コンテンツにスキップ

エンタープライズ シングルサインオン (SSO)🔗

シングルサインオン (SSO) を利用すると、Secureworks® Taegis™ XDR へのアクセスをローカルの企業認証システムと連携できます。これは XDR では 接続 と呼ばれます。

SSO を有効にすると、XDR のユーザーは企業認証の資格情報を使って XDR にアクセスできるため、企業ネットワークにログインしていれば、XDR にログインする際に別のパスワードやMFAを入力する必要がなくなります。

重要

ユーザーには、XDR で ユーザーアカウント を作成し、企業認証システムで使用しているメールアドレスと同じメールアドレスを持つ適切なロールを割り当てる必要があります。メールアドレスが、ユーザーごとに認証システム間の同期を可能にします。

SSO を有効にすることで、以下のメリットがあります:

  • XDR が企業のパスワードおよびMFA標準に準拠
  • 別のMFAシステムや追加のパスワードを覚える必要がない
  • ユーザー管理が XDR と連携した企業認証システムに集約される
  • セッションがタイムアウトして再度ログインが必要な場合でも、パスワードやMFAの入力が不要

前提条件🔗

Security Assertion Markup Language 2.0 (SAML2.0) は、セキュリティドメイン間で認証および認可のIDを交換するためのSAML標準のバージョンです。

XDR との連携を設定するには、認証システムがSAML2.0認証プロトコルに対応している必要があります。

エンタープライズ SSO の概要🔗

重要

XDR をパートナー(MSSP)組織経由で提供されている場合は、続行する前にパートナーにSSO連携がサポートされているかご確認ください。

テナント管理者 は、Taegis Menu の テナント設定 → エンタープライズ SSO からアクセスできるエンタープライズ SSO ページでSSO接続を管理できます。

注意

エンタープライズ SSO の設定は、テナント管理者ロールを持つユーザーのみが可能です。

Enterprise SSO - Connections Tab

接続タブ🔗

接続タブには、現在のSSO接続がサマリーカードとして表示され、ドメイン数、署名証明書の有効期限、および接続名の下に次のいずれかのステータスが表示されます:

  • 有効 — SSO構成で指定されたドメインと一致するメールログイン資格情報を持つすべてのユーザーが、SSOを使用してXDRにアクセスします。

  • 無効 — 構成済みドメインと一致するメールアドレスを持つユーザーにはSSO接続が有効になっていません。無効な接続のみ削除できます。

  • 下書き — 構成が未完了の場合、接続は 下書き ステータスに移動します。これは、アップデート適用やシステム再起動、ブラウザの問題などで発生する場合があります。

サマリーカードを選択すると、接続の詳細を確認したり、ステータスの変更詳細の編集接続の削除ができます。

また、エンタープライズ SSO ページのカード右下のメニューアイコンからも、ステータス変更や接続の削除が可能です。

ドメインタブ🔗

ドメインタブでは、Single Sign-On (SSO) の構成前にメールドメインを登録・検証できます。これにより、セキュリティが強化され、認識されていないドメインでの誤ったまたは不正なSSO設定を防止できます。

このタブには、すべての登録済みメールドメインと現在の検証ステータスがテーブルで表示され、可視性と管理性が向上します。また、テナント管理者 は新しいメールドメインを登録・検証し、SSO接続で使用できるようにできます。

重要

メールドメインをSSO接続で使用する前に、ドメイン タブで 登録および検証 されている必要があります。

ドメイン検証が重要な理由🔗

  • 誤設定の防止: テナント内で実際に使用されているドメインのみSSOに紐付けられるため、誤った公開や悪意あるドメインなりすましのリスクを低減します。
  • 可視性の向上: ドメインタブで、承認・検証済みのすべてのドメインを一元的に確認できます。
  • セキュリティベストプラクティスとの整合: SSO構成が既知のユーザーIDに厳密に紐付けられます。

ドメインの登録🔗

ドメインを登録・検証するには:

  1. Taegis Menu から テナント設定 > エンタープライズ SSO > ドメイン に移動します。
  2. + ドメイン登録 を選択し、demo.com のようにドメイン名を入力します。

Register SSO Domain

  1. アクション 列の 検証 を選択します。

Verify SSO Domain

  1. DNS TXTレコードで検証します:

    • 登録したドメインの検証用TXTレコードをコピーします。
    • DNSプロバイダーにTXTレコードを追加します。
    • TXTレコードで検証 を選択します。

Domain Verification (TXT Record)

注意

TXTドメイン検証の手順は認証プロバイダーによって異なります。Microsoftによる一般的なTXTドメイン検証ガイダンスについては、Add DNS records to connect your domain を参照してください。

ドメインが検証されると、構成編集時にSSO接続で選択できるようになります。

重要

SSOが完全に構成される前でも、Secureworks® Taegis™ XDR テナントにユーザーを招待できます。ただし、その場合、ユーザーはメールドメインが検証され有効なSSO接続に含まれるまで、ユーザー名パスワードMFA を使って XDR にアクセスする必要があります。最初からSSOアクセスを有効にしたい場合は、以下を必ず実施してください:

