Active Directory管理者

Deep SecurityをSAMLサービスプロバイダとして設定する

マルチテナントのDeep Securityインストール環境でDeep SecurityをSAMLサービスプロバイダとして設定できるのは、プライマリテナントの管理者だけです。

  1. Deep Security Managerで、[ 管理]→[ユーザ管理]→[IDプロバイダ]→[SAML]の順に選択します。
  2. [開始] をクリックします。

  3. エンティティID および サービス名を入力し、をクリックします。[次へ]をクリックします。

    [エンティティID] はSAMLサービスプロバイダの一意の識別子です。SAMLの仕様ではエンティティIDがエンティティのドメイン名を含むURLであることが推奨されており、業界の慣習として、エンティティIDにはSAMLメタデータURLを使用します。SAMLメタデータは、Deep Security Managerの/ samlエンドポイントから配信されるため、例の値は https://<DSMServerIP:4119>/samlです。

  4. 証明書のオプションを選択し、[次へ] をクリックします。SAMLサービスプロバイダの証明書は現時点では使用されていませんが、サービスプロバイダが開始したログオン機能やシングルサインアウト機能をサポートするために将来使用されます。証明書をインポートするには、PKCS#12キーストアファイルとパスワードを入力するか、新しい自己署名証明書を作成します。

  5. 証明書の詳細の概要が表示されるまで手順を実行し、[ Finish]をクリックします。

Deep SecurityサービスプロバイダのSAMLメタデータドキュメントをダウンロードする

Deep Security Managerの の管理ページで、[ユーザ管理]→[IDプロバイダ]→[SAML ]の順に選択し、[ Download]をクリックします。このファイルは、 ServiceProviderMetadata.xmlとしてダウンロードされます。このファイルをAzure Active Directory管理者に送信します。

Azure Active Directoryを設定する

このセクションの手順は、Azure Active Directory管理者が実行します。

以下の手順の実行方法の詳細については、 Azure Active Directory の非ギャラリーアプリケーションへのシングルサインオンの設定を参照してください。

  1. Azure Active Directoryポータルで、ギャラリー以外の新しいアプリケーションを追加します。
  2. アプリケーションのシングル・サインオンを設定します。Deep Security Managerからダウンロードされたメタデータファイル ServiceProviderMetadata.xmlをアップロードすることをお勧めします。また、応答URL(Deep Security Manager URL + / saml ).)を入力することもできます。
  3. SAML要求を設定します。Deep Securityには次の2つが必要です。
    • https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName
      Deep Securityのユーザ名となる一意のユーザIDです。たとえば、User Principal Name(UPN)を使用できます。
    • https://deepsecurity.trendmicro.com/SAML/Attributes/Role
      形式は「IDP URN、役割URN」です。IDPはまだDeep Security Managerに作成されていません。このSAMLクレームは、後で Azure Active Directoryで役割を定義するで役割を定義するで設定できます。

    SAMLクレームの構造で説明されているように、その他の任意のクレームを設定することもできます。

  4. フェデレーションメタデータXML ファイルをダウンロードし、Deep Security管理者に送信してください。

Deep Securityで複数の役割が定義されている場合は、これらの手順を繰り返して役割ごとに個別のアプリケーションを作成します。

Deep SecurityでSAMLを設定する

Azure Active Directoryメタデータドキュメントをインポートする

  1. Deep Security Managerで、[ [管理]→[ユーザ管理]→[アイデンティティプロバイダ]→[SAML]]の順に選択します。
  2. [ の開始 ]または[ 新しい]をクリックします。
  3. [ファイルの選択] の順に選択し、Azure Active DirectoryからダウンロードしたフェデレーションメタデータXMLファイルを選択して、 [次へ] の順にクリックします。
  4. IDプロバイダの [名前] を入力し、[完了] をクリックします。

