本記事では、OneLogin から Trend Micro Cloud One へのSAML シングルサインオン(SSO)の設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスプラン が SSO, Advanced, Professional または旧ライセンスプラン Starter, Enterprise, Unlimited のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- Trend Micro Cloud Oneにおいて システム管理者権限 をお持ちであること
SAML連携の設定
1. OneLogin側の操作
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
Trend Micro Cloud One と検索し、SAML2.0 のコネクタを選択します
- [Save]をクリックします
- More Actions > SAML Metadata を選択します
-
SSO タブに移動し、SAML Signature Algorithm を SHA-256 に変更します
- [Save]をクリックします
2. Trend Micro Cloud One側の設定
- システム管理者としてTrend Micro Cloud Oneにログインし、[管理]をクリックします
-
IDプロバイダタブ > 新規 をクリックします
- 任意の エイリアス を入力します
例)OneLogin
- [アップロード]をクリックし、1. OneLogin側の操作 で保存した
onelogin_metadata_xxxxxxx.xmlを選択します
-
メタデータXMLファイル: 指定済み と表示されることを確認します
-
マッピング > 役割 を Role にします
-
マッピング > グループ , 次のように指定 をそれぞれ任意の名前 とし、グループに与えたいアクセス権に設定します
例)グループ: FullAccess, 次のように指定: Full Access
- [保存]をクリックします
- [閉じる]をクリックします
3. OneLogin側の設定
-
Usersタブ >[Roles]をクリックします
- [New Role]をクリックします
- 任意のロール名を入力し、[Save]をクリックします
- 作成した、CloudOne_FullAccess のRoleをクリックします
-
Users タブに移動し、[New Mapping]をクリックします
- 任意の名前をMappingに与えます。今回は例として営業部のRoleを持つユーザーに Cloud OneのFull Access の権限を与えるようにします
名前を入力後、✔ をクリックします
例)営業部 -> CloudOne_FullAccess
- Conditions を以下のようにします
Roles include 営業部
- Actions を 以下のようにします
Set role CloudOne_FullAccess
- [Save]をクリックします
- [Reapply All Mappings]をクリックします
- Applications > Applications を選択します
- 先ほど作成したTrend Micro Cloud One のコネクタを選択します
-
Rulesタブ > [Add Rule] をクリックします
- アクセス権を与えるグループの名前を設定します
例)FullAccess Users
- Actions を以下のようにします
Set Role in Trend Micro Cloud One
For each role with value that matches CloudOne_([^,]+)
*CloudOne_([^,]+) と入力することにより、CloudOne_FullAccessの FullAccess という部分を取り出しています。
- [Save]をクリックします
SAML連携の設定は以上です。
SAML SSOの動作確認
- OneLoginにSSO対象ユーザーでログインし、設定した Trend Micro Cloud One を選択します
- SAML認証が完了し、Trend Micro Cloud OneにSSOされることを確認します
SAML SSOの動作確認は以上です。
SAML SSOの無効化
SAML連携は下記の手順で削除することができます
注) 削除の設定となるため、再度SAML連携をする場合は上記の手順をもう一度ご参照ください
- システム管理者としてTrend Micro Cloud Oneにログインし、[管理]をクリックします
-
IDプロバイダタブ から 削除したいエイリアス をクリックします
例 ) OneLogin
- [削除]をクリックします
SAML SSOの無効化は以上です。
トラブルシュート
”{"message":"No roles mapped for saml response"}”と表示された
OneLogin上の role の名称と Trend Micro Cloud One のグループ名 が一致していない可能性があります。両者を一致させてください