Azure ADでTMWSaaSを設定する

このセクションでは、TMWSaaSで使用できるよう、Azure ADでSSOとユーザ同期を設定する方法について説明します。

  1. Azure ADでSSOを設定します。
    1. TMWSaaS[概要] 画面で、[管理] にある [シングル サインオン] をクリックします。
    2. 表示される [シングル サインオン方式の選択] 画面で、[SAML] をクリックします。

      [SAML によるシングル サインオンのセットアップ] 画面が表示されます。

    3. [基本的な SAML 構成] で、[編集] をクリックします。

      [基本的な SAML 構成] 画面が表示されます。

    4. 次の項目を指定します。

      • [識別子 (エンティティ ID)]: シングルサインオンが設定されているTMWSaaSを一意に識別します。

      • [応答 URL (Assertion Consumer Service URL)]: TMWSaaSが認証トークンを受け取る場所。

      TMWSaaS管理コンソールから情報をコピーして貼り付けます。この情報は、[管理] > [ディレクトリサービス] > [ここ] でアクセスできる、Azure ADの [認証方式] 画面の [Azure管理ポータルのサービスプロバイダ設定] 領域にあります。

    5. [保存] をクリックします。

      設定が正常に保存されたことを確認するメッセージが表示されます。

    6. [基本的な SAML 構成] 画面を閉じます。
    7. [ユーザー属性と要求] で、Microsoftによって事前に設定されている属性と要求を確認し、そのまま使用します。
      注:

      事前定義される名前は、TMWSaaS管理コンソールの [ログオン名属性] フィールドで設定されます。この名前は、[管理] > [ディレクトリサービス] > [ここ] でアクセスできる、Azure ADの [認証方式] 画面の [IDプロバイダ設定] 領域にあります。その名前を使用するか、必要に応じて名前を指定します。Azure ADとTMWSaaSの両方で同じ値を使用してください。

    8. [SAML 署名証明書] で、次のいずれかの手順でBase64証明書をダウンロードします。

      • 証明書 (Base64) ファイルの [ダウンロード] リンクをクリックします。

      • [編集] をクリックして新しい証明書を作成します。

        1. 表示される [SAML 署名証明書] 画面で、[新しい証明書] をクリックします。

        2. 必要に応じて有効期限を変更します。以下の初期設定のまま使用することをお勧めします。[署名オプション] - [SAML アサーションへの署名] および [署名アルゴリズム] - [SHA-256]

        3. [保存] をクリックします。

          設定が正常に保存されたことを確認するメッセージが表示されます。

        4. この証明書の最後にある3つの点をクリックし、[証明書をアクティブにする] を選択して [はい] をクリックします。

          新しく作成した証明書がアクティブになります。

        5. [SAML 署名証明書] 画面を閉じ、[SAML 署名証明書]証明書 (Base64) ファイルの [ダウンロード] リンクをクリックします。

      これにより、ブラウザで指定された場所にファイルがダウンロードされます。この証明書ファイルは後で、TMWSaaSにアップロードします。

    9. [Trend Micro Web Security as a Serviceのセットアップ] にある [ログイン URL] のURLをメモしておきます。この情報は後で、TMWSaaSに入力します。
  2. ユーザとグループをTMWSaaSに割り当てます。
    1. TMWSaaS[概要] 画面で、[管理] にある [ユーザーとグループ] をクリックします。
    2. 表示される [ユーザーとグループ] 画面で、[ユーザーの追加] をクリックします。

      [割り当ての追加] 画面が表示されます。

    3. [ユーザーとグループ] をクリックします。
    4. 右側のペインに表示されるユーザとグループのリストで、TMWSaaSに割り当てるユーザとグループを選択し、[選択][割り当て] の順にクリックします。

      設定が正常に保存されたことを確認するメッセージが表示されます。

  3. Azure ADでユーザとグループの同期を設定します。
    1. 左側のナビゲーションで、[Azure Active Directory] をクリックします。
    2. [管理] にある [アプリの登録] をクリックし、[所有しているアプリケーション] 領域で [Trend Micro Web Security as a Service (TMWSaaS)] をクリックします。
    3. [管理] にある [証明書とシークレット] をクリックします。
    4. 表示される [クライアント シークレット] 領域で、[新しいクライアント シークレット] をクリックします。
    5. 表示される [クライアント シークレットの追加] 画面で、任意の説明を追加し、このクライアントシークレットの有効期限を選択して、[追加] をクリックします。

      新しく追加されたクライアントシークレットが [クライアント シークレット] 領域に表示されます。

    6. この値をメモしておきます。この情報は後で、TMWSaaSに入力します。
    7. [管理] にある [API のアクセス許可] をクリックします。
    8. 表示される [API のアクセス許可] 画面で、[アクセス許可の追加] をクリックします。
    9. 表示される [API アクセス許可の要求] 画面の [Microsoft API] タブで、[Microsoft Graph][アプリケーションのアクセス許可] の順にクリックします。
    10. 以下のアクセス許可を探して追加します。

      • Group.Read.All

      • User.Read.All

    11. [アクセス許可の追加] をクリックします。

      設定が正常に保存されたことを確認するメッセージが表示されます。新しく追加したアクセス許可が、[API のアクセス許可] 画面に表示されます。

    12. [同意する] 領域で、[<ご使用の管理者アカウント> (初期設定のディレクトリ) に管理者の同意を与えます][はい] の順にクリックします。

      要求されたアクセス許可に対して管理者の同意が正常に与えられたことを確認するメッセージが表示されます。

    13. [概要] をクリックします。
    14. 右側のペインに表示される [アプリケーション (クライアント) ID] と [ディレクトリ (テナント) ID] をメモします。この情報は後で、TMWSaaSに入力します。

      [Azure Active Directory] > [管理] にある [カスタム ドメイン名] をクリックし、右側のペインでドメイン名をメモすることもできます。

親トピック: Azure Active Directory認証