Microsoft Entra IDはマイクロソフトのマルチテナントに対応したクラウドベースのディレクトリおよびID管理サービスです。
ここではMicrosoft Entra IDをSAML (2.0) IDプロバイダとして設定し、Cloud App Securityで使用する方法について説明します。
Microsoft Entra IDの設定を開始する前に、次のことを確認してください。
-
サインインプロセスを処理してCloud App Security管理コンソールに認証資格情報を提供する、Microsoft Entra ID Premiumエディションの有効なライセンスを購入している。
重要
Cloud App Securityは、Microsoft Entra ID FreeおよびBasicエディションのSSOのサポートを停止しました。これらのエディションは証明書ベースの通信をサポートしておらず、セキュリティリスクが発生する可能性があるためです。Microsoft Entra ID FreeまたはBasicエディションのSSOをすでに設定されている場合、引き続きSSOを使用してCloud App Securityにログオンできますが、既存のSSOを変更することはできません。 -
Cloud App Security グローバル管理者として管理コンソールにログオンしています。
手順
- Microsoft Entra IDの管理者アカウントを使用して、https://portal.azure.comからAzure管理ポータルにサインインします。
- [Microsoft Azure]のメインページで、[Microsoft Entra ID] をクリックします。初めて使用する場合は、[More services] をクリックして [Microsoft Entra ID] を見つけます。
- 左側のナビゲーションで、 の順に選択します。
- (オプション) [Microsoft Entra ID ギャラリーの参照 (プレビュー)] 画面が表示されたら、[以前のアプリ ギャラリー エクスペリエンスに戻すには、こちらをクリックしてください。] をクリックします。
- [アプリケーションの追加] で、[ギャラリー以外のアプリケーション] をクリックします。
- 表示される [独自のアプリケーションの追加] 領域で、「Trend Micro Cloud App Security」などCloud App Securityの表示名を [名前] に指定し、[追加] をクリックします。新しく追加されたアプリケーションの [概要] 画面が表示されます。
- [はじめに] 領域で、[シングル サインオンのセットアップ] をクリックします。
- シングルサインオン方式として [SAML] を選択します。
注意
Cloud App Security は、 シングルサインオンにSAML 2.0を使用します。 - [SAML ベースのサインオン] 画面で、[編集] アイコンをクリックし、表示される [基本的な SAML 構成] 画面で、Cloud App Securityテナントの次の情報をMicrosoft Entra IDに指定して [保存] をクリックします。
-
識別子:シングルサインオンを設定するCloud App Securityの一意の識別子。これはSAMLトークンのAudienceパラメータとしてMicrosoft Entra IDからCloud App Securityに返される値であり、アプリケーションではこの値を検証する必要があります。
注意
識別子は、ご使用のサイトのCloud App SecurityログオンURLです。たとえば、ログオン後にアドレスバーに表示されるCloud App Security管理コンソールのURLが「https://admin-eu.tmcas.trendmicro.com」であれば、識別子は「https://admin-eu.tmcas.trendmicro.com」です。 -
応答 URL: Cloud App SecurityがSAMLトークンを受け取ることになっている場所です。
注意
応答URLは、「{Cloud App Security_admin_site}/ssoLogin」です。「{Cloud App Security_admin_site}」は、ご使用のサイトに基づいて指定してください。たとえば、ログオン後にアドレスバーに表示されるCloud App Security管理コンソールのURLが「https://admin-eu.tmcas.trendmicro.com」であれば、応答URLは「https://admin-eu.tmcas.trendmicro.com/ssoLogin」です。
注意
必要に応じて、手順9または手順10を実行します。 -
- [SAML署名証明書] で [証明書 (Base64)] をクリックし、Microsoft Entra IDで発行されたSAMLトークンを受信したときにCloud App SecurityでMicrosoft Entra IDの署名検証に使用する証明書ファイルをダウンロードします。
- (オプション) 新しい証明書を次のとおりに作成します。
- [編集] アイコンをクリックし、表示される [SAML 署名証明書] 画面で、[新しい証明書] をクリックします。
- 次の情報を指定して、[保存] をクリックします。
-
有効期限: 証明書の有効期限が切れる日付。
-
署名オプション: Microsoft Entra IDによってデジタル署名されるSAMLトークンの一部として [SAML アサーションへの署名] を選択します。
-
署名アルゴリズム:Microsoft Entra IDによるSAMLトークンの署名に使用される署名アルゴリズムとして [SHA-256] を選択します。
-
通知の電子メール アドレス: Microsoft Entra IDの管理者アカウント名が自動的に入力されます。アクティブな署名証明書の有効期限が近づくと、このメールアドレスに通知メッセージが送信されます。
-
- 証明書の最後にある省略記号 (...) をクリックし、[証明書をアクティブにする] を選択します。
- 次の情報を記録します。
-
[概要] 画面に進み、[プロパティ] 画面の [アプリケーション ID] を記録します。これはCloud App Security管理コンソールで [アプリケーションID] としても参照されます。
-
[シングル サインオン] をクリックし、[<アプリケーション名> のセットアップ] 領域の [ログイン URL] を記録します。これはCloud App Security管理コンソールで [サービスURL] としても参照されます。
-
- 左側のナビゲーションで、[ユーザーとグループ]→[Add user/group] の順にクリックします。
- [割り当ての追加] で、Active Directoryのプランのレベルに基づいて [ユーザー] または [ユーザーとグループ] をクリックします。
- [ユーザー] または [ユーザーとグループ] 領域で、Cloud App Security管理コンソールへのシングルサインオンを許可するユーザまたはグループを選択し、[選択]→[割り当て] の順にクリックします。選択したユーザとグループが [ユーザーとグループ] 画面に表示されます。
- (オプション) 「シングルサインオンを設定する」を終了したら、アプリケーションによるシングルサインオンをテストします。
- 左側のナビゲーションで、[シングル サインオン] をクリックし、画面下部にある [テスト] をクリックします。
- 表示される [<アプリケーション名> によるシングル サインオンのテスト] 画面で、必要に応じて [現在のユーザーとしてサインイン] または [他のユーザーとしてサインイン] をクリックします。
当該ユーザがCloud App Security管理コンソールに自動的にログオンされます。