Oktaを設定する

Oktaは、組織にクラウドIDソリューションを提供する、標準に準拠したOAuth 2.0認証サーバです。Oktaは、 Trend Micro Vision Oneへのユーザアクセスを管理できるシングルサインオンプロバイダです。

ここではOktaをSAML (2.0) IDプロバイダとして設定し、Trend Micro Vision Oneで使用する方法について説明します。

Oktaの設定を開始する前に、次のことを確認してください。

  • サインインプロセスを処理してTrend Micro Vision One管理コンソールに認証資格情報を提供する、Oktaの有効なライセンスを購入している。

  • Trend Micro Vision Oneの管理者として管理コンソールにログオンしている。

  1. 管理者権限のあるユーザとしてOktaにログインします。
  2. 画面右上にあるAdminをクリックし、 Applications > Applications の順に選択します。
  3. Add Applicationをクリックし、Create New Appをクリックします。

    新しいアプリケーション統合を作成する画面が表示されます。

  4. PlatformWebを、Sign on methodSAML 2.0を選択し、Createをクリックします。

    SAML統合の作成画面の一般設定セクションが表示されます。

  5. 一般設定画面の アプリ名 に、「Trend Micro Vision One」などTrend Micro Vision Oneの名前を入力し、次へ をクリックします。

    SAML統合の作成画面のSAMLを設定するセクションが表示されます。

  6. SAMLを設定する画面で、次を指定します。
    1. Trend Micro Vision One のログオンURLをSingle sign on URLに入力します。

      ログオンURLは、 Trend Micro Vision OneからダウンロードしたSPメタデータファイルから取得できます。

      SPメタデータファイルをテキストエディタで開き、 md:AssertionConsumerService 要素の 場所 属性の値をコピーします。コピーした値をログオンURLとして使用します。

      次の例では、ログオンURLは https://example.com/xdr-logon-urlです。

      ...
    <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://example.com/xdr-logon-url" index="0"/>
  </md:SPSSODescriptor>
</md:EntityDescriptor>
    2. Use this for Recipient URL and Destination URLを選択します。
    3. オーディエンスURI(SPエンティティID)でオーディエンスURIを指定します。

      オーディエンスURIは、 Trend Micro Vision OneからダウンロードしたSPメタデータファイルから取得できます。

      SPメタデータファイルをテキストエディタで開き、 md:EntityDescriptor 要素の エンティティID 属性の値をコピーします。コピーした値をオーディエンスURIとして使用します。

      次の例では、オーディエンスURIは https://example.com/xdr-audience-uriです。

      <?xml version="1.0"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" entityID="https://example.com/xdr-audience-uri">
  <md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" AuthnRequestsSigned="true" WantAssertionsSigned="true">
...
    4. 名前IDの形式で、EmailAddressを選択します。
    5. アプリケーションのユーザ名で、Oktaユーザ名を選択します。
    6. Nextをクリックします。

      SAML統合の作成画面のフィードバックセクションが表示されます。

  7. お客様またはパートナーですかで、内部アプリを追加するOktaのユーザですを選択し、完了をクリックします。

    新しく作成したTrend Micro Vision Oneアプリケーションのサインオンタブが表示されます。

  8. 設定 テーブルのサインオン方法で、 IDプロバイダのメタデータのファイルをダウンロードして保存します。
    注:

    このメタデータファイルをTrend Micro Vision Oneにインポートします。

  9. アプリケーションをグループに割り当て、人をグループに追加します。
    1. Directory > Groups の順に選択します。
    2. アプリケーションを割り当てるグループをクリックし、Manage Appsをクリックします。

      アプリケーションの割り当て画面が表示されます。

    3. 追加したTrend Micro Vision Oneを探し、Assignをクリックします。
    4. Manage Peopleをクリックします。

      グループにユーザを追加する画面が表示されます。

    5. Trend Micro Vision Oneへのアクセスを許可するユーザを指定し、Trend Micro Vision Oneグループに追加します。
    6. アプリケーションがユーザとグループに割り当てられていることを確認します。

      アプリケーションをグループに割り当てると、グループ内のすべてのユーザにアプリケーションが自動的に割り当てられます。

    7. 上記手順を繰り返し、必要に応じて他のグループにアプリケーションを割り当てます。
親トピック: SAML Single Sign-Onの設定