本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

SAMLシングルサインオンを設定する

FIPSモードが有効な場合、SAMLシングルサインオンは利用できません。FIPS 140-2のサポートを参照してください。

SAMLシングルサインオンを使用するようDeep Securityを設定すると(組織のポータルにサインインするSSO), ユーザは、既存のDeep Securityアカウントがない状態でDeep Securityにシームレスにログインできます。また、SAMLシングルサインオンを使用すると、次のようなユーザ認証アクセス制御機能を実装できます。

  • パスワード強度または変更の強制
  • ワンタイムパスワード (OTP)
  • 2要素認証 (2FA) または多要素認証 (MFA)

Deep SecurityのSAML標準実装の詳細については、SAMLシングルサインオン(SSO)を実装するを参照してください。Azure Active DirectoryをIDプロバイダとして使用している場合は、 SAMLシングルサインオンをAzure Active Directoryで設定するを使用したSAMLシングルサインオンの設定を参照してください。

現時点では、Deep SecurityはSAML 2.0 IDプロバイダ (IdP) で開始されたログインフローのHTTP POSTバインディングのみをサポートし、サービスプロバイダ (SP) で開始されたログインフローはサポートしません。

Deep SecurityでSAMLシングルサインオンを使用するには、次の手順を実行する必要があります。

  1. 設定前の要件を設定する
  2. Deep SecurityをSAMLサービスプロバイダとして設定する
  3. Deep SecurityでSAMLを設定する
  4. IDプロバイダの管理者に情報を提供する
  5. SAMLクレームの構造
  6. SAMLシングルサインオンをテストする
  7. サービスとIDプロバイダの設定

設定前の要件を設定する

  1. Deep Security Managerが正常に動作していることを確認します。
  2. IDプロバイダの管理者に次のことを問い合わせます。
    • ディレクトリサーバグループをDeep Securityロールにマッピングするための名前付け規則を設定します。
    • IDプロバイダSAMLメタデータドキュメントを取得します。
    • 必要なユーザ認証アクセス制御機能をポリシーに追加するよう依頼します。

Deep SecurityでのSAMLシングルサインオンの動作がすでにテストされている次のIDプロバイダがサポートされています。

  • Active Directoryフェデレーションサービス (ADFS)
  • Okta
  • PingOne
  • Shibboleth

Deep SecurityをSAMLサービスプロバイダとして設定する

マルチテナントのDeep Securityインストール環境でDeep SecurityをSAMLサービスプロバイダとして設定できるのは、プライマリテナントの管理者だけです。

  1. Deep Security Managerで、[ 管理]→[ユーザ管理]→[IDプロバイダ]→[SAML]の順に選択します。
  2. [開始] をクリックします。
  3. エンティティID および サービス名を入力し、をクリックします。[次へ]をクリックします。

    [エンティティID] はSAMLサービスプロバイダの一意の識別子です。SAMLの仕様ではエンティティIDがエンティティのドメイン名を含むURLであることが推奨されており、業界の慣習として、エンティティIDにはSAMLメタデータURLを使用します。SAMLメタデータは、Deep Security Managerの/ samlエンドポイントから配信されるため、例の値は https://<DSMServerIP:4119>/samlです。
  4. 証明書のオプションを選択し、[次へ] をクリックします。SAMLサービスプロバイダの証明書は現時点では使用されていませんが、サービスプロバイダが開始したログオン機能やシングルサインアウト機能をサポートするために将来使用されます。証明書をインポートするには、PKCS#12キーストアファイルとパスワードを入力するか、新しい自己署名証明書を作成します。

  5. 証明書の詳細の概要が表示されるまで手順を実行し、[ Finish]をクリックします。

Deep SecurityでSAMLを設定する

IDプロバイダSAMLメタデータドキュメントをインポートする

Deep Securityアカウントには、管理者権限と「SAML IDプロバイダの作成」権限の両方が必要です。

  1. [管理] 画面で、[ユーザ管理]→[アイデンティティプロバイダ]→[SAML] に移動します。
  2. [開始] をクリックします。
  3. [ファイルの選択] をクリックし、IDプロバイダによって提供されたSAMLメタデータドキュメントを選択して、[次へ] をクリックします。
  4. IDプロバイダの [名前] を入力し、[完了] をクリックします。

    [役割] 画面が表示されます。

SAMLユーザのDeep Securityの役割を作成する

想定されるユーザの種類ごとに役割を作成する必要があります。各役割は、IDプロバイダのディレクトリサーバに対応するグループがあり、グループのアクセス権限およびテナントの割り当てと一致する必要があります。

IDプロバイダのSAML統合では、グループのメンバーシップをSAMLクレームに変換するメカニズムが用意されます。クレームルールの詳細は、IDプロバイダに付属するドキュメントを確認してください。

