コンテンツにスキップ

エンタープライズ シングルサインオン (SSO)🔗

シングルサインオン (SSO) を利用すると、Secureworks® Taegis™ XDR へのアクセスをローカルの企業認証システムと連携できます。これは XDR では 接続 と呼ばれます。

SSO を有効にすると、XDR のユーザーは企業認証の資格情報を使って XDR にアクセスできるため、企業ネットワークにログインしていれば、XDR にログインする際に別のパスワードやMFAは不要になります。

重要

ユーザーは、XDR 内で ユーザーアカウント を作成し、企業認証システムで使用しているものと同じメールアドレスを持つ適切なロールを割り当てる必要があります。メールアドレスが、ユーザーごとに認証システム間の同期を可能にします。

SSO を有効にすることで、以下のメリットがあります。

  • XDR はお客様のパスワードおよびMFAの基準に準拠します
  • 別のMFAシステムや追加のパスワードを覚える必要がありません
  • ユーザー管理が XDR と連携した企業認証システムに一元化されます
  • セッションがタイムアウトし再度ログインが必要な場合でも、パスワードやMFAの入力は不要です

前提条件🔗

Security Assertion Markup Language 2.0 (SAML2.0) は、セキュリティドメイン間で認証および認可IDを交換するためのSAML標準のバージョンです。

お客様の認証システムは、XDR との連携を設定するために SAML2.0 認証プロトコルに対応している必要があります。

エンタープライズ SSO の概要🔗

重要

パートナー (MSSP) 組織を通じて XDR が提供されている場合は、続行する前にパートナーにSSO連携がサポートされているかご確認ください。

テナント管理者 は、Taegis Menu の テナント設定 → エンタープライズ SSO からエンタープライズ SSO ページにアクセスし、SSO接続を管理できます。

注意

エンタープライズ SSO の設定は、テナント管理者ロールを持つユーザーのみが行えます。

Enterprise SSO - Connections Tab

接続タブ🔗

接続タブには、現在のSSO接続がサマリーカードとして表示され、ドメイン数、署名証明書の有効期限、接続名の下に以下のいずれかのステータスが表示されます。

  • 有効 — SSO構成で指定されたドメインと一致するメールログイン資格情報を持つすべてのユーザーが、SSOを使用してXDRにアクセスします。

  • 無効 — 構成済みドメインと一致するメールアドレスを持つユーザーに対して、SSO接続は有効ではありません。無効な接続のみ削除できます。

  • 下書き — 構成が未完了の場合、接続は 下書き ステータスに移動します。これは、更新が適用されてシステムが再起動した場合や、ブラウザに問題がある場合などに発生することがあります。

サマリーカードを選択すると、接続の詳細を確認したり、ステータスの変更詳細の編集接続の削除ができます。

また、エンタープライズ SSO ページのカード右下のメニューアイコンからも、ステータスの変更や接続の削除が可能です。

ドメインタブ🔗

ドメインタブを使用して、Single Sign-On (SSO) 用に構成する前にメールドメインを登録・検証し、セキュリティを強化し、認識されていないドメインでの誤ったまたは不正なSSO設定を防止します。

このタブには、すべての登録済みメールドメインと現在の検証ステータスがテーブルで表示され、可視性と管理性が向上します。また、テナント管理者 は新しいメールドメインを登録・検証し、新しいSSO接続で使用できるようにできます。

重要

メールドメインは、SSO接続で使用する前に、ドメイン タブで登録および検証されている必要があります。

ドメイン検証が重要な理由🔗

  • 誤設定の防止: テナント内のユーザーが実際に使用しているドメインのみをSSOに紐付けることで、誤った公開や悪意のあるドメインなりすましのリスクを低減します。
  • 可視性の向上: ドメインタブで、すべての承認済み・検証済みドメインを一元的に確認できます。
  • セキュリティのベストプラクティスに準拠: SSO構成が既知のユーザーIDに厳密にスコープされることを保証します。

ドメインの登録🔗

ドメインを登録・検証するには:

  1. Taegis Menu から テナント設定 > エンタープライズ SSO > ドメイン に移動します。
  2. + ドメイン登録 を選択し、demo.com のようにドメイン名を入力します。

Register SSO Domain

  1. アクション 列の 検証 を選択します。

Verify SSO Domain

  1. DNS TXT レコードで検証します:

    • 登録したドメインの検証用TXTレコードをコピーします。
    • DNSプロバイダーにTXTレコードを追加します。
    • TXTレコードで検証 を選択します。

Domain Verification (TXT Record)

注意

TXTドメイン検証の手順は認証プロバイダーによって異なります。Microsoftによる一般的なTXTドメイン検証のガイダンスについては、Add DNS records to connect your domain を参照してください。

ドメインが検証されると、SSO接続の構成編集時に選択できるようになります。

重要

SSOが完全に構成される前に、Secureworks® Taegis™ XDR テナントにユーザーを招待することができます。ただし、その場合、ユーザーはメールドメインが検証され有効なSSO接続に含まれるまで、ユーザー名パスワードMFA を使って XDR にアクセスする必要があります。最初からSSOアクセスを確実にするには、以下を行ってください。

