Oktaを設定する

Oktaは、組織にクラウドIDソリューションを提供する、標準に準拠したOAuth 2.0認証サーバです。Oktaは、 Trend Micro Vision Oneへのユーザアクセスを管理できるシングルサインオンプロバイダです。

ここではOktaをSAML (2.0) IDプロバイダとして設定し、Trend Micro Vision Oneで使用する方法について説明します。

Oktaの設定を開始する前に、次のことを確認してください。

  • サインインプロセスを処理してTrend Micro Vision One管理コンソールに認証資格情報を提供する、Oktaの有効なライセンスを購入している。

  • Trend Micro Vision Oneの管理者として管理コンソールにログオンしている。

  1. 管理者権限のあるユーザとしてOktaにログインします。
  2. 画面右上にある [Admin] をクリックし、 アプリケーション > アプリケーション の順に選択します。
  3. [Add Application] をクリックし、[Create New App] をクリックします。

    [Create a New Application Integration] 画面が表示されます。

  4. [Platform][Web] を、[Sign on method][SAML 2.0] を選択し、作成する をクリックします。

    [ Create SAML Integration ]画面の[ 一般 Settings ]セクションが表示されます。

  5. [General Settings] 画面の [App name] に、「Trend Micro Vision One」などTrend Micro Vision Oneの名前を入力し、[Next] をクリックします。

    [ Create SAML Integration ]画面の[ SAML の設定]セクションが表示されます。

  6. [Configure SAML] 画面で、次を指定します。
    1. Trend Micro Vision One のログオンURLを[ Single sign on URL]に入力します。

      ログオンURLは、 Trend Micro Vision OneからダウンロードしたSPメタデータファイルから取得できます。

      SPメタデータファイルをテキストエディタで開き、 md:AssertionConsumerService 要素の 場所 属性の値をコピーします。コピーした値をログオンURLとして使用します。

      次の例では、ログオンURLは https://example.com/xdr-logon-urlです。

      ...
          <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://example.com/xdr-logon-url" index="0"/>
        </md:SPSSODescriptor>
      </md:EntityDescriptor>
    2. [Use this for Recipient URL and Destination URL] を選択します。
    3. [Audience URI(SP Entity ID)]でオーディエンスURIを指定します。

      オーディエンスURIは、 Trend Micro Vision OneからダウンロードしたSPメタデータファイルから取得できます。

      SPメタデータファイルをテキストエディタで開き、 md:EntityDescriptor 要素の エンティティID 属性の値をコピーします。コピーした値をオーディエンスURIとして使用します。

      次の例では、オーディエンスURIは https://example.com/xdr-audience-uriです。

      <?xml version="1.0"?>
      <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" entityID="https://example.com/xdr-audience-uri">
        <md:SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" AuthnRequestsSigned="true" WantAssertionsSigned="true">
      ...
    4. [ Name ID format]で、[ EmailAddress]を選択します。
    5. [ Application username]で、[ Okta username]を選択します。
    6. [Next] をクリックします。

      [ Create SAML Integration ]画面の[ Feedback ]セクションが表示されます。

  7. [ Are you a Customer or Partner]で、[ I'm an Okta customer add an internal app]を選択し、[Finish]をクリックします。

    新しく作成したTrend Micro Vision Oneアプリケーションの [Sign On] タブが表示されます。

  8. [ Settings] テーブルの[ Sign on Method]で、 アイデンティティプロバイダのメタデータのファイルをダウンロードして保存します。
    注:

    このメタデータファイルをTrend Micro Vision Oneにインポートします。

  9. アプリケーションをグループに割り当て、人をグループに追加します。
    1. [Directory] > [Groups] の順に選択します。
    2. アプリケーションを割り当てるグループをクリックし、[Manage Apps] をクリックします。

      [Assign Applications] 画面が表示されます。

    3. 追加したTrend Micro Vision Oneを探し、[Assign] をクリックします。
    4. [Manage People] をクリックします。

      [Add People to Groups] 画面が表示されます。

    5. Trend Micro Vision Oneへのアクセスを許可するユーザを指定し、Trend Micro Vision Oneグループに追加します。
    6. アプリケーションがユーザとグループに割り当てられていることを確認します。

      アプリケーションをグループに割り当てると、グループ内のすべてのユーザにアプリケーションが自動的に割り当てられます。

    7. 上記手順を繰り返し、必要に応じて他のグループにアプリケーションを割り当てます。