    Rolesのページに移動します。

SAMLユーザのDeep Securityの役割を作成する

Deep Securityの[ 管理]→[ユーザ管理]→[役割の の管理]画面に、組織の適切な役割が含まれていることを確認します。ユーザには、自分の業務を職務の遂行に必要なものに限定する役割を割り当てる必要があります。役割の作成方法については、 ユーザロールの定義の定義を参照してください。Deep Securityの各役割には、対応するAzure Active Directoryアプリケーションが必要です。

URNを取得する

Deep Security Managerで、次の情報を収集します。この情報は、Azure Active Directory管理者に提供する必要があります。

  • アイデンティティプロバイダURNIDプロバイダのURNを表示するには、 の[管理]→[ユーザ管理]→[IDプロバイダ]→[SAML]→[IDプロバイダ] に移動し、[URN]列を選択します。
  • Azure Active Directoryアプリケーションに関連付けるDeep Securityの役割のURN。ロールURNを表示するには、 の[管理]→[ユーザ管理]→[ロール ]の順に選択し、[URN]列を選択します。複数の役割を持つ場合は、役割ごとにURNが必要になります。役割ごとに個別のAzure Activeアプリケーションが必要なためです。

Azure Active Directoryで役割を定義する

このセクションの手順は、Azure Active Directory管理者が実行する必要があります。

Azure Active Directoryでは、前のセクションで識別したアイデンティティープロバイダのURNと役割のURNを使用して、Azureアプリケーションで「役割」属性を定義します。これは、「IDP URN、役割URN」の形式で指定してください。「Deep Securityユーザの役割( SAMLクレームの構造 セクションの)" が必要です。」を参照してください。

Azure Active Directoryの[検証]ボタンを使用してセットアップをテストするか、新しいアプリケーションをユーザに割り当ててテストします。

サービスとIDプロバイダの設定

サーバ証明書とIDプロバイダ証明書の有効期限を事前に通知するタイミングや、SAMLシングルサインオン経由で追加された非アクティブなユーザアカウントを自動的に削除するまでの期間を設定できます。

これらの設定を変更するには、[管理]→[システム設定]→[セキュリティ]→[アイデンティティプロバイダ] に移動します。

SAMLクレームの構造

次のSAML要求はDeep Securityでサポートされています。

Deep Securityユーザ名 (必須)

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionNameAttributeエレメントと、1つのAttributeValueエレメントが含まれるSAMLアサーションが必要です。Deep Security ManagerはAttributeValueをDeep Securityユーザ名として使用します。

SAMLデータの例 (簡略版)

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName">
        <AttributeValue>alice</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

Deep Securityユーザの役割 (必須)

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleAttributeエレメントと、1~10個のAttributeValueエレメントが含まれるSAMLアサーションが必要です。Deep Security Managerは、この属性値を使用して、ユーザのテナント、IDプロバイダ、役割を確認します。1つのアサーションには複数のテナントの役割が含まれる場合があります。

SAMLデータの例 (簡略版)

読みやすいようにAttributeValueエレメントに改行を入れていますが、クレームでは1行にする必要があります。

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/Role">
        <AttributeValue>urn:tmds:identity:[pod ID]:[tenant ID]:saml-provider/[IDP name],
            urn:tmds:identity:[pod ID]:[tenant ID]:role/[role name]</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

最大セッション期間 (オプション)

クレームに https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDurationName 属性と整数値の AttributeValue 要素を含む Attribute 要素が含まれているSAMLアサーションがある場合、セッションはその時間(秒)が経過すると自動的に終了します。

SAMLデータの例 (簡略版)

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration">
        <AttributeValue>28800</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

言語設定 (オプション)

要求に https://deepsecurity.trendmicro.com/SAML/attributes/PreferredLanguage という Name 属性の Attribute 要素が含まれ、サポートされている言語のいずれかと同じ文字列値の AttributeValue 要素が含まれているSAMLアサーションがある場合、Deep Security Managerはこの値を使用してユーザの優先言語を設定します。

次の言語がサポートされます。

  • en-US (米国英語)
  • ja-JP (日本語)

SAMLデータの例 (簡略版)

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/PreferredLanguage">
        <AttributeValue>en-US</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>