SAML を使用した認証

Tenable Identity Exposure ユーザーが Tenable Identity Exposure にログインするときに ID プロバイダーによるシングルサインオン (SSO) を使用できるように、SAML 認証を設定できます。

始める前に

アイデンティティプロバイダー (IDP) の次のものがあることを確認します。

  • SAML v2 のみ

  • 「アサーション暗号化」が有効になりました。

  • Tenable Identity Exposure ウェブポータルで Tenable Identity Exposure がアクセス権を付与するために使用する IDP グループ

  • SAML サーバーの URL

  • -----BEGIN CERTIFICATE----- で始まり -----END CERTIFICATE---- で終わる PEM エンコード形式で、SAML サーバー証明書に署名した信頼できる認証局 (CA)

SAML 認証を設定するには:

  1. Tenable Identity Exposure で、[システム] > [設定] をクリックします。

    設定ペインが表示されます。

  2. [認証] セクションで [SAML シングルサインオン] をクリックします。

  3. [SAML 認証の有効化] トグルをクリックします。

    SAML 情報フォームが表示されます。

    SAML 設定

  4. 以下の情報を入力します。

    • [SAML サーバーの URL] ボックスに、Tenable Identity Exposure が接続する必要がある IDP の SAML サーバーの完全な URL を入力します。

    • [信頼された認証局] ボックスに、SAML サーバーの証明書に署名した CA を貼り付けます。

  1. [Tenable Identity Exposure 証明書]ボックスで、[生成してダウンロード] をクリックします。これにより、新しい自己署名証明書が生成され、データベースの SAML 設定が更新され、ダウンロードする新しい証明書が返されます。

    警告: このボタンをクリックすると、SAML 設定が中断されます。これは、IDP が依然として以前の証明書 (存在する場合) を使用しているのに、Tenable Identity Exposure は IDP が直近に生成された証明書ですぐに認証することを想定しているためです。新しい Tenable Identity Exposure 証明書を生成する場合は、新しい証明書を使用するように IDP を再設定する必要があります。

  2. 最初の SAML ログイン後に新しいユーザーのアカウントをアクティブ化するには、[新しいユーザーのアカウントを自動的にアクティブ化する] トグルをクリックします。

  3. [Tenable Identity Exposure エンドポイント] で、以下の情報を入力します。

    • Tenable Identity Exposure サービスプロバイダーの URL

    • Tenable Identity Exposure サービスプロバイダーのアサートエンドポイント

  1. [デフォルトのプロファイルとロール] セクションで、[SAML グループの追加]をクリックして、認証を許可するグループを指定します。

    SAML グループ情報フォームが表示されます。

  2. 以下の情報を入力します。

    • [SAML グループ名] ボックスに、許可されているグループの名前を入力します。この名前が SAML サーバーに表示されます。

    • [デフォルトのプロファイル] ドロップダウンボックスで、許可するグループのプロファイルを選択します。

    • [デフォルトのロール] ボックスで、許可するグループのロールを選択します。

  1. 必要に応じて、 アイコンをクリックし、新しい許可グループを追加します。

  2. [保存] をクリックします。

    SAML 認証をセットアップした後、SAML オプションがログインページのタブに表示されます。

セキュリティプロファイルとロールの詳細については、以下を参照してください。