Microsoft Entra IDを使用したSAMLシングルサインオンの設定

ビュー:

Deep SecurityのSAML標準の実装の詳細については、SAMLシングルサインオンの実装を参照してください。他のIDプロバイダとの設定手順については、SAMLシングルサインオンの設定を参照してください。

注意

現時点では、Deep SecurityはSAML 2.0 IDプロバイダ (IdP) で開始されたログインフローのHTTP POSTバインディングのみをサポートし、サービスプロバイダ (SP) で開始されたログインフローはサポートしません。

誰がこのプロセスに関与していますか？

通常、Deep Security ManagerでSAMLシングルサインオンにMicrosoft Entra IDを使用するように設定するには、2人必要です(SSO): Deep Security管理者とMicrosoft Entra ID管理者。

Deep Security管理者には、[SAMLアイデンティティプロバイダ]の権限が[完全]または[新規SAMLアイデンティティプロバイダを作成できます]が有効な[カスタム]に設定されたDeep Securityの役割が割り当てられている必要があります。

Microsoft Entra IDを使用してDeep SecurityでSAMLシングルサインオンを設定する手順と、各手順を実行する担当者の手順は次のとおりです。

ステップ	実行者
Deep SecurityをSAMLサービスプロバイダとして設定する	Deep Security管理者
Deep SecurityサービスプロバイダのSAMLメタデータドキュメントをダウンロードします。	Deep Security管理者
Microsoft Entra ID を構成する	Microsoft Entra ID管理者
Deep SecurityでSAMLを構成する	Deep Security管理者
Microsoft Entra IDで役割を定義する	Microsoft Entra ID管理者

Deep SecurityをSAMLサービスプロバイダとして設定する

まず、Deep Securityをサービスプロバイダとして設定します。

マルチテナントDeep Securityインストールでは、プライマリテナント管理者のみがDeep SecurityをSAMLサービスプロバイダとして構成できます。

Deep Security Managerで、[管理]→[ユーザ管理]→[IDプロバイダ]→ [SAML]に移動します。
[開始する] をクリックします。
[エンティティID]と[サービス名]を入力し、[次へ]をクリックしてください。

[エンティティID]はSAMLサービスプロバイダの一意の識別子です。SAML仕様では、エンティティIDはエンティティのドメイン名を含むURLであることが推奨されており、業界の慣行ではSAMLメタデータURLがエンティティIDとして使用されます。SAMLメタデータはDeep Security Managerの/samlエンドポイントから提供されるため、例としてはhttps://<DSMServerIP:4119>/samlのような値になります。
証明書オプションを選択し、[次へ]をクリックします。SAMLサービスプロバイダ証明書は現在使用されていませんが、将来的にサービスプロバイダ開始のログインやシングルサインアウト機能をサポートするために使用されます。PKCS #12キーストアファイルとパスワードを提供して証明書をインポートするか、新しい自己署名証明書を作成することができます。
手順に従って証明書の詳細の概要が表示されるまで進み、[完了]をクリックします。

Deep SecurityサービスプロバイダのSAMLメタデータドキュメントをダウンロードする

Deep Security Managerで、[管理]→[ユーザ管理]→[IDプロバイダ]→ [SAML]を選択し、[ダウンロード]をクリックします。このファイルは、ServiceProviderMetadata.xmlとしてダウンロードされます。このファイルをMicrosoft Entra ID管理者に送信します。

Microsoft Entra IDの設定

このセクションの手順は、Microsoft Entra ID管理者が実行します。

以下の手順を実行する方法の詳細については、Microsoft Entra IDでギャラリー外アプリケーションにシングルサインオンを構成するを参照してください。

Microsoft Entra IDポータルで、ギャラリー以外の新しいアプリケーションを追加します。
アプリケーションのシングル・サインオンを設定します。Deep Security Managerからダウンロードしたメタデータファイル、ServiceProviderMetadata.xmlをアップロードすることをお勧めします。また、返信URL (Deep Security Manager URL + /saml) を入力することもできます。
SAML要求を設定します。Deep Securityには次の2つが必要です。
- https://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionName Deep Securityのユーザ名となる一意のユーザIDです。たとえば、User Principal Name (UPN) を使用できます。
- https://deepsecurity.trendmicro.com/SAML/Attributes/RoleThe形式は「IDP URN、役割URN」です。IDPはまだDeep Security Managerに作成されていません。このSAMLクレームは、後で Microsoft Entra IDで役割を定義するで設定できます。
SAML請求構造で説明されているように、その他の任意のクレームを設定することもできます。
[Federation Metadata XML] ファイルをダウンロードし、Deep Security管理者に送信してください。

