ビュー:

Azure Active Directory (Azure AD) は、マイクロソフトが提供する、マルチテナントに対応したクラウドベースのディレクトリとIDの管理サービスです。

ここではAzure ADをSAML (2.0) IDプロバイダとして設定し、 Cloud App Security で使用する方法について説明します。

Azure ADの設定を開始する前に、次のことを確認してください。

  • サインインプロセスを処理して Cloud App Security 管理コンソールに認証資格情報を提供する、Azure AD Premiumエディションの有効なライセンスを購入している。

    重要:

    Cloud App Security は、Azure AD FreeおよびBasicエディションのSSOのサポートを停止しました。これらのエディションは証明書ベースの通信をサポートしておらず、セキュリティリスクが発生する可能性があるためです。

    Azure AD FreeまたはBasicエディションのSSOをすでに設定されている場合、引き続きSSOを使用して Cloud App Security にログオンできますが、既存のSSOを変更することはできません。

  • Cloud App Security のグローバル管理者として管理コンソールにログオンしている。詳細については、 管理者と役割 を参照してください。

  1. Azure ADの管理者アカウントを使用して、 https://portal.azure.com からAzure管理ポータルにサインインします。
  2. Microsoft Azure のメインページで、 [Azure Active Directory] をクリックします。初めて使用する場合は、 [その他のサービス] をクリックして [Azure Active Directory] を見つけます。
  3. 左側のナビゲーションで、 [エンタープライズ アプリケーション] > [新しいアプリケーション] の順に選択します。
  4. (オプション) [Azure AD ギャラリーの参照 (プレビュー)] 画面が表示されたら、 [以前のアプリ ギャラリー エクスペリエンスに戻すには、こちらをクリックしてください。] をクリックします。
  5. [アプリケーションの追加] で、 [ギャラリー以外のアプリケーション] をクリックします。
  6. 表示される [独自のアプリケーションの追加] 領域で、「 Trend Micro Cloud App Security 」など Cloud App Security の表示名を [名前] に指定し、 [追加] をクリックします。

    新しく追加されたアプリケーションの [概要] 画面が表示されます。

  7. [はじめに] 領域で、 [シングル サインオンのセットアップ] をクリックします。
  8. シングルサインオン方式として [SAML] を選択します。
    注:

    Cloud App Security は、 シングルサインオンにSAML 2.0を使用します。

  9. [SAML ベースのサインオン] 画面で、 [編集] アイコンをクリックし、表示される [基本的な SAML 構成] 画面で、 Cloud App Security テナントの次の情報をAzure ADに指定して [保存] をクリックします。

    • 識別子 :シングルサインオンを設定する Cloud App Security の一意の識別子。これはSAMLトークンの Audience パラメータとしてAzure ADから Cloud App Security に返される値であり、アプリケーションではこの値を検証する必要があります。

      注:

      識別子は、ご使用のサイトの Cloud App Security ログオンURLです。たとえば、ログオン後にアドレスバーに表示される Cloud App Security 管理コンソールのURLが「https://admin-eu.tmcas.trendmicro.com」であれば、識別子は「 https://admin-eu.tmcas.trendmicro.com 」です。

    • 応答 URL : Cloud App Security がSAMLトークンを受け取ることになっている場所です。

      注:

      応答URLは、「 {Cloud App Security_admin_site} /ssoLogin 」です。「{Cloud App Security_admin_site}」は、ご使用のサイトに基づいて指定してください。たとえば、ログオン後にアドレスバーに表示される Cloud App Security 管理コンソールのURLが「https://admin-eu.tmcas.trendmicro.com」であれば、応答URLは「 https://admin-eu.tmcas.trendmicro.com/ssoLogin 」です。

    注:

    必要に応じて、手順9または手順10を実行します。

  10. [SAML署名証明書] [証明書 (Base64)] をクリックし、Azure ADで発行されたSAMLトークンを受信したときに Cloud App Security でAzure ADの署名検証に使用する証明書ファイルをダウンロードします。
  11. (オプション) 新しい証明書を次のとおりに作成します。
    1. [編集] アイコンをクリックし、表示される [SAML 署名証明書] 画面で、 [新しい証明書] をクリックします。
    1. 次の情報を指定して、 [保存] をクリックします。

      • 有効期限 : 証明書の有効期限が切れる日付。

      • 署名オプション : Azure ADによってデジタル署名されるSAMLトークンの一部として [SAML アサーションへの署名] を選択します。

      • 署名アルゴリズム :Azure ADによるSAMLトークンの署名に使用される署名アルゴリズムとして [SHA-256] を選択します。

      • 通知の電子メール アドレス : Azure ADの管理者アカウント名が自動的に入力されます。アクティブな署名証明書の有効期限が近づくと、このメールアドレスに通知メッセージが送信されます。

    2. 証明書の最後にある省略記号 (...) をクリックし、 [証明書をアクティブにする] を選択します。
  12. 次の情報を記録します。

    • [概要] 画面に進み、 [プロパティ] 画面の [アプリケーション ID] を記録します。これは Cloud App Security 管理コンソールで [アプリケーションID] としても参照されます。

    • [シングル サインオン] をクリックし、 [<アプリケーション名> のセットアップ] 領域の [ログイン URL] を記録します。これは Cloud App Security 管理コンソールで [サービスURL] としても参照されます。

  13. 左側のナビゲーションで、 [ユーザーとグループ] [Add user/group] の順にクリックします。
  14. [割り当ての追加] で、Active Directoryのプランのレベルに基づいて [ユーザー] または [ユーザーとグループ] をクリックします。
  15. [ユーザー] または [ユーザーとグループ] 領域で、 Cloud App Security 管理コンソールへのシングルサインオンを許可するユーザまたはグループを選択し、 [選択] [割り当て] の順にクリックします。

    選択したユーザとグループが [ユーザーとグループ] 画面に表示されます。

  16. (オプション) 「シングルサインオンを設定する」 を終了したら、アプリケーションによるシングルサインオンをテストします。
    1. 左側のナビゲーションで、 [シングル サインオン] をクリックし、画面下部にある [テスト] をクリックします。
    2. 表示される [<アプリケーション名> によるシングル サインオンのテスト] 画面で、必要に応じて [現在のユーザーとしてサインイン] または [他のユーザーとしてサインイン] をクリックします。

    当該ユーザが Cloud App Security 管理コンソールに自動的にログオンされます。

親トピック: シングルサインオン
Keywords: Azure Active Directoryを設定する