本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
SAMLシングルサインオンを設定する
Deep SecurityをSAMLシングルサインオン (SSO) で使用するように構成すると、組織のポータルにサインインするユーザは、既存のDeep SecurityアカウントなしでシームレスにDeep Securityにサインインできます。SAMLシングルサインオンにより、次のようなユーザ認証アクセス制御機能を実装することも可能になります:
- パスワード強度または変更の強制
- ワンタイムパスワード (OTP)
- 2要素認証 (2FA) または多要素認証 (MFA)
Deep SecurityのSAML標準実装の詳細については、SAMLシングルサインオン(SSO)についてを参照してください。Microsoft Entra IDをIDプロバイダとして使用している場合は、 SAMLシングルサインオンをMicrosoft Entra IDで設定するを使用したSAMLシングルサインオンの設定を参照してください。
現時点では、Deep SecurityはSAML 2.0 IDプロバイダ (IdP) で開始されたログインフローのHTTP POSTバインディングのみをサポートし、サービスプロバイダ (SP) で開始されたログインフローはサポートしません。
Deep SecurityでSAMLシングルサインオンを使用するには、次の手順を実行する必要があります。
- 設定前の要件を設定する
- Deep SecurityをSAMLサービスプロバイダとして設定する
- Deep SecurityでSAMLを設定する
- IDプロバイダの管理者に情報を提供する
- SAMLクレームの構造
- SAMLシングルサインオンをテストする
- サービスとIDプロバイダの設定
設定前の要件を設定する
- Deep Security Managerが正常に動作していることを確認します。
- IDプロバイダの管理者に次のことを問い合わせます。
- ディレクトリサーバグループをDeep Securityロールにマッピングするための名前付け規則を設定します。
- IDプロバイダSAMLメタデータドキュメントを取得します。
- 必要なユーザ認証アクセス制御機能をポリシーに追加するよう依頼します。
Deep SecurityでのSAMLシングルサインオンの動作がすでにテストされている次のIDプロバイダがサポートされています。
- Active Directoryフェデレーションサービス (ADFS)
- Okta
- PingOne
- Shibboleth
- Microsoft Entra ID
Deep SecurityをSAMLサービスプロバイダとして設定する
まず、 Deep Securityをサービスプロバイダとして設定します。
マルチテナントのDeep Securityインストール環境でDeep SecurityをSAMLサービスプロバイダとして設定できるのは、プライマリテナントの管理者だけです。
- Deep Security Managerで、[ 管理]→[ユーザ管理]→[IDプロバイダ]→[SAML]の順に選択します。
- [開始] をクリックします。
-
エンティティID および サービス名を入力し、[ ]をクリックします。[次へ]をクリックします。
[エンティティID] はSAMLサービスプロバイダの一意の識別子です。SAMLの仕様ではエンティティIDがエンティティのドメイン名を含むURLであることが推奨されており、業界の慣習として、エンティティIDにはSAMLメタデータURLを使用します。SAMLメタデータは、Deep Security Managerの/ samlエンドポイントから配信されるため、例の値は https://<DSMServerIP:4119>/samlです。 -
証明書のオプションを選択し、[次へ] をクリックします。SAMLサービスプロバイダの証明書は現時点では使用されていませんが、サービスプロバイダが開始したログオン機能やシングルサインアウト機能をサポートするために将来使用されます。証明書をインポートするには、PKCS#12キーストアファイルとパスワードを入力するか、新しい自己署名証明書を作成します。
- 証明書の詳細の概要が表示されるまで手順を実行し、[ 完了]をクリックします。
Deep SecurityでSAMLを設定する
IDプロバイダSAMLメタデータドキュメントをインポートする
Deep Securityアカウントには、管理者権限と「SAML IDプロバイダの作成」権限の両方が必要です。
- [管理] 画面で、[ユーザ管理]→[アイデンティティプロバイダ]→[SAML] に移動します。
- [開始] をクリックします。
- [ファイルの選択] をクリックし、IDプロバイダによって提供されたSAMLメタデータドキュメントを選択して、[次へ] をクリックします。
IDプロバイダの [名前] を入力し、[完了] をクリックします。
[役割] 画面が表示されます。
SAMLユーザのDeep Securityの役割を作成する
想定されるユーザの種類ごとに役割を作成する必要があります。各役割は、IDプロバイダのディレクトリサーバに対応するグループがあり、グループのアクセス権限およびテナントの割り当てと一致する必要があります。
IDプロバイダのSAML統合では、グループのメンバーシップをSAMLクレームに変換するメカニズムが用意されます。クレームルールの詳細は、IDプロバイダに付属するドキュメントを確認してください。
役割の作成方法については、 ユーザロールの定義の定義を参照してください。
IDプロバイダの管理者に情報を提供する
Deep Security ManagerサービスプロバイダSAMLメタデータドキュメントをダウンロードする
- [管理] 画面で、[ユーザ管理]→[アイデンティティプロバイダ]→[SAML] に移動します。
- SAMLサービスプロバイダの下の [ダウンロード] をクリックします。
Deep SecurityサービスプロバイダSAMLメタデータドキュメント (ServiceProviderMetadata.xml) がダウンロードされます。
URNおよびDeep Security SAMLメタデータドキュメントをIDプロバイダの管理者に送信する
IDプロバイダの管理者には、Deep SecurityのサービスプロバイダSAMLメタデータドキュメント、IDプロバイダのURN、および作成したDeep Securityの各役割のURNを指定する必要があります。
役割のURNを確認するには、[管理]→[ユーザ管理]→[役割] の順に選択し、[URN] 列を参照します。
IDプロバイダのURNを確認するには、[管理]→[ユーザ管理]→[アイデンティティプロバイダ]→[SAML]→[アイデンティティプロバイダ] の順に選択し、[URN] 列を参照します。
IDプロバイダの管理者が、Deep Securityの役割に対応するグループと、グループメンバーシップをSAMLクレームに変換するために必要なルールを作成していることを確認したら、SAMLシングルサインオンの設定は完了です。
IDプロバイダの管理者には、必要に応じて、Deep Securityが必要とするSAMLクレームの構造についての情報を提供できます。
SAMLクレームの構造
次のSAML要求はDeep Securityでサポートされています。
