ビュー:
Deep SecurityをSAMLシングルサインオン (SSO) で使用するように構成すると、組織のポータルにサインインするユーザは、既存のDeep SecurityアカウントなしでシームレスにDeep Securityにサインインできます。SAMLシングルサインオンにより、次のようなユーザ認証アクセス制御機能を実装することも可能になります:
  • パスワード強度または変更の強制
  • ワンタイムパスワード (OTP)
  • 2要素認証 (2FA) または多要素認証 (MFA)
Deep SecurityのSAML標準実装の詳細については、SAMLシングルサインオンの実装を参照してください。Microsoft Entra IDをIDプロバイダとして使用している場合は、Microsoft Entra IDを使用したSAMLシングルサインオンの設定を参照してください。
注意
注意
現時点では、Deep SecurityはSAML 2.0 IDプロバイダ (IdP) で開始されたログインフローのHTTP POSTバインディングのみをサポートし、サービスプロバイダ (SP) で開始されたログインフローはサポートしません。
Deep SecurityでSAMLシングルサインオンを使用するには、次の手順を実行する必要があります。

設定前の要件を設定する

  1. Deep Security Managerが正常に動作していることを確認します。
  2. IDプロバイダの管理者に次のことを問い合わせます。
    • ディレクトリサーバグループをDeep Securityロールにマッピングするための名前付け規則を設定します。
    • IDプロバイダSAMLメタデータドキュメントを取得します。
    • 必要なユーザ認証アクセス制御機能をポリシーに追加するよう依頼します。
Deep SecurityでのSAMLシングルサインオンの動作がすでにテストされている次のIDプロバイダがサポートされています。

Deep SecurityをSAMLサービスプロバイダとして設定する

まず、Deep Securityをサービスプロバイダとして設定します。
マルチテナントDeep Securityインストールでは、プライマリテナント管理者のみがDeep SecurityをSAMLサービスプロバイダとして構成できます。
  1. Deep Security Managerで、[管理]→[ユーザ管理]→[IDプロバイダ]→ [SAML]に移動します。
  2. [開始する] をクリックします。
  3. [エンティティID][サービス名]を入力し、[次へ]をクリックしてください。
    [エンティティID]はSAMLサービスプロバイダの一意の識別子です。SAML仕様では、エンティティIDはエンティティのドメイン名を含むURLであることが推奨されており、業界の慣行ではSAMLメタデータURLがエンティティIDとして使用されます。SAMLメタデータはDeep Security Managerの/samlエンドポイントから提供されるため、例としてはhttps://<DSMServerIP:4119>/samlのような値になります。
  4. 証明書オプションを選択し、[次へ]をクリックします。SAMLサービスプロバイダ証明書は現在使用されていませんが、将来的にサービスプロバイダ開始のログインやシングルサインアウト機能をサポートするために使用されます。PKCS #12キーストアファイルとパスワードを提供して証明書をインポートするか、新しい自己署名証明書を作成することができます。
  5. 手順に従って証明書の詳細の概要が表示されるまで進み、[完了]をクリックします。

Deep SecurityでSAMLを設定

IDプロバイダSAMLメタデータドキュメントをインポートする

注意
注意
Deep Securityアカウントには、管理者権限と「SAML IDプロバイダの作成」権限の両方が必要です。
  1. 管理ページで、[ユーザ管理]→[IDプロバイダ]→[SAML]に移動します。
  2. [開始する] をクリックします。
  3. [Choose File] をクリックし、IDプロバイダによって提供されたSAMLメタデータドキュメントを選択して、[次へ] をクリックします。
  4. アイデンティティプロバイダの[名前]を入力し、[完了]をクリックしてください。
    [役割] 画面が表示されます。

SAMLユーザのDeep Securityの役割を作成する

想定されるユーザの種類ごとに役割を作成する必要があります。各役割は、IDプロバイダのディレクトリサーバに対応するグループがあり、グループのアクセス権限およびテナントの割り当てと一致する必要があります。
IDプロバイダのSAML統合では、グループのメンバーシップをSAMLクレームに変換するメカニズムが用意されます。クレームルールの詳細は、IDプロバイダに付属するドキュメントを確認してください。
役割の作成方法については、 ユーザの役割の定義を参照してください。

IDプロバイダの管理者に情報を提供する

Deep Security ManagerサービスプロバイダSAMLメタデータドキュメントをダウンロードします

  1. 管理ページで、[ユーザ管理]→[IDプロバイダ]→[SAML]に移動します。
  2. SAMLサービスプロバイダの下の [ダウンロード] をクリックします。Deep SecurityサービスプロバイダSAMLメタデータドキュメント (ServiceProviderMetadata.xml) がダウンロードされます。

