ビュー:
Microsoft Entra IDはマイクロソフトのマルチテナントに対応したクラウドベースのディレクトリおよびID管理サービスです。
ここではMicrosoft Entra IDをSAML (2.0) IDプロバイダとして設定し、Cloud App Securityで使用する方法について説明します。
Microsoft Entra IDの設定を開始する前に、次のことを確認してください。
  • サインインプロセスを処理してCloud App Security管理コンソールに認証資格情報を提供する、Microsoft Entra ID Premiumエディションの有効なライセンスを購入している。
    重要
    重要
    Cloud App Securityは、Microsoft Entra ID FreeおよびBasicエディションのSSOのサポートを停止しました。これらのエディションは証明書ベースの通信をサポートしておらず、セキュリティリスクが発生する可能性があるためです。
    Microsoft Entra ID FreeまたはBasicエディションのSSOをすでに設定されている場合、引き続きSSOを使用してCloud App Securityにログオンできますが、既存のSSOを変更することはできません。
  • Cloud App Security グローバル管理者として管理コンソールにログオンしています。

手順

  1. Microsoft Entra IDの管理者アカウントを使用して、https://portal.azure.comからAzure管理ポータルにサインインします。
  2. [Microsoft Azure]のメインページで、[Microsoft Entra ID] をクリックします。初めて使用する場合は、[More services] をクリックして [Microsoft Entra ID] を見つけます。
  3. 左側のナビゲーションで、[エンタープライズ アプリケーション][新しいアプリケーション] の順に選択します。
  4. (オプション) [Microsoft Entra ID ギャラリーの参照 (プレビュー)] 画面が表示されたら、[以前のアプリ ギャラリー エクスペリエンスに戻すには、こちらをクリックしてください。] をクリックします。
  5. [アプリケーションの追加] で、[ギャラリー以外のアプリケーション] をクリックします。
  6. 表示される [独自のアプリケーションの追加] 領域で、「Trend Micro Cloud App Security」などCloud App Securityの表示名を [名前] に指定し、[追加] をクリックします。
    新しく追加されたアプリケーションの [概要] 画面が表示されます。
  7. [はじめに] 領域で、[シングル サインオンのセットアップ] をクリックします。
  8. シングルサインオン方式として [SAML] を選択します。
    注意
    注意
    Cloud App Security は、 シングルサインオンにSAML 2.0を使用します。
  9. [SAML ベースのサインオン] 画面で、[編集] アイコンをクリックし、表示される [基本的な SAML 構成] 画面で、Cloud App Securityテナントの次の情報をMicrosoft Entra IDに指定して [保存] をクリックします。
    • 識別子:シングルサインオンを設定するCloud App Securityの一意の識別子。これはSAMLトークンのAudienceパラメータとしてMicrosoft Entra IDからCloud App Securityに返される値であり、アプリケーションではこの値を検証する必要があります。
      注意
      注意
      識別子は、ご使用のサイトのCloud App SecurityログオンURLです。たとえば、ログオン後にアドレスバーに表示されるCloud App Security管理コンソールのURLが「https://admin-eu.tmcas.trendmicro.com」であれば、識別子は「https://admin-eu.tmcas.trendmicro.com」です。
    • 応答 URL: Cloud App SecurityがSAMLトークンを受け取ることになっている場所です。
      注意
      注意
      応答URLは、「{Cloud App Security_admin_site}/ssoLogin」です。「{Cloud App Security_admin_site}」は、ご使用のサイトに基づいて指定してください。たとえば、ログオン後にアドレスバーに表示されるCloud App Security管理コンソールのURLが「https://admin-eu.tmcas.trendmicro.com」であれば、応答URLは「https://admin-eu.tmcas.trendmicro.com/ssoLogin」です。
    注意
    注意
    必要に応じて、手順9または手順10を実行します。
  10. [SAML署名証明書][証明書 (Base64)] をクリックし、Microsoft Entra IDで発行されたSAMLトークンを受信したときにCloud App SecurityでMicrosoft Entra IDの署名検証に使用する証明書ファイルをダウンロードします。
  11. (オプション) 新しい証明書を次のとおりに作成します。
    1. [編集] アイコンをクリックし、表示される [SAML 署名証明書] 画面で、[新しい証明書] をクリックします。
    1. 次の情報を指定して、[保存] をクリックします。
      • 有効期限: 証明書の有効期限が切れる日付。
      • 署名オプション: Microsoft Entra IDによってデジタル署名されるSAMLトークンの一部として [SAML アサーションへの署名] を選択します。
      • 署名アルゴリズム:Microsoft Entra IDによるSAMLトークンの署名に使用される署名アルゴリズムとして [SHA-256] を選択します。
      • 通知の電子メール アドレス: Microsoft Entra IDの管理者アカウント名が自動的に入力されます。アクティブな署名証明書の有効期限が近づくと、このメールアドレスに通知メッセージが送信されます。
    2. 証明書の最後にある省略記号 (...) をクリックし、[証明書をアクティブにする] を選択します。
  12. 次の情報を記録します。
    • [概要] 画面に進み、[プロパティ] 画面の [アプリケーション ID] を記録します。これはCloud App Security管理コンソールで [アプリケーションID] としても参照されます。
    • [シングル サインオン] をクリックし、[<アプリケーション名> のセットアップ] 領域の [ログイン URL] を記録します。これはCloud App Security管理コンソールで [サービスURL] としても参照されます。
  13. 左側のナビゲーションで、[ユーザーとグループ][Add user/group] の順にクリックします。
  14. [割り当ての追加] で、Active Directoryのプランのレベルに基づいて [ユーザー] または [ユーザーとグループ] をクリックします。
  15. [ユーザー] または [ユーザーとグループ] 領域で、Cloud App Security管理コンソールへのシングルサインオンを許可するユーザまたはグループを選択し、[選択][割り当て] の順にクリックします。
    選択したユーザとグループが [ユーザーとグループ] 画面に表示されます。
  16. (オプション) 「シングルサインオンを設定する」を終了したら、アプリケーションによるシングルサインオンをテストします。
    1. 左側のナビゲーションで、[シングル サインオン] をクリックし、画面下部にある [テスト] をクリックします。
    2. 表示される [<アプリケーション名> によるシングル サインオンのテスト] 画面で、必要に応じて [現在のユーザーとしてサインイン] または [他のユーザーとしてサインイン] をクリックします。
    当該ユーザがCloud App Security管理コンソールに自動的にログオンされます。