# Oktaでのプロビジョニング ## **概要** 本ページでは、SCIMを使用したOkta自動プロビジョニングについて解説します。設定の前に、まずリアルタイムなユーザー認証とジャストインタイムなプロビジョニングを実現するSSOコネクトとOktaとの統合を有効にしておきましょう。 {% hint style="info" %} Okta SSOの導入について詳しくは[こちらのページ](https://docs.keeper.io/sso-connect-cloud/identity-provider-setup/okta-keeper)をご参照ください。 {% endhint %} ## **プロビジョニング機能** Keeper/Oktaの自動プロビジョニングは、以下の機能に対応しています。 * Keeperでユーザーを作成 * ユーザー属性の更新 * ユーザーのアクティブ化または非アクティブ化 (Keeperでのユーザーのロックまたはロック解除) * Keeperでチームを作成 (Oktaグループから) * シームレスな認証ユーザーをプロビジョニングする場合、Oktaディレクトリは単一のKeeperノードにマッピングされます。Oktaでは、ユーザーとグループは保留状態で作成され、新規ユーザーにはKeeperアカウントの作成を案内する招待メールが送信されます。 ## **要件** Oktaを使用したKeeperのユーザープロビジョニングを設定するには、Keeper管理コンソールとOkta管理者アカウントにアクセスする必要があります。 ## **設定手順** Okta管理設定にKeeperを追加していない場合、**\[Application]** (アプリケーション) タブを選択してから**\[Browse App Catalog]** (アプリカタログを参照) を選択し、「Keeper」を検索します。アプリケーションの追加

![Keeperの追加](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FDS7ZXo7IH6Je1Sx61Zq2%2Fspaces_-LO5CAzpxoaEquZJBpYz_uploads_y5ozpCP3EhtSdfCNMOYq_Screen%20Shot%202021-11-12%20at%206.webp?alt=media\&token=9db9a1d3-fe38-461e-962c-92ab02ff7bc6) Keeper管理コンソールを開き、お使いのOktaアカウントと同期させるノードに移動します。SAML 2.0認証を使用している場合、SCIMコネクタを同じノードに追加します。**\[メソッドを追加]** 、**\[SCIM]**の順に選択して**\[次へ]**をクリックします。

![SCIMを選択](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FqBAkZ3uOVtlhAKxFVRc6%2FJP_SCIM.png?alt=media\&token=ecfc7ccf-23b1-461f-835d-acc8ca59b032) **URL**をコピーします。

Okta管理者アカウントに戻り、Okta API Integration (Okta API統合) 画面の\[Base URL] (ベースURL) KeeperのURLをコピー&ペーストします。 ![ベースURLの貼り付け](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FnpwYbbCxvKha0vft734g%2Fspaces_-LO5CAzpxoaEquZJBpYz_uploads_Cs6H9BVT0In3Jw8pWXHa_Screen%20Shot%202021-11-12%20at%209.webp?alt=media\&token=66887e4d-b37a-48a2-b965-c4571ef7c454) 次に、Keeper側で**\[生成]を**クリックします。 ![\[生成\]をクリック](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FQd1SXSD3KLMUFDO7iH9z%2FJP_SCIM%EF%BC%BFGenerate.png?alt=media\&token=f524a405-4a97-4829-b85f-c82b1a2cc31e) 生成されたトークンを直ちにクリップボードにコピーし、**\[保存]**をクリックします (重要)。注: トークンをKeeperに保存する前に、Okta側で\[Test] (テスト) をクリックすると、テストは失敗します。次に、トークンをOktaコンソールに貼り付けます。 ![APIトークンの貼り付け](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FyVIlqcukxyXopArCkcqs%2Fspaces_-LO5CAzpxoaEquZJBpYz_uploads_gfzpqjS1VaVMRrI7oCpa_Screen%20Shot%202021-11-12%20at%209.webp?alt=media\&token=809289af-a5d9-4df6-a19a-83b824109531) Oktaで**\[Save]** (保存) を選択して、Keeperのプロビジョニング手順を完了します。 ## ユーザーのプロビジョニング Oktaの**\[Provisioning] (プロビジョニング)** タブの「Provisioning to App」 (アプリへのプロビジョニング) の下にある**\[Edit]** (編集) をクリックします。「Create Users」 (ユーザーの作成)、「Update User Attributes」 (ユーザー属性の更新)、「Deactivate Users」 (ユーザーの無効化) の各機能を有効にし、**\[Save]** (保存) をクリックします。 ![プロビジョニングオプション](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FcT0S2mSna14r1RPyoEFK%2Fspaces_-LO5CAzpxoaEquZJBpYz_uploads_ZfPDU58ZM64ePVd8VWAV_Screen%20Shot%202021-11-12%20at%209.webp?alt=media\&token=d1946fdf-3973-407e-83f0-fd0b38d62d84) Oktaでアプリをユーザーに割り当て、しばらくしてからKeeper管理コンソールで**\[完全同期]**ボタンを選択します。ユーザーのユーザー名とメールアドレスが、ユーザー割り当て時と同じであることを確かにします。

