SAML 設定の管理

必要なユーザーロール: 管理者

Tenable Vulnerability Management では、次の方法で SAML 設定を管理できます。

ヒント: Tenable Vulnerability Management で使用するために SAML を設定する方法については、Tenable SAML 設定クイックリファレンスガイドにある手順を確認してください。

SAML 設定の追加

SAML 設定の詳細を手動で入力するか、アイデンティティプロバイダー (IdP) からダウンロードした metadata.xml ファイルをアップロードできます。

注意: ユーザーの SAML が設定されたら、ユーザーが IdP タイルまたは SP メタデータファイルで提供されている URL (cloud.tenable.com/SAML/XXXXXX など) を使用してログインし、ログアウトしてから、Tenable Vulnerability Management ログインページの [SSO 経由のサインイン] リンクにアクセスできるようになります。

重要: Tenable Vulnerability Management は SAML アサーションを復号化するための秘密鍵を受け入れることができないため、Tenable Vulnerability Management は SAML アサーションの暗号化をサポートしません。Tenable Vulnerability Management で SAML 認証を設定する場合は、アサーション暗号化を必要としないアイデンティティプロバイダーを選択し、アサーション暗号化が有効になっていないことを確認してください。

始める前に

Tenable Vulnerability Management で使用するために SAML を設定する方法については、Tenable SAML 設定クイックリファレンスガイドにある手順を確認してください。この大まかな手順は、次のとおりです。

IdP のドキュメントで説明されている手順に従って、IdP アカウントで Tenable Vulnerability Management 用に SAML アプリケーションを設定します。SAML アプリケーションを設定するには、IdP で Tenable Vulnerability Management 用にエンティティ ID と応答 URL が必要です。
- エンティティ ID/オーディエンス URI - TENABLE_IO_PLACEHOLDER
- ACS/SSO URL/ログイン URL/応答 URL— https://cloud.tenable.com/SAML/login/placeholder.com。
IdP アカウントで、metadata.xml ファイルをダウンロードします。

注意: Tenable は現在、SP が開始する SAML フローをサポートしていません。アイデンティティサービスプロバイダー側から起動する必要があるため、https://cloud.tenable.com に直接移動しても SSO は許可されません。

重要: すべてのユーザーは SSO ログインに一致するアカウントを Tenable Vulnerability Management に設定しておく必要があります。SSO ログインが完全な Tenable アカウント名 (例: [email protected]) と一致することを確認する必要があります。

新しい SAML 設定を追加する方法

[SAML] ページにアクセスします。
アクションバーで、[作成] をクリックします。

[SAML 設定] ページが表示されます。

次のいずれかを行います。

IdP の metadata.xml ファイルをアップロードして設定の詳細を入力する方法
1. 最初のドロップダウンボックスで、[XML のインポート] を選択します。
  
  注意: デフォルトでは、[XML のインポート] が選択されています。
2. タイプドロップダウンボックスは、使用しているアイデンティティプロバイダーのタイプを指定します。Tenable Vulnerability Management は SAML 2.0 をサポートしています (例: Okta、OneLogin など)。
  このオプションは読み取り専用です。
3. [インポート] で、[ファイルの追加] をクリックします。
  