Deep Securityで複数の役割が定義されている場合は、これらの手順を繰り返して役割ごとに個別のアプリケーションを作成します。

Deep SecurityでSAMLを設定

Microsoft Entra IDメタデータドキュメントをインポートする

Deep Security Managerで、[管理]→[ユーザ管理]→[IDプロバイダ]→[SAML]に移動します。
[はじめに] または [新規] をクリックします。
[Choose File]の順に選択し、Microsoft Entra IDからダウンロードしたフェデレーションメタデータXMLファイルを選択し、[次へ]の順にクリックします。
アイデンティティプロバイダの[名前]を入力し、[完了]をクリックしてください。

[役割] 画面が表示されます。

SAMLユーザのDeep Securityの役割を作成する

Deep Securityの[管理]→[ユーザ管理]→[Roles]画面に、組織の適切な役割が含まれていることを確認します。ユーザには、自分の業務を職務の遂行に必要なものに限定する役割が割り当てられている必要があります。役割の作成方法については、ユーザの役割の定義を参照してください。Deep Securityの各役割には、対応するMicrosoft Entra IDアプリケーションが必要です。

URNを取得する

Deep Security Managerで、次の情報を収集します。この情報は、Microsoft Entra ID管理者に提供する必要があります。

アイデンティティプロバイダのURN。アイデンティティプロバイダのURNを表示するには、[管理]→[ユーザ管理]→[IDプロバイダ]→[SAML]→[IDプロバイダ]に移動し、URN列を確認してください。
Microsoft Entra IDアプリケーションに関連付けるDeep Securityの役割のURN。ロールURNを表示するには、[管理]→[ユーザ管理]→[役割] の順に選択し、[URN]列を選択します。複数の役割を持つ場合は、役割ごとにURNが必要になります。役割ごとに個別のMicrosoft Entra IDエンタープライズアプリケーションが必要なためです。

Microsoft Entra IDでの役割の定義

このセクションの手順は、Microsoft Entra ID管理者が実行する必要があります。

Microsoft Entra IDでは、前のセクションで識別されたIDプロバイダのURNと役割のURNを使用して、エンタープライズアプリケーションで「役割」属性を定義します。これは「IDP URN、役割URN」の形式でなければなりません。SAML クレーム構造セクションの「Deep Securityユーザの役割 (必須)」を参照してください。

Microsoft Entra IDのValidateボタンを使用して設定をテストするか、新しいアプリケーションをユーザに割り当てて動作をテストします。

サービスとIDプロバイダの設定

Deep Securityがサーバおよびアイデンティティプロバイダの証明書の有効期限をどれくらい前に通知するか、またSAMLシングルサインオンを通じて追加された非アクティブなユーザアカウントが自動的に削除されるまでの期間を設定できます。

これらの設定を変更するには、[管理]→[システム設定]→[セキュリティ]→[IDプロバイダ]に移動してください。

SAMLクレームの構造

Deep SecurityでサポートされているSAMLクレームは次のとおりです:

必須のDeep Securityユーザ名
Deep Securityユーザーロール (必須)
最大セッション期間 (オプション)
言語設定 (オプション)

必須のDeep Securityユーザ名

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionNameであり、単一のAttributeValue要素を含むAttribute要素を含むSAMLアサーションが必要です。Deep Security ManagerはAttributeValueをDeep Securityユーザ名として使用します。

サンプルSAMLデータ (省略)

Deep Securityユーザーロール (必須)

このクレームには、Attribute要素にhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleのName属性と1から10のAttributeValue要素を含むSAMLアサーションが必要です。Deep Security Managerは属性値を使用してテナント、アイデンティティプロバイダ、およびユーザの役割を決定します。単一のアサーションには、複数のテナントからの役割が含まれる場合があります。

AttributeValueには[two]のURNが含まれており、カンマで区切られています。URNは大文字と小文字を区別します。

サンプルSAMLデータ (省略)

AttributeValue要素の改行は読みやすさのためにありますが、クレームでは1行でなければなりません。

最大セッション期間 (オプション)

クレームにAttribute要素を含むSAMLアサーションがあり、そのName属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/SessionDurationで、整数値のAttributeValue要素が含まれている場合、その時間 (秒単位) が経過するとセッションは自動的に終了します。

サンプルSAMLデータ (省略)

言語設定 (オプション)

クレームにName属性がhttps://deepsecurity.trendmicro.com/SAML/attributes/PreferredLanguageであり、サポートされている言語のいずれかに等しい文字列値のAttributeValue要素を含むAttribute要素を含むSAMLアサーションがある場合、Deep Security Managerはその値を使用してユーザの優先言語を設定します。

次の言語がサポートされます。

en-US (米国英語)
ja-JP (日本語)

サンプルSAMLデータ (省略)