Keeper管理コンソール画面では、ユーザーは「招待済み」か「移管承認待ち」のいずれかの状態で表示されます。(デフォルトのロールに対してボルト移管ポリシーが有効である場合)。 ![招待（Invited）状態](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FOObUtNPsOM0DmwrpvqWE%2Fspaces_-LO5CAzpxoaEquZJBpYz_uploads_git-blob-8b8554137ee229cd3e853ede3b43ab9a43fd89a6_Screen%20Shot%202021-11-12%20at%209.webp?alt=media\&token=c202ae35-4cb0-4f76-a4db-813156ac183d) ユーザーは招待メールを受信します (ロールポリシーで招待メールが無効となっている場合は除く)。招待リンクをクリックすると、ユーザーはOktaでログインできるようになり、プロビジョニングプロセスが完了します。メールアドレスまたは法人ドメインを使用してKeeperにログインすることで、サインインプロセスを完了することもできます。 ![ボルトのログイン](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FR7UCJO07b9DsM2w69snv%2FJP_SSOvaultlogin.png?alt=media\&token=34cc0201-e0ef-4ddd-808d-0272c5e868ae) ユーザーがKeeperボルトを作成すると、管理コンソールのステータスが「有効」に変化します。 ![アクティブステータス](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FbHezFhbFSYWykoZEJwXL%2FJP_SSOOkta_User.png?alt=media\&token=9dda1505-5370-4da5-9198-610bcf47c722) ## **チームプロビジョニング** KeeperはOktaの「Push Groups」 (プッシュグループ) を介したチームプロビジョニングに対応しています。 * Push Groups (プッシュグループ) は、管理コンソール内にKeeperチームとして追加されます。 * Push Groups (プッシュグループ) に割り当てられたユーザーは、Keeperチームに割り当てられます。 * その後、Keeperチームを共有フォルダにプロビジョニングできます。 * Keeperチームは、チームとロールのマッピングを行うことで、ロールポリシーにマッピングできます。 ![Keeperチームに対するOktaのPush Groups](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FufU70Af0DfzgIAL1jQ9A%2Fspaces_-LO5CAzpxoaEquZJBpYz_uploads_git-blob-a9d52f5a8ff7aea542dd89ab7e21ab268abc2a7b_Screen%20Shot%202021-11-12%20at%2011.webp?alt=media\&token=17e4a9ee-01a5-414f-ac81-4dbeb313ba9c) ## **チームとユーザーの承認** Keeperにおけるユーザーのチーム割り当てやチームメンバーシップの管理は、直接管理コンソールで行うか、Keeperの自動化ツールを使用して実行する必要があります。トランザクションを処理し承認するには、Keeper管理コンソールにユーザーやチームをプッシュした後、単にログインするか「完全同期）」をクリックします。ユーザーまたはチームのデータをKeeper管理コンソールに送信した後、管理コンソールにログインするか\[完全同期]ボタンをクリックすることで、送信されたデータの処理と承認が行われます。チームの承認が処理されると、画面の下部に通知が表示されます。