  ファイルマネージャーウィンドウが表示されます。
4. metadata.xml ファイルを選択します。
  
  metadata.xml ファイルがアップロードされます。

IdP の metadata.xml ファイルのデータを使用して SAML 設定を手動で作成する方法

最初のドロップダウンボックスで、[手動入力] を選択します。

SAML 設定フォームが表示されます。

次の表にある設定を設定します。

設定	説明
[有効化] トグル	SAML 設定が有効か無効かを示す、右上にあるトグル。デフォルトでは、[有効化] 設定は [有効] に設定されています。トグルをクリックして、SAML 設定を無効にします。
タイプ	使用しているアイデンティティプロバイダーのタイプを指定します。Tenable Vulnerability Management は SAML 2.0 をサポートしています (例: Okta、OneLogin など)。このオプションは読み取り専用です。
説明	SAML 設定の説明。
IdP エンティティ ID	IdP が提供する一意のエンティティ ID です。注意: ユーザーアカウントに複数の IdP を設定する場合は、アイデンティティプロバイダーごとに新しい設定を作成します。つまり、アイデンティティプロバイダーの URL、エンティティ ID、署名証明書を個別に設定します。
IdP URL	IdP の SAML URL です。
証明書	IdP セキュリティ証明書です。注意: セキュリティ証明書は、アイデンティティプロバイダーが提供する metadata.xml ファイルにあります。ファイルの内容をコピーして、[証明書] ボックスに貼り付けることができます。
認証リクエストの署名が有効	認証リクエストの署名が有効かどうかを切り替えるトグルです。次の場合、このトグルは有効になります。ユーザーが SAML 経由でログインし、そのセッションが期限切れになったユーザーがログアウトし、IdP ではなく Tenable Vulnerability Management インターフェースから直接ログインを試みた Tenable Vulnerability Management は、ユーザーが再びログインするために IdP に送信される SAML 認証リクエストに自動的に署名します。注意: 認証リクエストは、IdP もこの設定を受け入れるように設定されている場合にのみ検証できます。詳細については、次のリソースを参照してください。 Tenable SAML クイックリファレンスガイド署名証明書を管理する (Okta) 署名付き SAML 認証要求を適用する (Microsoft Entra ID) SAML アプリケーションを編集する (Ping Identity) ([Enforce Signed AuthnRequest]オプション)
ユーザー自動プロビジョニングが有効にされています	ユーザーアカウントの自動作成が有効か無効かを示すトグル。
IdP はプロビジョニング時にユーザーロールを割り当てる	プロビジョニング中にユーザーロールを割り当てるには、このトグルを有効化します。SAML ID プロバイダーで、属性名に userRoleUuid を、属性値にユーザーロール UUID を指定した属性ステートメントを追加します。ユーザーロールの UUID を取得するには、[設定] > [アクセス制御] > [ロール] に移動します。注意: このオプションにアクセスするには、最初に [ユーザー自動プロビジョニングの有効化] オプションを有効にする必要があります。
IdP はログインごとにユーザーロールをリセットする	ユーザーがログインするたびにロールを割り当て、現在のロールを IdP で選択したロールで上書きするには、このトグルを有効化します。SAML ID プロバイダーで、属性名に userRoleUuid を、属性値にユーザーロール UUID を指定した属性ステートメントを追加します。ユーザーロールの UUID を取得するには、[設定] > [アクセス制御] > [ロール] に移動します。
グループ管理が有効	SAML 設定でユーザーグループを管理できるようにするには、このトグルを有効にします。[SAML により管理 ] ユーザーグループオプションが正常に機能するには、このトグルを有効にする必要があります。このオプションに関する詳細は、グループの作成を参照してください。

[保存] をクリックします。

Tenable Vulnerability Management で SAML 設定が保存されます。

次の手順

[SAML 設定] テーブルの [SP メタデータのダウンロード] オプションを使用して、Tenable Vulnerability Management から metadata.xml をダウンロードします。
SAML プロバイダーで Tenable Vulnerability Management 用に作成した SAML アプリケーションにこのファイルをアップロードします。

ヒント: SAML 設定中に問題が発生した場合、Tenable は、オンラインで入手できるさまざまなサードパーティ製 SAML デバッグツールのいずれかを試すことをお勧めします。トラブルシューティングのサポートについては、Tenable サポートにお問い合わせいただくこともできます。

SAML 設定の編集

重要: ロックアウトされないようにするため、SAML 設定を更新する前に、少なくとも 1 人の管理者ユーザーがアクセス可能であることを確認してください。たとえば、唯一の管理者ユーザーの SAML 設定を無効にすると、アプリケーションにアクセスして管理できなくなります。

SAML 設定を編集する方法

[SAML] ページのテーブルで、編集する SAML 設定をクリックします。

[SAML 設定] ページが表示されます。
(オプション) 最初のドロップダウンボックスで、基本的な設定の詳細を提供する別の方法を選択します。
- XML のインポート - SAML 設定の追加で説明されているように、IdP から提供されたメタデータファイルをアップロードして、SAML 認証を設定します。
- 手動入力 - SAML 設定の追加で説明されているように、IdP から提供された metadata.xml ファイルのデータを使用して SAML オプションを手動で設定し、SAML 認証を設定します。
Tenable Vulnerability Management は選択されたソースに基づいて設定オプションを更新します。
設定可能な SAML 設定のいずれかを更新します。

注意: 一部の設定は読み取り専用になっており、変更できません。

注意: 更新できる設定オプションは、最初のドロップダウンボックスで選択したソースによって異なります。
[保存] をクリックします。

Tenable Vulnerability Management が設定を保存します。[SAML] ページが、更新された設定で表示されます。

SAML 設定の無効化

SAML 設定を無効にすると、インスタンス上のユーザーがその設定の SAML 認証情報を使用して Tenable Vulnerability Management にログインできなくなります。SAML 設定の有効化の説明に従って、無効になっている SAML 設定を有効にできます。