URNおよびDeep Security SAMLメタデータドキュメントをIDプロバイダの管理者に送信する

IDプロバイダの管理者には、Deep SecurityのサービスプロバイダSAMLメタデータドキュメント、IDプロバイダのURN、および作成したDeep Securityの各役割のURNを指定する必要があります。
ヒント
ヒント
ロールURNを表示するには、[管理]→[ユーザ管理]→[Roles]に移動し、URN列の下を確認してください。
アイデンティティプロバイダのURNを表示するには、[管理]→[ユーザ管理]→[IDプロバイダ]→[SAML]→[IDプロバイダ]に移動し、URN列の下を確認してください。
IDプロバイダの管理者が、Deep Securityの役割に対応するグループと、グループメンバーシップをSAMLクレームに変換するために必要なルールを作成していることを確認したら、SAMLシングルサインオンの設定は完了です。
注意
注意
IDプロバイダの管理者には、必要に応じて、Deep Securityが必要とするSAMLクレームの構造についての情報を提供できます。

SAMLクレームの構造

Deep SecurityでサポートされているSAMLクレームは次のとおりです:

必須のDeep Securityユーザ名

クレームには、Name属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleSessionNameであり、単一のAttributeValue要素を含むAttribute要素を含むSAMLアサーションが必要です。Deep Security ManagerはAttributeValueをDeep Securityユーザ名として使用します。
サンプルSAMLデータ (省略)

Deep Securityユーザーロール (必須)

このクレームには、Attribute要素にhttps://deepsecurity.trendmicro.com/SAML/Attributes/RoleName属性と1から10のAttributeValue要素を含むSAMLアサーションが必要です。Deep Security Managerは属性値を使用してテナント、アイデンティティプロバイダ、およびユーザの役割を決定します。単一のアサーションには、複数のテナントからの役割が含まれる場合があります。
AttributeValueには[two]のURNが含まれており、カンマで区切られています。URNは大文字と小文字を区別します。
サンプルSAMLデータ (省略)
AttributeValue要素の改行は読みやすさのためにありますが、クレームでは1行でなければなりません。

最大セッション期間 (オプション)

クレームにAttribute要素を含むSAMLアサーションがあり、そのName属性がhttps://deepsecurity.trendmicro.com/SAML/Attributes/SessionDurationで、整数値のAttributeValue要素が含まれている場合、その時間 (秒単位) が経過するとセッションは自動的に終了します。
サンプルSAMLデータ (省略)

言語設定 (オプション)

クレームにName属性がhttps://deepsecurity.trendmicro.com/SAML/attributes/PreferredLanguageであり、サポートされている言語のいずれかに等しい文字列値のAttributeValue要素を含むAttribute要素を含むSAMLアサーションがある場合、Deep Security Managerはその値を使用してユーザの優先言語を設定します。
次の言語がサポートされます。
  • en-US (米国英語)
  • ja-JP (日本語)
サンプルSAMLデータ (省略)

SAMLシングルサインオンをテストする

IDプロバイダサーバのシングルサインオンのログイン画面に移動し、そこからDeep Security Managerにログインします。正しく設定されている場合、Deep Security Managerコンソールにリダイレクトされます。SAMLシングルサインオンが機能していない場合は、次の手順に従います。

設定を確認する

  1. 設定前の要件を設定するセクションを確認します。
  2. ユーザが正しいディレクトリグループに属していることを確認します。
  3. IDプロバイダと役割のURNがIDプロバイダのフェデレーションサービスで正しく設定されていることを確認します。

診断パッケージを作成する

  1. [管理]→[システム情報] に移動し、[診断ログ] をクリックします。
  2. [SAMLに関する問題] を選択し、[保存] をクリックします。
  3. ログを生成します。IDプロバイダ経由でDeep Security Managerにログインし、問題を再現します。
  4. ログインに失敗した後、[管理]→[システム情報]に移動し、[Create Diagnostic Package]をクリックして診断パッケージを生成してください。
  5. 診断パッケージが作成されたら、https://success.trendmicro.comに移動してテクニカルサポートケースを開き、ケースの作成時に診断パッケージをアップロードします。

サービスとIDプロバイダの設定

Deep Securityがサーバおよびアイデンティティプロバイダの証明書の有効期限をどれくらい前に通知するか、またSAMLシングルサインオンを通じて追加された非アクティブなユーザアカウントが自動的に削除されるまでの期間を設定できます。
これらの設定を変更するには、[管理]→[システム設定]→[セキュリティ]→[IDプロバイダ]に移動してください。