シングルサインオンの設定

管理コンソールでSSO設定を指定する前に、シングルサインオンに使用するIDプロバイダを、AD FS 4.0、Azure AD、またはOktaのいずれかから選択します。

注:

管理コンソールを設定する前に、IDプロバイダから必要な設定を取得します。

[管理] > [エンドユーザ管理] > [ログオン設定] の順に選択します。
[シングルサインオン] セクションのトグルボタンをクリックして、SSOを有効にします。
[追加] をクリックしてSSOプロファイルを作成します。
SSOの一般情報を設定します。
1. SSOプロファイル名を指定します。
2. 使用サイト内で一意の識別子を指定します。
  エンドユーザコンソールのURLが生成されます。
  
  別の識別子と競合しているために一意の識別子を変更する必要がある場合は、IDプロバイダ設定でもその識別子を変更してください。
現在のプロファイルを適用するドメインを選択します。
- すべてのドメイン: このプロファイルをすべてのドメインに適用します。
  
  注:
  すべてのドメインに適用するプロファイルは1つだけ作成できます。
- 指定されたドメイン: このプロファイルを指定されたドメインに適用します。
  
  [使用可能] ペインからドメインを選択し、[追加>] をクリックしてドメインを [選択済み] ペインに追加します。
SSOのIDプロバイダ設定を行います。
1. [IDプロバイダ] リストからIDプロバイダを選択します。
2. IDプロバイダのログオンおよびログオフURLを指定します。
  注:
  AD FS、Azure AD、またはOktaの設定から収集したログオンURLを使用します。
  
  ログオフURLからログオフし、現在のIDプロバイダのログオンセッションを終了します。
3. (Oktaのみ) [ログオフ証明書のダウンロード] をクリックして、フェデレーションサーバにアップロードする証明書ファイルを入手します。
4. (オプション) 署名の検証を有効にします。
  注:
  SSOの際に署名がIDプロバイダサーバから返されました。攻撃者による偽装ログインを回避するために、この署名を、IDプロバイダから取得した証明書ファイルと照合してチェックする必要があります。
  1. [署名の検証] トグルボタンをクリックします。
  2. AD FS、Azure AD、またはOktaの設定からダウンロードした証明書ファイルを見つけ、署名の検証のためにアップロードします。
5. AD FS、Azure AD、またはOktaに対して設定した要求に基づいて、ID要求の種類を指定します。たとえば、要求名にemailを使用する場合、「email」と入力します。
6. (オプション) グループ別のSSO管理を有効にします。
  注:
  この機能を有効にすると、指定されたグループ内で有効なメールアドレスを持つエンドユーザだけがSSOでエンドユーザコンソールにログオンできます。
  1. [グループ許可リスト] トグルボタンをクリックします。
  2. AD FS、Azure AD、またはOktaに対して設定したグループ要求に基づいて、グループ要求の種類を指定します。たとえば、グループ属性名にeuc_groupを使用する場合、「euc_group」と入力します。
  3. AD FS、Azure AD、またはOktaに対して設定したグループ要求に基づいて、グループ要求の値を指定します。IDプロバイダがAD FSまたはOktaの場合は、グループ名を入力します。IDプロバイダがAzure ADの場合は、グループIDを入力します。
[保存] をクリックしてプロファイルを保存します。
[保存] をクリックしてSSO設定を保存します。
設定を完了したら、エンドユーザは手順4で生成されたエンドユーザコンソールのURLを使用してログオンし、IDプロバイダからエンドユーザコンソールへのSSOを開始できます。手順6で指定したID要求の種類とグループ要求の種類を使用して、IDプロバイダからマッピング要求の値が取得されます。この場合、Trend Micro Email Securityはログオンアカウントのメールアドレスとユーザグループを取得し、エンドユーザの同一性を確認します。同一性が確認されると、エンドユーザはエンドユーザコンソールにログオンできます。