![チームとユーザーの承認](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FXumjTtmpzcJr4U9XdXEg%2Fspaces_-LO5CAzpxoaEquZJBpYz_uploads_git-blob-03d9d26c5031a214e7d63977ab7a6c8d2e397b70_Screen%20Shot%202021-11-12%20at%2011.webp?alt=media\&token=e5a69692-ecb4-42d0-b86b-2648866c9e12) チームとユーザーの承認は、[Keeperオートメーターサービス](https://docs.keeper.io/keeper-sso-connect-r-cloud-jp/device-approvals/automator)や[Keeperコマンダー](https://docs.keeper.io/secrets-manager-jp/commander-cli/command-reference/enterprise-management-commands#team-approvekomando)で`team-approve`コマンドを使用して行うこともできます。 ## **SCIMを使用したチームとロールのマッピング** Oktaの自動プロビジョニングでは、Push Groups (プッシュグループ) をKeeperチームにマッピングされます。チームごとにKeeperロールを自動的に割り当てるには、チームとロールのマッピング機能を使用します。「ロール」画面で、チームをロールに追加します。 ![チームとロールのマッピング](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FHwuXCIa2ks3LyPI68CDs%2FJP_Team%20to%20Role%20Mapping.png?alt=media\&token=aa50c22e-4faf-43bf-8f78-2e641dd2d4e9) チームとロールのマッピングの際には、管理者はロールを個々のユーザーに対してではなく、チーム全体に割り当てます。各チームには、ロール強制適用ポリシーを使用して異なる要件や制限を設定できます。チームとロールのマッピングは、管理者ロールでは適用できません。 ## **既知の問題とトラブルシューティング** * 管理コンソールでSCIMプロビジョニング方法を保存する前に「Test」 (テスト) ボタンをクリックすると、テストは失敗します。 * Keeperユーザーはメールアドレスで識別されるため、OktaユーザーをKeeperアプリに割り当てるときは、ユーザー名に有効なメールアドレスが含まれていることを確かにしてください。 * Keeper Oktaアプリケーションに割り当てられたグループは、デフォルトではKeeper内でチームとして作成されず、メンバーだけがプッシュされます。グループ全体とそのメンバーを同期するには、Keeper Oktaアプリケーションの「Push Groups」にグループを追加する必要があります。 * Oktaからグループメンバーを同期する場合、Keeperにチームメンバーが作成されますが、すぐには表示されません。プロビジョニングされたユーザーが実際のチームメンバーになるには、ユーザーはKeeperに登録し、招待を受諾した後、Keeper管理者によるグループ加入の承認を受けるか、ウェブボルトにログインしている既存のKeeperチームメンバーによって自動承認される必要があります。 * 新しいPush Groupを作成するときは、Oktaの管理者が少なくとも一度は手動でグループをプッシュし、グループ同期を完了させる必要があります。 ### チームのプロビジョニングとチームの割り当て Oktaを使用してユーザーとチームのSCIMプロビジョニングを設定する場合は、以下の点を確認してください。 * SAMLアプリケーションでOktaグループをプッシュグループとして割り当てます。 * Oktaからユーザーを招待するか、プッシュグループとしてプロビジョニングされたグループにユーザーを割り当てると、OktaからKeeperへリクエストが送信され、ユーザーの招待、ユーザーのチームへの追加、チームの作成のいずれかを行います。 * ユーザーがKeeperにまだ存在しない場合は、サインアップへの招待を受け取ります (または、ジャストインタイムプロビジョニングを使用できます)。 * ユーザーがKeeperアカウントを作成した後、以下のいずれかが発生するまで、ユーザーがKeeperチームに割り当てられることはありません。\ \ (a) 管理者が管理コンソールにログインし、管理画面で「完全同期」をクリックする。\ (b) 関連チームのユーザーがウェブボルトまたはデスクトップアプリにログインする。\ (c) 管理者がKeeperコマンダーからチーム承認を実行する。\ \ SCIMを介してチームとユーザーを即座に作成できない理由は、暗号化モデルとユーザー間で秘密キーを共有する必要があるためです。暗号化キー (チームキーなど) の共有は、ログインし、必要な秘密キーにアクセスできるユーザーのみが実行できます。 * Keeperオートメーターサービス (バージョン3.2現在) を使用すると、チームとチーム割り当ての即時承認が可能です。オートメーターサービスの詳細については、[こちら](https://docs.keeper.io/sso-connect-cloud/device-approvals/automator)をご覧ください。 ## Oktaエラー処理「**Unable to update Group Push mapping target App group xxx: Error while updating user group membership... Not Found**」 (グループプッシュマッピングターゲットのアプリグループ xxx を更新できません: ユーザーグループメンバーシップの更新中にエラーが発生しました... 見つかりません) というエラーが表示された場合

* このエラーは、KeeperエンタープライズユーザーIDが KeeperバックエンドとOkta管理者の間で異なる場合に発生することがあります。これは、適切にSCIM招待からユーザーを作成せずに、Keeper側からユーザーのアカウントを削除して再作成した場合に発生することがあります。この状態では、Okta側ではユーザーの新しいエンタープライズユーザーIDがわかりません。 * この問題を解決するには、Keeperへのアプリケーション割り当てを削除し、ユーザーをKeeperアプリケーションに割り当て直します。

## SAML 2.0を使用したユーザー認証サインオン認証については、Keeper SSOコネクトのOktaのページをご参照ください。 * クラウドSSOコネクトの[Oktaページ](https://docs.keeper.io/sso-connect-cloud/identity-provider-setup/okta-keeper) (推奨) * オンプレミスSSOコネクトの[Oktaページ](https://docs.keeper.io/sso-connect-on-prem/identity-provider-setup/okta-configuration) --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/jp/enterprise-guide/user-and-team-provisioning/okta-integration-with-saml-and-scim.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.