本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

SAMLシングルサインオンをMicrosoft Entra IDで設定する

Deep SecurityのSAML標準の実装の詳細については、 SAMLシングルサインオン(SSO)についての実装を参照してください。他のIDプロバイダとの設定手順については、 SAMLシングルサインオンを設定するを参照してください。

  • FIPSモードが有効な場合、SAMLシングルサインオンは利用できません。 FIPS 140のサポートを参照してください。\
  • 現時点では、Deep Securityでは のみがサポートされています.では、SAML 2.0アイデンティティープロバイダのHTTP POSTバインドのみがサポートされます(IdP)-はログインフローを開始し、サービスプロバイダは開始しませんでした(SP)-はログオンフローを開始しました)。

誰がこのプロセスに関与していますか?

通常、Deep Security ManagerでSAMLシングルサインオンにMicrosoft Entra IDを使用するように設定するには、2人必要です(SSO): Deep Security管理者とMicrosoft Entra ID管理者)。

Deep Securityの管理者には、 SAML IDプロバイダ 権限が 完全に設定されているか、 カスタムで新しいSAML IDプロバイダの作成可能な が有効)に設定されたDeep Securityの役割が割り当てられている必要があります。

Microsoft Entra IDを使用してDeep SecurityでSAMLシングルサインオンを設定する手順と、各手順を実行する担当者の手順は次のとおりです。

手順 実行者
Deep SecurityをSAMLサービスプロバイダとして設定する Deep Security管理者
Deep SecurityサービスプロバイダのSAMLメタデータドキュメントをダウンロードする Deep Security管理者
Microsoft Entra IDを設定する Microsoft Entra ID管理者
Deep SecurityでSAMLを設定する Deep Security管理者
Microsoft Entra IDで役割を定義する Microsoft Entra ID管理者

Deep SecurityをSAMLサービスプロバイダとして設定する

まず、 Deep Securityをサービスプロバイダとして設定します。

マルチテナントのDeep Securityインストール環境でDeep SecurityをSAMLサービスプロバイダとして設定できるのは、プライマリテナントの管理者だけです。

  1. Deep Security Managerで、[ 管理]→[ユーザ管理]→[IDプロバイダ]→[SAML]の順に選択します。
  2. [開始] をクリックします。

  3. エンティティID および サービス名を入力し、[ ]をクリックします。[次へ]をクリックします。

    [エンティティID] はSAMLサービスプロバイダの一意の識別子です。SAMLの仕様ではエンティティIDがエンティティのドメイン名を含むURLであることが推奨されており、業界の慣習として、エンティティIDにはSAMLメタデータURLを使用します。SAMLメタデータは、Deep Security Managerの/ samlエンドポイントから配信されるため、例の値は https://<DSMServerIP:4119>/samlです。

  4. 証明書のオプションを選択し、[次へ] をクリックします。SAMLサービスプロバイダの証明書は現時点では使用されていませんが、サービスプロバイダが開始したログオン機能やシングルサインアウト機能をサポートするために将来使用されます。証明書をインポートするには、PKCS#12キーストアファイルとパスワードを入力するか、新しい自己署名証明書を作成します。

  5. 証明書の詳細の概要が表示されるまで手順を実行し、[ 完了]をクリックします。

Deep SecurityサービスプロバイダのSAMLメタデータドキュメントをダウンロードする

Deep Security Managerで、[管理]→[ユーザ管理]→[IDプロバイダ]→[SAML]の順に選択し、[ダウンロード] をクリックします。このファイルは、 ServiceProviderMetadata.xmlとしてダウンロードされます。このファイルをMicrosoft Entra ID管理者に送信します。

Microsoft Entra IDを設定する

このセクションの手順は、Microsoft Entra ID管理者が実行します。

以下の手順の実行方法の詳細については、 Microsoft Entra ID の非ギャラリーアプリケーションへのシングルサインオンの設定を参照してください。

  1. Microsoft Entra IDポータルで、ギャラリー以外の新しいアプリケーションを追加します。
  2. アプリケーションのシングル・サインオンを設定します。Deep Security Managerからダウンロードしたメタデータファイル ServiceProviderMetadata.xmlをアップロードすることをお勧めします。また、返信URL( Deep Security Manager URL + / saml)を入力することもできます。

  3. SAML要求を設定します。Deep Securityには次の2つが必要です。

    • https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName
      Deep Securityのユーザ名となる一意のユーザIDです。たとえば、User Principal Name(UPN)を使用できます。
    • https://deepsecurity.trendmicro.com/SAML/Attributes/Role
      形式は「IDP URN、役割URN」です。IDPはまだDeep Security Managerに作成されていません。このSAMLクレームは、後で Microsoft Entra IDで役割を定義するで役割を定義するで設定できます。

