Azure Active Directoryの設定

Azure Active Directory (Azure AD) はマイクロソフトのマルチテナントに対応したクラウドベースのディレクトリおよびID管理サービスです。

サインインプロセスを処理し、最終的にエンドユーザの認証情報をエンドユーザコンソールに提供するAzure ADの有効なサブスクリプションを持っていることを確認してください。

  1. Azure AD管理ポータルで、SSOを実装するアクティブなディレクトリを選択します。
  2. 左側のナビゲーション領域で [エンタープライズ アプリケーション] をクリックし、[新しいアプリケーション] をクリックします。
  3. [Azure AD ギャラリーの参照 (プレビュー)] 画面で、[独自のアプリケーションの作成] をクリックします。
  4. 右側に表示される [独自のアプリケーションの作成] パネルでアプリケーションの名前 (例: Trend Micro Email Securityエンドユーザコンソール) を指定して、[作成] をクリックします。
  5. アプリケーションの概要の [Getting Started] の下にある [1.ユーザーとグループの割り当て] をクリックし、[ユーザーまたは グループの追加] をクリックして、このアプリケーションに割り当てる特定のユーザまたはグループを選択し、[割り当て] をクリックします。
  6. アプリケーションのナビゲーション領域の [シングル サインオン] をクリックします。
  7. [SAML] をクリックし、アプリケーションからAzure ADへのSAMLプロトコルを使用した接続を設定します。
    1. [基本的なSAML構成] の下で、[編集] をクリックし、識別子と応答URLを指定して、[保存] をクリックします。
      注:

      地域の識別子を次のように指定します。

      https://euc.<domain_name>/uiserver/euc/ssoLogin

      地域の応答URLを次のように指定します。

      https://euc.<domain_name>/uiserver/euc/ssoAssert?cmpID=<unique_identifier>

      前述および後述のURL内で次の置換を行います。

      • <unique_identifier> を一意の識別子に置き換えます。一意の識別子を記録します。この識別子は、Trend Micro Email Security管理コンソールでのSSOプロファイルの作成時に使用されます。

      • <domain_name> を地域に応じて次のいずれかに変更します。

        • 北米、中南米、アジア太平洋地域:

          tmes.trendmicro.com

        • ヨーロッパ、中東、アフリカ地域:

          tmes.trendmicro.eu

        • オーストラリア、ニュージーランド地域:

          tmes-anz.trendmicro.com

        • 日本:

          tmems-jp.trendmicro.com

        • シンガポール:

          tmes-sg.trendmicro.com

        • インド:

          tmes-in.trendmicro.com

      Trend Micro Email Securityエンドユーザコンソールでのシングルサインオンをテストするかどうかを選択するよう求めるメッセージが表示されたら、[いいえ、後でtestします] をクリックします。すべてのSSO設定が完了してからテストを実行することをお勧めします。

    2. [ユーザー属性とクレーム] の下で、[編集] をクリックし、ID要求を指定します。

      ユーザー属性とクレームは、ログオンアカウントのメールアドレスを取得してそのIDを認証するために使用されます。初期設定では、メールアドレスを取得するためにソース属性である [user.mail] が事前に設定されています。組織内のメールアドレスが別のソース属性によって定義されている場合は、次の手順に従って新しい要求名を追加してください。

      [新しいクレームの追加] をクリックします。[要求の管理] 画面で、要求名を指定し、[名前空間] は空白のままにして、[ソース] として [属性] を選択します。[ソース属性] リストから値を選択し、[保存] をクリックします。

      重要:

      Trend Micro Email SecurityでSSOプロファイルのID要求の種類を設定する場合は、ここで指定した要求名を使用してください。

      (オプション) [グループ要求を追加する] をクリックします。[グループ クレーム] 画面で、エンドユーザに関連付けられているグループを指定し、[ソース属性] として [グループID] を選択します。[グループ要求の名前をカスタマイズする] を選択し、グループ要求名 (例: euc_group) を指定して、[保存] をクリックします。

      重要:

      Trend Micro Email SecurityでSSOプロファイルのグループ要求の種類を設定する場合は、ここで指定したグループ要求名を使用してください。

    3. [SAML署名証明書] の下で、[編集] をクリックし、[通知の電子メール アドレス] にメールアドレスを指定して、[保存] をクリックします。[証明書 (Base64)] の横にある [ダウンロード] をクリックし、Trend Micro Email SecurityでのAzure AD署名の検証のための証明書ファイルをダウンロードします。
    4. [Trend Micro Email Securityエンドユーザコンソール] の下に、ログインおよびログアウトURLを記録します。
親トピック: シングルサインオンの設定