  • ユーザーのメールドメインを検証する
  • テナントに招待する前にSSO接続の構成を完了する

新しいSSO接続の追加🔗

テナント管理者 は、テナントごとに最大6つのSSO接続を構成できます。指定するドメインは接続ごとに一意であり、接続間で重複してはなりません。

重要

プレビューモード を利用している場合、SSO接続で使用する前に ドメイン タブでメールドメインを登録および検証する必要があります。

新しい接続を設定するには、以下の手順に従ってください。

  1. Taegis Menu から テナント設定 → エンタープライズ SSO を選択します。
  2. + 接続を追加 を選択します。新しい接続の追加パネルが表示されます。各セクションのガイダンスに従って構成を完了してください。

Add a New SSO Connection

一般設定🔗

一般設定 で以下の情報を入力します。

  • 表示名 — 監査や複数構成時に識別しやすいよう、接続の説明的な名前を入力します。
  • メールドメイン — 承認済みメールアドレスのすべてのドメインをカンマ区切りで入力します。例: company.com, companytemp.com, company123.comプレビューモード を利用している場合は、ドメイン タブで事前に検証したドメインをドロップダウンメニューから選択してください。

これらの詳細を入力したら、下書き接続を作成して続行 を選択します。

サービスプロバイダー設定🔗

SSO構成内で、XDR はサービスプロバイダー、認証システム (Active Directory, PingFederate, Okta など) はIDプロバイダーとして定義されます。

Service Provider Settings

サービスプロバイダー設定 の Entity ID およびサービスURLは、左側のコピーアイコンを選択してコピーできます。これらは企業IDプロバイダーで接続を定義する際に必要です。

これらの情報を取得したら、次へ を選択します。

IDプロバイダー設定🔗

この段階で、企業IDプロバイダー接続の構成を完了する必要があります。

重要

SAML属性🔗

IDプロバイダーは、以下の3つの必須SAML属性を返すように設定する必要があります。

  1. SAML NameID属性はユーザーを識別するために使用され、ユーザーのメールアドレスでなければなりません。NameID属性のフォーマットは urn:oasis:names:tc:SAML:2.0:nameid-format:persistent である必要があります。
  2. メールアドレス用のSAML属性は http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress という名前で、値はユーザーのメールアドレスに設定します。
  3. IDプロバイダーは、email_verified という属性名で値を true (Booleanではなく文字列) として含め、メールが検証済みであることを確認する必要があります。例: email_verified = true

XDR は、テナントへの接続を完了するためにIDプロバイダーからの情報が必要です。XDR へのアクセスが必要なユーザーは、XDR 内でアカウントを作成する必要がありますが、パスワードやMFAの認証手順はOktaやActive Directoryなどの企業認証システムから取得されます。

Identity Provider Settings

  1. IDプロバイダー設定 で、IDプロバイダーからSAMLメタデータXMLのURLを入力し、検証 を選択します。

  2. 検証 を選択すると、署名証明書が表示されます。これはIDプロバイダー情報と照合し、正しい情報が接続の一部として取得されていることを確認してください。期待通りに表示されない場合は、メタデータURLに誤りがないか確認してください。

  3. 検証が完了したら 次へ を選択し、接続内容を確認します。

接続内容の確認🔗

接続内容の確認 で、要約情報が正しいことを確認し、接続を保存 を選択します。

Review Connection

新しい接続は、エンタープライズ SSO ページのサマリーカードとして 無効 ステータスで表示されます。

SSO接続のテストと確認🔗

新しいSSO接続の追加 の手順を完了したら、テナント設定 → エンタープライズ SSO から接続のサマリーカードを選択します。接続詳細の下部にある テスト を選択し、構成設定が正常に動作するか確認します。エラーが報告された場合は、設定を再適用し、成功するまで再テストしてください。

Test Connection

接続のテストが成功したら、接続ステータスを変更 して、指定したドメイン内のすべてのユーザーがSSOの対象となるようにします。

注意

IDプロバイダー起点のログインはサポートされていません。すべてのログインは XDR から開始する必要があります。

接続ステータスの変更🔗

接続のステータスを変更するには、エンタープライズ SSO ページで:

  1. 接続サマリーカードの右下のメニューアイコンを選択し ステータスの変更 を選ぶか、サマリーカードを選択して接続詳細を表示し、ページ右側の ステータスの変更 を選択します。

    注意

    下書きステータスの接続は、メニューアイコンではなくサマリーカードを選択して更新する必要があります。

  2. 希望する接続ステータスを選択します。

  3. 保存 を選択します。

Change Connection Status

接続詳細の編集🔗

接続の詳細を編集するには、エンタープライズ SSO ページで:

  1. サマリーカードを選択して接続詳細を表示します。

  2. 一般設定またはIDプロバイダー設定から 編集 を選択します。

    Edit Connection Details

  3. 必要な変更を行い、保存 を選択します。

接続の削除🔗

注意

接続は無効ステータスに変更してからでないと削除できません。

接続を削除するには、エンタープライズ SSO ページで:

  1. 接続サマリーカードの右下のメニューアイコンを選択し 削除 を選ぶか、サマリーカードを選択して接続詳細を表示し 削除 を選択します。

  2. この操作が必要であることを確認するために delete と入力し、削除を確認 を選択します。

    Delete Connection

  3. エンタープライズ SSO ページに戻り、接続が削除されたことを確認します。

ナレッジベースリソース🔗

Azure AD でのエンタープライズ SSO 構成方法については、このナレッジベース記事 をご参照ください。