付録 2 — Microsoft Entra ID の SAML 統合

OT Security では、SAML プロトコルを使用した Microsoft Entra ID との統合がサポートされています。これにより、OT Security に割り当てられていた Azure ユーザーが、SSO を介して OT Security にログインできるようになります。グループマッピングを使用して、Azure でユーザーが割り当てられているグループに従って、OT Security でロールを割り当てることができます。

統合のセットアップ

このセクションでは、OT SecurityMicrosoft Entra ID をシングルサインオン (SSO) 統合するためのフロー全体について説明します。設定では、Microsoft Entra ID 内で OT Security アプリケーションを作成し、作成した OT Security アプリケーションに関する情報を入力し、ID プロバイダーの証明書を OT Security の SAML ページにアップロードしてから、ID プロバイダーのグループを OT Security のユーザーグループにマッピングして統合をセットアップする必要があります。

設定をセットアップするには、Microsoft Entra IDOT Security の両方に管理ユーザーとしてログインする必要があります。

手順 1 - Microsoft Entra ID での Tenable アプリケーションの作成

Microsoft Entra ID での Tenable アプリケーションの作成手順

  1. Microsoft Entra ID で、[Microsoft Entra ID] > [エンタープライズアプリケーション] に移動し、[+ 新しいアプリケーション] をクリックして [Microsoft Entra ID Gallery を参照] を表示し、[+ 自分のアプリケーションを作成] をクリックします。

    [自分のアプリケーションを作成] サイドパネルが表示されます。

  2. [アプリケーションの名前]フィールドで、アプリケーションの名前 (Tenable_OT など) を入力し、[ギャラリーにない他のアプリケーションを統合する (ギャラリー以外)] (デフォルトで選択) を選択し、[作成] をクリックしてアプリケーションを追加します。

手順 2 - 初期設定

この手順は、Azure での OT Security アプリケーションの初期設定であり、必要な証明書のダウンロードを有効にするために、基本 SAML 設定値識別子および応答 URL の一時的な値の作成で構成されています。

注意: この手順で指定されているフィールドのみを設定する必要があります。その他のフィールドは、デフォルト値のままにしておきます。

初期設定の手順

  1. Microsoft Entra ID ナビゲーションメニューで、[シングルサインオン] をクリックし、シングルサインオンの方法として [SAML] を選択します。

    [SAML ベースのサインオン] 画面が表示されます。

  2. セクション 1 の [基本 SAML 設定] で、[編集] をクリックします。

    [基本 SAML 設定] サイドパネルが表示されます。

  3. [識別子 (エンティティ ID)] フィールドに、Tenable アプリケーションの一時 ID (tenable_ot など) を入力します。

  4. [応答 URL (アサーションコンシューマサービス URL)] フィールドに、有効な URL (例: https://OT Security) を入力します。

    注意: 識別子と応答 URL の両方は、この後の設定プロセスで変更されます。
  5. [保存] をクリックして一時的な値を保存し、[基本 SAML 設定] サイドパネルを閉じます。

  6. セクション 4 の [セットアップ] で、 [コピー] アイコンをクリックして [Microsoft Entra ID 識別子] をコピーします。

  7. OT Security コンソールに切り替え、[ユーザーとロール] > [SAML] に移動します。

  8. [設定] をクリックして [SAML の設定] サイドパネルを表示し、コピーした値を [IDP ID] フィールドに貼り付けます。

  9. Azure コンソールで、アイコンをクリックしてログイン URL をコピーします。

  10. OT Security コンソールに戻り、コピーした値を [IDP URL] フィールドに貼り付けます。

  11. Azure コンソールのセクション 3 の [SAML 証明書] (証明書 (Base64) 用) で、[ダウンロード] をクリックします。

  12. OT Security コンソールに戻り [証明書データ][参照] をクリックし、セキュリティ証明書ファイルに移動して選択します。

  13. Azure コンソールのセクション 2 の [属性とクレーム] で、[編集] をクリックします。

  14. [追加のクレーム] で、値 user.userprincipalname に対応する [クレーム名] の URL を選択してコピーします。

  15. Tenable コンソールに戻り、この URL を [ユーザー名属性] フィールドに貼り付けます。

  16. Azure コンソールで、[+ グループのクレームを追加] をクリックして [グループのクレーム] サイドパネルを表示し、[クレームでユーザーに関連付けられているどのグループを返す必要がありますか?][すべてのグループ] を選択し、[保存] をクリックします。

    注意: Microsoft Azure でグループ設定が有効になっている場合は、[すべてのグループ] ではなく [アプリケーションに割り当てられているグループ] を選択すると、Azure はアプリケーションに割り当てられているユーザーグループのみを提供します。
  17. [追加のクレーム] で、値 user.groups [All] に関連付けられた [クレーム名] の URL をハイライト表示してコピーします。