注意: SAML 設定を無効にすると、ユーザーは SAML 認証情報を使用して Tenable Vulnerability Management にログインできなくなります。SAML 設定を無効にする前に、インスタンス上のすべてのユーザーが別の方法で Tenable Vulnerability Management にログインできることを確認してください。

SAML 設定を無効にする方法

[SAML] ページのテーブルで、無効化する SAML 設定をクリックします。

[SAML 設定] ページが表示されます。
ページの下部で、[SAML の有効化] トグルをクリックして設定を無効にします。
[保存] をクリックします。

Tenable Vulnerability Management が SAML 設定を無効にします。[SAML] ページで、無効になっている設定が薄いグレーで表示されます。

SAML 設定の有効化

[SAML] ページで、無効化されている SAML 設定を有効にすることができます。

始める前に:

Tenable Vulnerability Management で認証するように IdP を設定します。詳細は、Tenable SAML 設定クイックリファレンスガイドを参照してください。

無効化されている SAML 設定を有効にする方法

[SAML] ページのテーブルで、有効化する SAML 設定をクリックします。

ヒント: 無効になっている設定は薄いグレーで表示されます。

[SAML 設定] ページが表示されます。
ページの下部で、[SAML の有効化] トグルをクリックして設定を有効にします。
[保存] をクリックします。

Tenable Vulnerability Management が SAML 設定を有効にします。[SAML] ページで、有効になっている設定が黒色で表示されます。

自動アカウントプロビジョニングを有効にする

SAML 設定を手動で設定または編集する場合、ユーザーアカウントの自動プロビジョニングを有効にできます。自動アカウントプロビジョニングを使用すると、SAML 設定で名前が付けられた IdP の認証情報を持つユーザーが、IdP 経由で初めてログインする際に Tenable Vulnerability Management アカウントを作成できます。

Tenable Vulnerability Management は、次のデフォルト設定を使用して、自動的にプロビジョニングされるアカウントを作成します。

氏名 - NameID
ユーザー名 - NameID
E メール - NameID
ユーザーロール - 基本

現在、Tenable Vulnerability Management ではその他の要求の種類はサポートされていません。

始める前に:

Tenable Vulnerability Management で認証するように IdP を設定します。詳細は、Tenable SAML 設定クイックリファレンスガイドを参照してください。

ユーザーアカウントの自動プロビジョニングを有効にする方法

[SAML] ページのテーブルで、自動アカウントプロビジョニングを有効にする SAML 設定をクリックします。

[SAML 設定] ページが表示されます。
ページの下部で、[ユーザー自動プロビジョニングの有効化] トグルをクリックして、自動アカウントプロビジョニングを有効にします。
[保存] をクリックします。

Tenable Vulnerability Management は、SAML 設定で自動アカウントプロビジョニングを有効にします。

自動アカウントプロビジョニングを無効にする

自動アカウントプロビジョニングを無効にすると、ユーザーが IdP 経由で最初にプラットフォームにアクセスしたときに Tenable Vulnerability Management アカウントが自動作成されません。自動アカウントプロビジョニングを有効にするの説明に従って、SAML 設定で自動アカウントプロビジョニングを有効にすることができます。

ユーザーアカウントの自動プロビジョニングを無効にする方法

[SAML] ページのテーブルで、自動アカウントプロビジョニングを無効にする SAML 設定をクリックします。
[SAML 設定] ページが表示されます。
ページの下部で、[ユーザー自動プロビジョニングの有効化] トグルをクリックして、自動アカウントプロビジョニングを無効にします。
[保存] をクリックします。

Tenable Vulnerability Management は、SAML 設定で自動アカウントプロビジョニングを無効にします。

SAML 設定の削除

SAML 設定は [SAML] ページで削除できます。

始める前に

削除する SAML 設定を無効にします。

SAML 設定を削除する方法

[SAML] ページのテーブルで、削除する SAML 設定のチェックボックスをオンにします。
アクションバーで、 [削除] ボタンをクリックします。

Tenable Vulnerability Management で SAML 設定が削除されます。

注意 : SAML 設定を削除する際は、IdP の関連する設定も必ず削除してください。

次の手順

アイデンティティプロバイダーのアプリケーションから関連する設定を削除します。