ビュー:

Trend Vision One が使用するSAML (2.0) IDプロバイダとしてOktaを設定します。

Oktaは、複数の標準に準拠したOAuth 2.0認証サーバを使用してクラウドID管理ソリューションを組織に提供し、シングルサインオンプロバイダとしてTrend Vision Oneへのユーザアクセス管理を可能にします。
Oktaの設定を開始する前に、次のことを確認してください。
  • サインインプロセスを処理してTrend Vision One管理コンソールに認証資格情報を提供する、Oktaの有効なライセンスを購入している。
  • Trend Vision Oneの管理者として管理コンソールにログオンしている。

手順

  1. 管理者権限のあるユーザとしてOktaにログインします。
  2. Trend Vision Oneの新しいアプリケーションを追加します。
    1. 画面右上にある [Admin] をクリックし、 [Applications][Applications] の順に選択します。
    2. [Add Application] をクリックし、[Create New App] をクリックします。
      [Create a New Application Integration] 画面が表示されます。
    3. [Platform][Web] を、[Sign on method][SAML 2.0] を選択し、[Create] をクリックします。
      [Create SAML Integration] 画面の [一般設定] セクションが表示されます。
    4. [General Settings] 画面の [App name] に、「Trend Vision One」などTrend Vision Oneの名前を入力し、[Next] をクリックします。
      [Create SAML Integration] 画面の [Configure SAML] セクションが表示されます。
  3. Trend Vision One アプリケーションのSAML設定を行います。
    1. [Configure SAML] 画面で、 Trend Vision One ログオンURLを [Single sign on URL]に入力します。
      ログオンURLは、 Trend Vision OneからダウンロードしたSPメタデータファイルから取得できます。
      SPメタデータファイルをテキストエディタで開き、 [md:AssertionConsumerService] 要素の [場所] 属性の値をコピーします。コピーした値をログオンURLとして使用します。
      次の例では、ログオンURLはhttps://example.com/xdr-logon-url
      ... <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://example.com/xdr-logon-url" index="0"/> </md:SPSSODescriptor> </md:EntityDescriptor>
    2. [Use this for Recipient URL and Destination URL] を選択します。
    3. Audience URI (SP Entity ID)には対象URIを指定します。
      対象ユーザーURIは、 Trend Vision OneからダウンロードしたSPメタデータファイルから取得できます。
      SPメタデータファイルをテキストエディタで開き、 [md:EntityDescriptor] 要素の [entityID] 属性の値をコピーします。コピーした値を対象ユーザーURIとして使用します。
      次の例では、対象ユーザーのURIは次のとおりです。https://example.com/xdr-audience-uri
      <?xml version="1.0"?> <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" entityID="https://example.com/xdr-audience-uri"> <md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" AuthnRequestsSigned="true" WantAssertionsSigned="true"> ...
    4. [Name ID format]で、 [メールアドレス]を選択します。
    5. [Application username]で、 [Okta username]を選択します。
    6. IdPのみのSAMLグループアカウントをサポートするには、属性ステートメントとグループ属性ステートメントを設定します。

      属性ステートメント

      属性
      名前
      名前の形式
      ユーザ
      名前
      指定なし
      例: user.email
      ユーザの表示名
      表示名
      指定なし
      String.append (user.firstName + " " + user.lastName)
      注意
      注意
      上記のSAML属性の要求は推奨事項です。要求は必要に応じてカスタマイズできます。

      グループ属性ステートメント

      属性
      名前
      名前の形式
      フィルタ
      グループ
      グループ
      指定なし
      アクセスを許可するグループを正確に定義します。任意のグループの場合は、 [Matches regex] + .*
    7. [次へ] をクリックします。
      [Create SAML Integration] 画面の [アンケート] セクションが表示されます。
  4. [Are you a customer or partner][完了]を選択し、 [I'm an Okta customer adding an internal app]をクリックします。
    新しく作成したTrend Vision Oneアプリケーションの [Sign On] タブが表示されます。
  5. [設定] テーブルの [Sign on Methods]で、 [Identity Provider metadata]のファイルをダウンロードして保存します。
    注意
    注意
    このメタデータファイルをTrend Vision Oneにインポートします。
  6. アプリケーションをグループに割り当て、人をグループに追加します。
    1. [Directory][Groups] の順に選択します。
    2. アプリケーションを割り当てるグループをクリックし、[Manage Apps] をクリックします。
      [Assign Applications] 画面が表示されます。
    3. 追加したTrend Vision Oneを探し、[Assign] をクリックします。
    4. [Manage People] をクリックします。
      [Add People to Groups] 画面が表示されます。
    5. Trend Vision Oneへのアクセスを許可するユーザを指定し、Trend Vision Oneグループに追加します。
    6. アプリケーションがユーザとグループに割り当てられていることを確認します。
      アプリケーションをグループに割り当てると、グループ内のすべてのユーザにアプリケーションが自動的に割り当てられます。
    7. 上記手順を繰り返し、必要に応じて他のグループにアプリケーションを割り当てます。