  • ユーザーのメールドメインを検証する
  • テナントへの招待前にSSO接続の構成を完了する

新しいSSO接続の追加🔗

SSO接続の構成には テナント管理者 である必要があります。指定するドメインは接続ごとに一意であり、接続間で重複してはなりません。

新しい接続を設定するには、以下の手順に従ってください:

  1. Taegis Menu から テナント設定 → エンタープライズ SSO を選択します。
  2. + 接続を追加 を選択します。「新しい接続の追加」パネルが表示されます。各セクションのガイダンスに従って構成を完了してください。

Add a New SSO Connection

一般設定🔗

一般設定 で以下の情報を入力します:

  • 表示名 — 監査や複数構成時に識別しやすいよう、接続の説明的な名前を入力します。
  • メールドメイン — 承認済みメールアドレスのすべてのドメインをカンマ区切りで入力します(例:company.com, companytemp.com, company123.com)。プレビューモード を利用している場合は、ドメイン タブで事前に検証したドメインをドロップダウンから選択してください。

これらの詳細を入力したら、下書き接続を作成して続行 を選択します。

サービスプロバイダー設定🔗

SSO構成内で、XDR はサービスプロバイダー、認証システム(Active Directory、PingFederate、Oktaなど)はIDプロバイダーとして定義されます。

Service Provider Settings

サービスプロバイダー設定 の Entity ID およびサービスURLは、左側のコピーアイコンを選択してコピーできます。これらは企業IDプロバイダーで接続を定義する際に必要です。

これらの情報を取得したら、次へ を選択します。

IDプロバイダー設定🔗

この段階で、企業IDプロバイダー接続の構成を完了する必要があります。

重要

SAML属性🔗

IDプロバイダーは、以下の3つの必須SAML属性を返すように設定する必要があります:

  1. SAML NameID属性はユーザー識別に使用され、ユーザーのメールアドレスでなければなりません。NameID属性のフォーマットは urn:oasis:names:tc:SAML:2.0:nameid-format:persistent である必要があります。
  2. メールアドレス用のSAML属性は http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress という名前で、値はユーザーのメールアドレスに設定します。
  3. IDプロバイダーは、email_verified という属性名で値を文字列 true(Booleanではなく)として含め、メールが検証済みであることを示す必要があります:email_verified = true

XDR は、テナントへの接続を完了するためにIDプロバイダーからの情報を必要とします。XDR へのアクセスが必要なユーザーは、XDR 内でアカウント作成が必要ですが、パスワードやMFAの認証手順はOktaやActive Directoryなどの企業認証システムから引き継がれます。

Identity Provider Settings

  1. IDプロバイダー設定 で、IDプロバイダーからSAMLメタデータXMLのURLを入力し、検証 を選択します。

  2. 検証 を選択すると、署名証明書が表示されます。これはIDプロバイダー情報と照合し、正しい情報が接続の一部として取得されていることを確認してください。期待通りの情報が表示されない場合は、メタデータURLに誤りがないか確認してください。

  3. 検証が完了したら 次へ を選択し、接続内容を確認します。

接続内容の確認🔗

接続内容の確認 で、要約情報が正しいことを確認し、接続を保存 を選択します。

Review Connection

新しい接続は、エンタープライズ SSO ページにサマリーカードとして 無効 ステータスで表示されます。

SSO接続のテストと確認🔗

新しいSSO接続の追加 の手順を完了したら、テナント設定 → エンタープライズ SSO から接続のサマリーカードを選択します。接続詳細の下部にある テスト を選択し、構成設定が正常に動作するか確認します。エラーが報告された場合は、設定を再適用し、成功するまで再テストしてください。

Test Connection

接続のテストが成功したら、接続ステータスを変更 して 有効 にし、指定したドメイン内のすべてのユーザーがSSOの対象となるようにします。

注意

IDプロバイダー起点のログインはサポートされていません。すべてのログインは XDR から開始する必要があります。

接続ステータスの変更🔗

接続のステータスを変更するには、エンタープライズ SSO ページで:

  1. 接続サマリーカードの右下メニューアイコンを選択し ステータスの変更 を選ぶか、サマリーカードを選択して接続詳細を表示し、ページ右側の ステータスの変更 を選択します。

    注意

    下書きステータスの接続は、メニューアイコンではなくサマリーカードを選択して更新する必要があります。

  2. 希望する接続ステータスを選択します。

  3. 保存 を選択します。

Change Connection Status

接続詳細の編集🔗

接続の詳細を編集するには、エンタープライズ SSO ページで:

  1. サマリーカードを選択して接続詳細を表示します。
  2. 一般設定またはIDプロバイダー設定から 編集 を選択します。

    Edit Connection Details

  3. 必要な変更を行い、保存 を選択します。

接続の削除🔗

注意

接続を削除する前に、無効ステータスに変更 する必要があります。

接続を削除するには、エンタープライズ SSO ページで:

  1. 接続サマリーカードの右下メニューアイコンを選択し 削除 を選ぶか、サマリーカードを選択して接続詳細を表示し 削除 を選択します。
  2. この操作が必要であることを確認するために delete と入力し、削除を確認 を選択します。

    Delete Connection

  3. エンタープライズ SSO ページに戻り、接続が削除されたことを確認します。

ナレッジベースリソース🔗

Azure AD とのエンタープライズ SSO 構成ガイダンスは、このナレッジベース記事 をご参照ください。