このセクションでは、 Cloud Email Gateway Protection を新しいアプリケーションとして追加し、 Okta管理コンソールでSSO設定を行う方法について説明します。
手順
- 右上隅にある [Admin] をクリックして管理コンソールに移動します。
注意
開発者コンソールが表示されている場合は、左上隅にある [< > Developer Console] をクリックし、[Classic UI] をクリックして管理コンソールに切り替えます。 - 管理コンソールで、 の順に選択します。
- [Add Application] をクリックし、[Create New App] をクリックします。[Create a New Application Integration] 画面が表示されます。
- [Platform] に [Web] を、[Sign on method] に [SAML 2.0] をそれぞれ選択し、[Create] をクリックします。
- [General Settings] 画面で、Cloud Email Gateway Protectionの名前 (Trend Micro Email Security End User Consoleなど) を [App name] に入力し、[Next] をクリックします。
- [Configure SAML] 画面で、次を指定します。
- 利用するサイトに基づいて、[Single sign on URL] に「https://euc.<domain_name>/uiserver/euc/ssoAssert?cmpID=<unique_identifier>」と入力します。
注意
前述および後述のURL内で次の置換を行います。-
<unique_identifier> を一意の識別子に置き換えます。一意の識別子を記録します。この識別子は、Cloud Email Gateway Protection管理コンソールでのSSOプロファイルの作成時に使用されます。
-
<domain_name> を地域に応じて次のいずれかに変更します。
-
北米、中南米、アジア太平洋地域:
tmes.trendmicro.com
-
ヨーロッパ、アフリカ地域:
tmes.trendmicro.eu
-
オーストラリア、ニュージーランド地域:
tmes-anz.trendmicro.com
-
日本:
tmems-jp.trendmicro.com
-
シンガポール:
tmes-sg.trendmicro.com
-
インド:
tmes-in.trendmicro.com
-
中東 (アラブ首長国連邦):
tmes-uae.trendmicro.com
-
-
- [Use this for Recipient URL and Destination URL] を選択します。
- [Audience URI (SP Entity ID)] に「https://euc.<domain_name>/uiserver/euc/ssoLogin」と入力します。
- [Name ID format] で [EmailAddress] を選択します。
- [Application username] で [Okta username] を選択します。
- (オプション) [Show Advanced Settings] をクリックして、次を指定します。この手順は、 Cloud Email Gateway Protection 管理コンソールでログオフURLを設定する場合にのみ必要です。ログオフURLを使用してログオフし、現在のIDプロバイダログオンセッションを終了します。
-
[Enable Single Logout] の横にある [Allow application to initiate Single Logout] チェックボックスをオンにします。
-
[Single Logout URL] に「https://euc.<domain_name>/uiserver/euc/sloAssert?cmpID=<unique_identifier>」と入力します。
-
[SP Issuer] に「https://euc.<domain_name>/uiserver/euc/ssoLogout」と入力します。
-
[Signature Certificate] 領域にログオフ証明書をアップロードします。事前にCloud Email Gateway Protection管理コンソールからログオフ証明書をダウンロードする必要があります。 の順に選択します。[シングルサインオン] セクションの [追加] をクリックします。ポップアップ画面の [IDプロバイダ設定] セクションで、[IDプロバイダ] に [Okta] を選択し、[ログオフ証明書のダウンロード] をクリックして証明書ファイルをダウンロードします。
-
その他は初期設定のままにします。
-
- [ATTRIBUTE STATEMENTS (OPTIONAL)] の下で、[Name] に「email」を指定し、[Name format] に [Unspecified] を、[Value] に [user.email] をそれぞれ選択します。
重要
Cloud Email Gateway ProtectionでSSOプロファイルのID要求の種類を設定する場合は、ここで指定した属性名を使用してください。 - (オプション) [GROUP ATTRIBUTE STATEMENTS (OPTIONAL)] の下で、[Name] に「euc_group」を指定し、[Name format] に [Unspecified] を選択して、フィルタ条件を指定します。
重要
Cloud Email Gateway ProtectionでSSOプロファイルのグループ要求の種類を設定する場合は、ここで指定したグループ属性名を使用してください。 - [次へ] をクリックします。
- 利用するサイトに基づいて、[Single sign on URL] に「https://euc.<domain_name>/uiserver/euc/ssoAssert?cmpID=<unique_identifier>」と入力します。
- [Feedback] 画面で、[I'm an Okta customer adding an internal app] をクリックし、[Finish] をクリックします。新しく作成したCloud Email Gateway Protectionアプリケーションの [Sign On] タブが表示されます。
- [View Setup Instructions] をクリックし、[Identity Provider Single Sign-On URL] のURLを記録しておき、[X.509 Certificate] の証明書をダウンロードします。