  18. Tenable コンソールに戻り、コピーした URL を [グループ属性] フィールドに貼り付けます。

  19. SAML 設定の説明を追加する場合は、[説明] フィールドに入力します。

手順 3 - Azure ユーザーの Tenable グループへのマッピング

この手順では、Microsoft Entra ID ユーザーが OT Security アプリケーションに割り当てられます。各ユーザーに付与されたアクセス許可は、当該ユーザーが割り当てられている Azure グループと、関連付けられたロールと一連のアクセス許可を持つ事前定義された OT Security ユーザーグループとの間のマッピングによって指定されます。OT Security の事前定義されたユーザーグループは、管理者、読み取り専用ユーザー、セキュリティアナリスト、セキュリティマネージャー、サイトオペレーター、スーパーバイザーです。詳細は、ユーザーとロール を参照してください。各 Azure ユーザーは、OT Security ユーザーグループにマッピングされる少なくとも 1 つのグループに割り当てられる必要があります。

注意: SAML 経由でログインした管理者ユーザーは、管理者 (外部) ユーザーと見なされ、ローカル管理者の持つすべての権限は付与されていません。複数のユーザーグループに割り当てられたユーザーには、グループの中から最高のアクセス許可が与えられます。

Azure ユーザーを OT Security にマッピングする手順

  1. Microsoft Azure で、ユーザーとグループページに移動し、[+ ユーザー / グループの追加] をクリックします。

  2. [割り当ての追加] 画面の [ユーザー] で、[選択なし] をクリックします。

    [ユーザー] サイドパネルが表示されます。

    注意: Microsoft Azure でグループ設定が有効になっていて、すべてのグループではなくアプリケーションに割り当てられているグループを選択する場合、個々のユーザーではなくグループを割り当てることができます。
  3. すべての対象ユーザーを検索してクリックし、[選択] をクリックしてから [割り当て] をクリックして、ユーザーをアプリケーションに割り当てます。

    ユーザーとグループページが表示されます。

  4. ユーザー (またはグループ) の表示名をクリックして、そのユーザー (またはグループ) のプロファイルを表示します。

  5. [プロファイル] 画面の左側のナビゲーションバーで、[グループ] を選択して [グループ] 画面を表示します。

  6. [オブジェクト ID] で、Tenable にマッピングされるグループの値をハイライト表示してコピーします。

  7. OT Security コンソールに戻り、コピーした値を対象の [グループオブジェクト ID] フィールド (例: 管理者グループオブジェクト ID) に貼り付けます。

  8. OT Security で異なるユーザーグループにマッピングするグループごとに、手順 1〜7 を繰り返します。

  9. [保存] をクリックして保存し、サイドパネルを閉じます。

    OT Security コンソールに [SAML] 画面が表示され、この画面に設定された情報が表示されます。

手順 4 - Azure での設定の終了

Azure で設定を終了する手順

  1. OT Security[SAML] 画面の [エンティティ ID] で、コピーアイコンをクリックします。

  2. [Azure] 画面に切り替え、左側のナビゲーションメニューで [シングルサインオン] をクリックして、SAML ベースのサインオンページを開きます。

  3. セクション 1 の [基本 SAML 設定] で、[編集] をクリックし、コピーした値を [識別子 (エンティティ ID)] フィールドに貼り付けて、以前に入力した一時的な値を置き換えます。

  4. OT Security[SAML] 画面に戻り、[URL] で、コピーアイコンをクリックします。

  5. Azure コンソールの [基本 SAML 設定] サイドパネルの [応答 URL (アサーションコンシューマサービス URL)] で、コピーした URL を貼り付け、以前入力した一時的な URL を置き換えます。

  6. [保存] をクリックして設定を保存し、サイドパネルを閉じます。

    設定が完了し、接続が [Azure Enterprise アプリケーション] 画面に表示されます。

手順 5 - 統合のアクティブ化

SAML 統合をアクティブ化するには、OT Security を再起動する必要があります。ユーザーは、システムをすぐに再起動するか、後で再起動するかを選択できます。

統合をアクティブ化する手順

  1. OT Security コンソールの [SAML] 画面で、[SAML シングルサインオンログイン] ボタンをクリックして オンに切り替えます。

    [システム再起動] の通知ウィンドウが表示されます。

  2. [今すぐ再起動] をクリックしてシステムを再起動し、SAML 設定をすぐに適用するか、[後で再起動] をクリックして、次にシステムを再起動したときに SAML 設定が適用されるようにします。後で再起動することを選択した場合、再起動が完了するまで次のバナーが表示されます。

SSO を使用したサインイン

再起動すると、OT Security ログインウィンドウでは、ログインボタンの下に新しい [SSO からサインイン] リンクが表示されます。OT Security に割り当てられた Azure ユーザーは、Azure アカウントを使用して OT Security にログインできます。

SSO を使用したサインイン手順

  1. OT Security ログイン画面で、[SSO からサインイン] リンクをクリックします。

    Azure にすでにログインしている場合は、OT Security コンソールに直接移動します。まだログインしていない場合は、Azure サインインページにリダイレクトされます。

    複数のアカウントを持つユーザーは、Microsoft の アカウントの選択ページにリダイレクトされ、ログインに使用するアカウントを選択できます。