Azure Active Directory (Azure AD) は、マイクロソフトが提供する、マルチテナントに対応したクラウドベースのディレクトリとIDの管理サービスです。
ここではAzure ADをSAML (2.0) IDプロバイダとして設定し、Cloud App Securityで使用する方法について説明します。
Azure ADの設定を開始する前に、次のことを確認してください。
サインインプロセスを処理してCloud App Security管理コンソールに認証資格情報を提供する、Azure AD Premiumエディションの有効なライセンスを購入している。
Cloud App Securityは、Azure AD FreeおよびBasicエディションのSSOのサポートを停止しました。これらのエディションは証明書ベースの通信をサポートしておらず、セキュリティリスクが発生する可能性があるためです。
Azure AD FreeまたはBasicエディションのSSOをすでに設定されている場合、引き続きSSOを使用してCloud App Securityにログオンできますが、既存のSSOを変更することはできません。
Cloud App Securityのグローバル管理者として管理コンソールにログオンしている。詳細については、管理者と役割を参照してください。
新しく追加されたアプリケーションの [概要] 画面が表示されます。
Cloud App Security は、 シングルサインオンにSAML 2.0を使用します。
識別子:シングルサインオンを設定するCloud App Securityの一意の識別子。これはSAMLトークンのAudienceパラメータとしてAzure ADからCloud App Securityに返される値であり、アプリケーションではこの値を検証する必要があります。
識別子は、ご使用のサイトのCloud App SecurityログオンURLです。たとえば、ログオン後にアドレスバーに表示されるCloud App Security管理コンソールのURLが「https://admin-eu.tmcas.trendmicro.com」であれば、識別子は「https://admin-eu.tmcas.trendmicro.com」です。
応答 URL: Cloud App SecurityがSAMLトークンを受け取ることになっている場所です。
応答URLは、「{Cloud App Security_admin_site}/ssoLogin」です。「{Cloud App Security_admin_site}」は、ご使用のサイトに基づいて指定してください。たとえば、ログオン後にアドレスバーに表示されるCloud App Security管理コンソールのURLが「https://admin-eu.tmcas.trendmicro.com」であれば、応答URLは「https://admin-eu.tmcas.trendmicro.com/ssoLogin」です。
必要に応じて、手順9または手順10を実行します。
有効期限: 証明書の有効期限が切れる日付。
署名オプション: Azure ADによってデジタル署名されるSAMLトークンの一部として [SAML アサーションへの署名] を選択します。
署名アルゴリズム:Azure ADによるSAMLトークンの署名に使用される署名アルゴリズムとして [SHA-256] を選択します。
通知の電子メール アドレス: Azure ADの管理者アカウント名が自動的に入力されます。アクティブな署名証明書の有効期限が近づくと、このメールアドレスに通知メッセージが送信されます。
[概要] 画面に進み、[プロパティ] 画面の [アプリケーション ID] を記録します。これはCloud App Security管理コンソールで [アプリケーションID] としても参照されます。
[シングル サインオン] をクリックし、[<アプリケーション名> のセットアップ] 領域の [ログイン URL] を記録します。これはCloud App Security管理コンソールで [サービスURL] としても参照されます。
選択したユーザとグループが [ユーザーとグループ] 画面に表示されます。
当該ユーザがCloud App Security管理コンソールに自動的にログオンされます。