Azure Active Directoryを設定する

Azure Active Directory (Azure AD) は、マイクロソフトが提供する、マルチテナントに対応したクラウドベースのディレクトリとIDの管理サービスです。

ここではAzure ADをSAML (2.0) IDプロバイダとして設定し、Cloud App Securityで使用する方法について説明します。

Azure ADの設定を開始する前に、次のことを確認してください。

  • サインインプロセスを処理してCloud App Security管理コンソールに認証資格情報を提供する、Azure AD Premiumエディションの有効なライセンスを購入している。

    重要:

    Cloud App Securityは、Azure AD FreeおよびBasicエディションのSSOのサポートを停止しました。これらのエディションは証明書ベースの通信をサポートしておらず、セキュリティリスクが発生する可能性があるためです。

    Azure AD FreeまたはBasicエディションのSSOをすでに設定されている場合、引き続きSSOを使用してCloud App Securityにログオンできますが、既存のSSOを変更することはできません。

  • Cloud App Securityのグローバル管理者として管理コンソールにログオンしている。詳細については、管理者と役割を参照してください。

  1. Azure ADの管理者アカウントを使用して、https://portal.azure.comからAzure管理ポータルにサインインします。
  2. Microsoft Azureのメインページで、[Azure Active Directory] をクリックします。初めて使用する場合は、[その他のサービス] をクリックして [Azure Active Directory] を見つけます。
  3. 左側のナビゲーションで、[エンタープライズ アプリケーション] > [新しいアプリケーション] の順に選択します。
  4. (オプション) [Azure AD ギャラリーの参照 (プレビュー)] 画面が表示されたら、[以前のアプリ ギャラリー エクスペリエンスに戻すには、こちらをクリックしてください。] をクリックします。
  5. [アプリケーションの追加] で、[ギャラリー以外のアプリケーション] をクリックします。
  6. 表示される [独自のアプリケーションの追加] 領域で、「Trend Micro Cloud App Security」などCloud App Securityの表示名を [名前] に指定し、[追加] をクリックします。

    新しく追加されたアプリケーションの [概要] 画面が表示されます。

  7. [はじめに] 領域で、[シングル サインオンのセットアップ] をクリックします。
  8. シングルサインオン方式として [SAML] を選択します。
    注:

    Cloud App Security は、 シングルサインオンにSAML 2.0を使用します。

  9. [SAML ベースのサインオン] 画面で、[編集] アイコンをクリックし、表示される [基本的な SAML 構成] 画面で、Cloud App Securityテナントの次の情報をAzure ADに指定して [保存] をクリックします。

    • 識別子:シングルサインオンを設定するCloud App Securityの一意の識別子。これはSAMLトークンのAudienceパラメータとしてAzure ADからCloud App Securityに返される値であり、アプリケーションではこの値を検証する必要があります。

      注:

      識別子は、ご使用のサイトのCloud App SecurityログオンURLです。たとえば、ログオン後にアドレスバーに表示されるCloud App Security管理コンソールのURLが「https://admin-eu.tmcas.trendmicro.com」であれば、識別子は「https://admin-eu.tmcas.trendmicro.com」です。

    • 応答 URL: Cloud App SecurityがSAMLトークンを受け取ることになっている場所です。

      注:

      応答URLは、「{Cloud App Security_admin_site}/ssoLogin」です。「{Cloud App Security_admin_site}」は、ご使用のサイトに基づいて指定してください。たとえば、ログオン後にアドレスバーに表示されるCloud App Security管理コンソールのURLが「https://admin-eu.tmcas.trendmicro.com」であれば、応答URLは「https://admin-eu.tmcas.trendmicro.com/ssoLogin」です。

    注:

    必要に応じて、手順9または手順10を実行します。

  10. [SAML署名証明書][証明書 (Base64)] をクリックし、Azure ADで発行されたSAMLトークンを受信したときにCloud App SecurityでAzure ADの署名検証に使用する証明書ファイルをダウンロードします。
  11. (オプション) 新しい証明書を次のとおりに作成します。
    1. [編集] アイコンをクリックし、表示される [SAML 署名証明書] 画面で、[新しい証明書] をクリックします。
    1. 次の情報を指定して、[保存] をクリックします。

      • 有効期限: 証明書の有効期限が切れる日付。

      • 署名オプション: Azure ADによってデジタル署名されるSAMLトークンの一部として [SAML アサーションへの署名] を選択します。

      • 署名アルゴリズム:Azure ADによるSAMLトークンの署名に使用される署名アルゴリズムとして [SHA-256] を選択します。

      • 通知の電子メール アドレス: Azure ADの管理者アカウント名が自動的に入力されます。アクティブな署名証明書の有効期限が近づくと、このメールアドレスに通知メッセージが送信されます。

    2. 証明書の最後にある省略記号 (...) をクリックし、[証明書をアクティブにする] を選択します。
  12. 次の情報を記録します。

    • [概要] 画面に進み、[プロパティ] 画面の [アプリケーション ID] を記録します。これはCloud App Security管理コンソールで [アプリケーションID] としても参照されます。

    • [シングル サインオン] をクリックし、[<アプリケーション名> のセットアップ] 領域の [ログイン URL] を記録します。これはCloud App Security管理コンソールで [サービスURL] としても参照されます。

  13. 左側のナビゲーションで、[ユーザーとグループ][Add user/group] の順にクリックします。
  14. [割り当ての追加] で、Active Directoryのプランのレベルに基づいて [ユーザー] または [ユーザーとグループ] をクリックします。
  15. [ユーザー] または [ユーザーとグループ] 領域で、Cloud App Security管理コンソールへのシングルサインオンを許可するユーザまたはグループを選択し、[選択][割り当て] の順にクリックします。

    選択したユーザとグループが [ユーザーとグループ] 画面に表示されます。

  16. (オプション) 「シングルサインオンを設定する」を終了したら、アプリケーションによるシングルサインオンをテストします。
    1. 左側のナビゲーションで、[シングル サインオン] をクリックし、画面下部にある [テスト] をクリックします。
    2. 表示される [<アプリケーション名> によるシングル サインオンのテスト] 画面で、必要に応じて [現在のユーザーとしてサインイン] または [他のユーザーとしてサインイン] をクリックします。

    当該ユーザがCloud App Security管理コンソールに自動的にログオンされます。

親トピック: シングルサインオン