役割の作成方法については、 ユーザロールの定義の定義を参照してください。

IDプロバイダの管理者に情報を提供する

Deep Security ManagerサービスプロバイダSAMLメタデータドキュメントをダウンロードする

  1. [管理] 画面で、[ユーザ管理]→[アイデンティティプロバイダ]→[SAML] に移動します。
  2. SAMLサービスプロバイダの下の [ダウンロード] をクリックします。
    Deep SecurityサービスプロバイダSAMLメタデータドキュメント (ServiceProviderMetadata.xml) がダウンロードされます。

URNおよびDeep Security SAMLメタデータドキュメントをIDプロバイダの管理者に送信する

IDプロバイダの管理者には、Deep SecurityのサービスプロバイダSAMLメタデータドキュメント、IDプロバイダのURN、および作成したDeep Securityの各役割のURNを指定する必要があります。

役割のURNを確認するには、[管理]→[ユーザ管理]→[役割] の順に選択し、[URN] 列を参照します。

IDプロバイダのURNを確認するには、[管理]→[ユーザ管理]→[アイデンティティプロバイダ]→[SAML]→[アイデンティティプロバイダ] の順に選択し、[URN] 列を参照します。

IDプロバイダの管理者が、Deep Securityの役割に対応するグループと、グループメンバーシップをSAMLクレームに変換するために必要なルールを作成していることを確認したら、SAMLシングルサインオンの設定は完了です。

IDプロバイダの管理者には、必要に応じて、Deep Securityが必要とするSAMLクレームの構造についての情報を提供できます。

SAMLクレームの構造

次のSAML要求はDeep Securityでサポートされています。

Deep Securityユーザ名 (必須)

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionNameAttributeエレメントと、1つのAttributeValueエレメントが含まれるSAMLアサーションが必要です。Deep Security ManagerはAttributeValueをDeep Securityユーザ名として使用します。

SAMLデータの例 (簡略版)

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName">
        <AttributeValue>alice</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response> 

Deep Securityユーザの役割 (必須)

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleAttributeエレメントと、1~10個のAttributeValueエレメントが含まれるSAMLアサーションが必要です。Deep Security Managerは、この属性値を使用して、ユーザのテナント、IDプロバイダ、役割を確認します。1つのアサーションには複数のテナントの役割が含まれる場合があります。

SAMLデータの例 (簡略版)

読みやすいようにAttributeValueエレメントに改行を入れていますが、クレームでは1行にする必要があります。

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/Role">
        <AttributeValue>urn:tmds:identity:[pod ID]:[tenant ID]:saml-provider/[IDP name],
            urn:tmds:identity:[pod ID]:[tenant ID]:role/[role name]</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

最大セッション期間 (オプション)

クレームに https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDurationName 属性と整数値の AttributeValue 要素を含む Attribute 要素が含まれているSAMLアサーションがある場合、セッションはその時間(秒)が経過すると自動的に終了します。

SAMLデータの例 (簡略版)

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration">
        <AttributeValue>28800</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

言語設定 (オプション)

要求に https://deepsecurity.trendmicro.com/SAML/attributes/PreferredLanguage という Name 属性の Attribute 要素が含まれ、サポートされている言語のいずれかと同じ文字列値の AttributeValue 要素が含まれているSAMLアサーションがある場合、Deep Security Managerはこの値を使用してユーザの優先言語を設定します。

次の言語がサポートされます。

  • en-US (米国英語)
  • ja-JP (日本語)

SAMLデータの例 (簡略版)

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/PreferredLanguage">
        <AttributeValue>en-US</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

SAMLシングルサインオンをテストする

IDプロバイダサーバのシングルサインオンのログイン画面に移動し、そこからDeep Security Managerにログインします。正しく設定されている場合、Deep Security Managerコンソールにリダイレクトされます。SAMLシングルサインオンが機能していない場合は、次の手順に従います。

設定を確認する

  1. 設定前の要件を設定するセクションを確認します。
  2. ユーザが正しいディレクトリグループに属していることを確認します。
  3. IDプロバイダと役割のURNがIDプロバイダのフェデレーションサービスで正しく設定されていることを確認します。

診断パッケージを作成する

  1. [管理]→[システム情報] の順に選択し、[診断ログ] をクリックします。
  2. [SAMLに関する問題] を選択し、[保存] をクリックします。
  3. ログを生成します。IDプロバイダ経由でDeep Security Managerにログインし、問題を再現します。
  4. ログインが失敗したら、[管理]→[システム情報] に移動し、診断パッケージの作成 をクリックして診断パッケージを生成します。
  5. 診断パッケージが作成されたら、https://success.trendmicro.com/jp/contact-supportに移動してテクニカルサポートケースを開き、ケースの作成時に診断パッケージをアップロードします。

サービスとIDプロバイダの設定

サーバ証明書とIDプロバイダ証明書の有効期限を事前に通知するタイミングや、SAMLシングルサインオン経由で追加された非アクティブなユーザアカウントを自動的に削除するまでの期間を設定できます。

これらの設定を変更するには、[管理]→[システム設定]→[セキュリティ]→[アイデンティティプロバイダ] に移動します。