OktaとTrend Cloud One間で転送されるデータを保護するためにアサーション暗号化を設定します。
SAMLアサーションの暗号化を設定することで、データ暗号化アルゴリズムとキー輸送アルゴリズムを指定することにより、OktaとTrend Cloud One間の接続をさらに安全にすることができます。
まずSAMLでOktaを設定してください。詳細については、Oktaセットアップガイドを参照してください。
 |
重要SAMLアサーションの暗号化を設定する前にOpenSSLをインストールしてください。
|
SAMLアサーションの暗号化を設定するには:
手順
- Trend Cloud One管理で、 の順に選択します
- [Download Metadata XML for Trend Cloud One]をクリック
- metadata.xmlファイルをダウンロードしてください。
- metadata.xmlをテキストエディタで開きます。
重要
ブラウザを使用しないでください。CSR (証明書署名要求) の形式が不正になる可能性があります。 - CSRをコピーして
saml_encryption.csrとして保存してください - コマンドラインインタフェースを開く。
- 次のコマンドを実行して秘密鍵ファイルを生成します:
openssl genpkey -algorithm RSA -out ca_private_key.pem -pkeyopt rsa_keygen_bits:2048 - 証明書ファイルを生成します。
- 次のコマンドを入力します。
openssl req -x509 -new -nodes -key ca_private_key.pem -sha256 -days 1024 -out ca_certificate.pem
-days 1024は証明書の有効期間を1024日に設定します。 - 次の情報が求められたときに含まれます。
- 国名 (2文字コード)[AU]: US
- 都道府県名 (フルネーム) [Some-State]: (空白のまま)
- 地域名 (市区町村など) [ ]: (空白のままにする)
- 組織名 (例: 会社)[Internet Widggits Pty Ltd]: Trend Micro
- 組織単位名 (部、課など) [ ]: (空白のままにする)
- 一般名 (例:サーバFODNまたはあなたの名前)[ ]:(空白のままにする)
- メールアドレス [ ]: (空欄のままにする)
- 次のコマンドを入力します。
- 次のコマンドを入力して暗号化証明書ファイルを生成します。
openssl x509 -req -in saml_encryption.csr -CA ca_certificate.pem -CAkey ca_private_key.pem -CAcreateserial -out certificate.crt -days 1024 -sha256-days 1024は証明書の有効期間を1024日に設定します。 - Oktaでアサーションの暗号化を構成する:
- 管理者権限のあるユーザとしてOktaにログインします。
- の順に選択し、[ACTIVE] セクションで [sso-bet] を選択します。
- [sso-beta]画面のSAML設定セクションで、[Edit]をクリックします。
- [Configure SAML]画面の[一般]タブで、[Show Advanced Settings]をクリックします。
- アサーション暗号化の横で、暗号化を選択します。
- 暗号化アルゴリズムの横で、AES256-CBCを選択してください
- キー輸送アルゴリズムの横にある RSA-OAEP を選択してください
- [Encryption Certificate]の横にある[Browse files...]をクリックし、以前に生成したcertificate.crtファイルを選択します。
- [次へ] をクリックします。
- [完了] をクリックします。