    SAMLクレームの構造で説明されているように、その他の任意のクレームを設定することもできます。

  4. フェデレーションメタデータXML ファイルをダウンロードし、Deep Security管理者に送信してください。

Deep Securityで複数の役割が定義されている場合は、これらの手順を繰り返して役割ごとに個別のアプリケーションを作成します。

Deep SecurityでSAMLを設定する

Microsoft Entra IDメタデータドキュメントをインポートする

  1. Deep Security Managerで、[ 管理]→[ユーザ管理]→[IDプロバイダ]→[SAML]の順に選択します。
  2. [ の開始] または[ 新規]をクリックします。
  3. [ファイルの選択] の順に選択し、Microsoft Entra IDからダウンロードしたフェデレーションメタデータXMLファイルを選択し、[ 次へ]の順にクリックします。
  4. IDプロバイダの [名前] を入力し、[完了] をクリックします。

    [役割] 画面が表示されます。

SAMLユーザのDeep Securityの役割を作成する

Deep Securityの[ 管理]→[ユーザ管理]→[役割の の管理]画面に、組織の適切な役割が含まれていることを確認します。ユーザには、自分の業務を職務の遂行に必要なものに限定する役割が割り当てられている必要があります。役割の作成方法については、 ユーザロールの定義の定義を参照してください。Deep Securityの各役割には、対応するMicrosoft Entra IDアプリケーションが必要です。

URNを取得する

Deep Security Managerで、次の情報を収集します。この情報は、Microsoft Entra ID管理者に提供する必要があります。

  • アイデンティティプロバイダURNIDプロバイダのURNを表示するには、 の[管理]→[ユーザ管理]→[IDプロバイダ]→[SAML]→[IDプロバイダ] に移動し、[URN]列を選択します。
  • Microsoft Entra IDアプリケーションに関連付けるDeep Securityの役割のURN。ロールURNを表示するには、[管理]→[ユーザ管理]→[ロール] の順に選択し、[URN]列を選択します。複数の役割を持つ場合は、役割ごとにURNが必要になります。役割ごとに個別のAzure Activeアプリケーションが必要なためです。

Microsoft Entra IDで役割を定義する

このセクションの手順は、Microsoft Entra ID管理者が実行する必要があります。

Microsoft Entra IDでは、前のセクションで識別されたIDプロバイダのURNと役割のURNを使用して、エンタープライズアプリケーションで「役割」属性を定義します。これは、「IDP URN、役割URN」の形式で指定してください。「Deep Securityユーザの役割( SAMLクレームの構造 セクションの)" が必要です。」を参照してください。

Microsoft Entra IDの[検証]ボタンを使用してセットアップをテストするか、新しいアプリケーションをユーザに割り当ててテストします。

サービスとIDプロバイダの設定

サーバ証明書とIDプロバイダ証明書の有効期限を事前に通知するタイミングや、SAMLシングルサインオン経由で追加された非アクティブなユーザアカウントを自動的に削除するまでの期間を設定できます。

これらの設定を変更するには、[管理]→[システム設定]→[セキュリティ]→[アイデンティティプロバイダ] に移動します。

SAMLクレームの構造

次のSAML要求はDeep Securityでサポートされています。

Deep Securityユーザ名 (必須)

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionNameAttributeエレメントと、1つのAttributeValueエレメントが含まれるSAMLアサーションが必要です。Deep Security ManagerはAttributeValueをDeep Securityユーザ名として使用します。

SAMLデータの例 (簡略版)

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName">
        <AttributeValue>alice</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

Deep Securityユーザの役割 (必須)

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleAttributeエレメントと、1~10個のAttributeValueエレメントが含まれるSAMLアサーションが必要です。Deep Security Managerは、この属性値を使用して、ユーザのテナント、IDプロバイダ、役割を確認します。1つのアサーションには複数のテナントの役割が含まれる場合があります。

AttributeValueには、 の2つの URNがカンマで区切られています。URNは大文字と小文字が区別されます。

SAMLデータの例 (簡略版)

読みやすいようにAttributeValueエレメントに改行を入れていますが、クレームでは1行にする必要があります。

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/Role">
        <AttributeValue>urn:tmds:identity:[pod ID]:[tenant ID]:saml-provider/[IDP name],
            urn:tmds:identity:[pod ID]:[tenant ID]:role/[role name]</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

最大セッション期間 (オプション)

クレームに https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDurationName 属性と整数値の AttributeValue 要素を含む Attribute 要素が含まれているSAMLアサーションがある場合、セッションはその時間(秒)が経過すると自動的に終了します。

SAMLデータの例 (簡略版)

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration">
        <AttributeValue>28800</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>

言語設定 (オプション)

要求に https://deepsecurity.trendmicro.com/SAML/attributes/PreferredLanguage という Name 属性の Attribute 要素が含まれ、サポートされている言語のいずれかと同じ文字列値の AttributeValue 要素が含まれるSAMLアサーションがある場合、Deep Security Managerはこの値を使用してユーザの優先言語を設定します。

次の言語がサポートされます。

  • en-US (米国英語)
  • ja-JP (日本語)

SAMLデータの例 (簡略版)

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <AttributeStatement>
      <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/PreferredLanguage">
        <AttributeValue>en-US</AttributeValue>
      </Attribute>
    </AttributeStatement>
  </Assertion>
</samlp:Response>