Deep Securityユーザ名 (必須)
クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionNameAttributeエレメントと、1つのAttributeValueエレメントが含まれるSAMLアサーションが必要です。Deep Security ManagerはAttributeValueをDeep Securityユーザ名として使用します。
SAMLデータの例 (簡略版)
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"> <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> <AttributeStatement> <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName"> <AttributeValue>alice</AttributeValue> </Attribute> </AttributeStatement> </Assertion> </samlp:Response>
Deep Securityユーザの役割 (必須)
クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleAttributeエレメントと、1~10個のAttributeValueエレメントが含まれるSAMLアサーションが必要です。Deep Security Managerは、この属性値を使用して、ユーザのテナント、IDプロバイダ、役割を確認します。1つのアサーションには複数のテナントの役割が含まれる場合があります。
AttributeValueには、 の2つの URNがカンマで区切られています。URNは大文字と小文字が区別されます。
SAMLデータの例 (簡略版)
読みやすいようにAttributeValueエレメントに改行を入れていますが、クレームでは1行にする必要があります。
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"> <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> <AttributeStatement> <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/Role"> <AttributeValue>urn:tmds:identity:[pod ID]:[tenant ID]:saml-provider/[IDP name], urn:tmds:identity:[pod ID]:[tenant ID]:role/[role name]</AttributeValue> </Attribute> </AttributeStatement> </Assertion> </samlp:Response>
最大セッション期間 (オプション)
クレームに https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration の Name 属性と整数値の AttributeValue 要素を含む Attribute 要素が含まれているSAMLアサーションがある場合、セッションはその時間(秒)が経過すると自動的に終了します。
SAMLデータの例 (簡略版)
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"> <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> <AttributeStatement> <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/SessionDuration"> <AttributeValue>28800</AttributeValue> </Attribute> </AttributeStatement> </Assertion> </samlp:Response>
言語設定 (オプション)
要求に https://deepsecurity.trendmicro.com/SAML/attributes/PreferredLanguage という Name 属性の Attribute 要素が含まれ、サポートされている言語のいずれかと同じ文字列値の AttributeValue 要素が含まれるSAMLアサーションがある場合、Deep Security Managerはこの値を使用してユーザの優先言語を設定します。
次の言語がサポートされます。
- en-US (米国英語)
- ja-JP (日本語)
SAMLデータの例 (簡略版)
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"> <Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> <AttributeStatement> <Attribute Name="https://deepsecurity.trendmicro.com/SAML/Attributes/PreferredLanguage"> <AttributeValue>en-US</AttributeValue> </Attribute> </AttributeStatement> </Assertion> </samlp:Response>
SAMLシングルサインオンをテストする
IDプロバイダサーバのシングルサインオンのログイン画面に移動し、そこからDeep Security Managerにログインします。正しく設定されている場合、Deep Security Managerコンソールにリダイレクトされます。SAMLシングルサインオンが機能していない場合は、次の手順に従います。
設定を確認する
- 設定前の要件を設定するセクションを確認します。
- ユーザが正しいディレクトリグループに属していることを確認します。
- IDプロバイダと役割のURNがIDプロバイダのフェデレーションサービスで正しく設定されていることを確認します。
診断パッケージを作成する
- [管理]→[システム情報] の順に選択し、[診断ログ] をクリックします。
- [SAMLに関する問題] を選択し、[保存] をクリックします。
- ログを生成します。IDプロバイダ経由でDeep Security Managerにログインし、問題を再現します。
- ログインが失敗したら、[管理]→[システム情報] に移動し、[診断パッケージの作成] をクリックして診断パッケージを生成します。
- 診断パッケージが作成されたら、https://success.trendmicro.com/dcx/s/contactus?language=jaに移動してテクニカルサポートケースを開き、ケースの作成時に診断パッケージをアップロードします。
サービスとIDプロバイダの設定
サーバ証明書とIDプロバイダ証明書の有効期限を事前に通知するタイミングや、SAMLシングルサインオン経由で追加された非アクティブなユーザアカウントを自動的に削除するまでの期間を設定できます。
これらの設定を変更するには、[管理]→[システム設定]→[セキュリティ]→[アイデンティティプロバイダ] に移動します。