Links

ユーザーとチームのプロビジョニング

Keeper Enterpriseによる柔軟で強力なユーザープロビジョニング
Keeper Enterpriseを利用すると、多くの異なる方法を使用してユーザーをプロビジョニングできます(詳細はこちらに記載)。

対応しているプロビジョニング方法

  • 管理コンソールを使用した手動プロビジョニング
  • シングルサインオン(SAML 2.0)認証およびKeeper SSO Connectによるプロビジョニング
  • AD BridgeによるActive Directory/LDAPのプロビジョニング
  • SCIMによるOkta、Azure AD、Google G Suite、OneLoginのプロビジョニング
  • SCIMを使用したAPIのプロビジョニング
  • メールアドレスで自動プロビジョニング
  • Commander SDKを使用したCLIのプロビジョニング
ユーザープロビジョニングに関する詳細は、以下のビデオをご覧ください。

ユーザープロビジョニングのベストプラクティス

スモールビジネスおよびチーム

少数のユーザーにKeeperを展開する場合、または大規模なEnterprise内のチームのみにKeeperを展開する場合、Keeperの「手動プロビジョニング」または「一括アップロード」の使用で十分です。

オンプレミスのActive Directoryを使用している組織

オンプレミスAD環境を管理している組織の場合、Keeper Active Directory Bridgeアプリケーション(「AD Bridge」)を使用して、ノード構造をマッピングしたり、ユーザーやチーム、ロールを追加することをお勧めします。
参照: AD Bridge
AD Bridgeソフトウェアは、ユーザーのプロビジョニングにのみ使用されます。 ADに対してユーザー認証するには、AD FSとKeeper SSO Connectサービスを一緒に使用することをお勧めします。

オンプレミスのActive DirectoryとAD FSを使用している組織

すでにフェデレーションサービスを利用している組織の場合、Keeper SSO Connectを利用すると、リアルタイム認証やジャストインタイム(JIT)プロビジョニングが可能です。 ADセキュリティグループや他のカスタムLDAPクエリを使用して、ユーザーをロールやチームに自動的に割り当てる場合、Keeper AD Bridgeソフトウェアも利用可能です。

Azure AD、Okta、JumpCloud、Google Workplace、またはその他のクラウドベースのディレクトリを使用している組織

Keeper Enterpriseの多くのお客様は、ADからAzureへの同期または他のミラーリング技術を利用して、クラウドベースのIDストアに移行済みか、現在移行中です。
組織で、クラウドベースのディレクトリを利用している場合、展開には次の3つの選択肢があります。

SSO(SAML 2.0)認証

Keeper SSO ConnectはKeeper Enterpriseの強力な機能の1つで、SAML 2.0対応のIDプロバイダを通して、リアルタイム認証およびユーザーアカウントのプロビジョニングが可能です。 Azure AD、AD FS、Okta、JumpCloud、Google Workspace、Ping、OneLogin、およびその他のすべてのIDプロバイダはKeeperと互換性があります。
SSO Connect Cloudは、ジャストインタイム(「JIT」)プロビジョニングをサポートしており、ユーザー登録プロセスがシンプルかつ容易になります。

SCIMプロビジョニング

SCIMプロビジョニングプロトコルは、Azure、Okta、Google Workspaceなど、最新のIDプロバイダの大半でサポートされています。 Googleはこれを「ユーザープロビジョニング」と呼んでいます。 OktaやAzureでは、「自動プロビジョニング」と呼んでいます。 KeeperのSCIMを導入すると、ユーザーアカウントのプロビジョニング、アカウントのプロビジョニング解除、チームの作成、チームへのユーザーの割り当て、チームからのユーザー削除を行うことができます。

SCIMプロビジョニングとSSL(SAML 2.0)認証

SCIMとSSOを組み合わせると、リアルタイム認証やアカウントのプロビジョニングに加えて、チームの作成、チームへのユーザーの割り当て、ユーザーのプロビジョニング解除を行うことができます。 Azure AD、Okta、G Suite、JumpCloud、その他多くのモダンなIDプロバイダは、これら2つの方法の組み合わせに対応しています。

レガシーまたは断片化したディレクトリを持つ大学および大規模組織

ユーザーディレクトリが断片化していたり、KeeperにSSOやSAMLプロトコルを統合することを望んでいない大学や大規模組織は、KeeperのEメールプロビジョニングを使用すると、大規模な展開が可能です。
Eメールプロビジョニングは、基本的にドメイン名(iastate.eduなど)を予約することで、そのドメインに基づきユーザーを自動的にデフォルトロールにプロビジョニングできます。 初期設定のセットアップが完了したら、Keeper管理者が行う必要がある作業はありません。

ポータルまたはカスタムアプリとの統合

開発者APIや他のカスタムニーズによる自動プロビジョニングやユーザーボルトの作成など、特別な統合要件がある場合、KeeperはいくつかのSDKオプションを提供しています。 Commander SDKプラットフォームにアクセスすると、お客様向けに、Python、.Net、PowerShell、Java、およびその他のツールキットが用意されています。
参照: Commander SDK
プロビジョニング方式の詳細については、次のセクションで説明します。