⮐ Keeper Home All Documentation Admin Console

SCIMを使用したAzure / Entra IDのプロビジョニング

Keeperでは、Azure AD / Entra IDプラットフォームを利用したSAML 2.0認証およびSCIMプロビジョニングに対応しています。

概要

Keeperでは、SCIMプロトコルを利用してMicrosoft Azure ADなどのIDプラットフォームからユーザーやチームをプロビジョニングする機能に対応しています。Azure ADをご利用のお客様の場合、ユーザーをプラットフォームにプロビジョニングして自動的にチームに追加し、共有フォルダを受け取ることが可能となります。

こちらの設定に進む前に、Keeperの強力なSSO Connectを使用してAzure ADと統合することにより、即時のユーザー認証とジャストインタイムプロビジョニングを実現するという手段をご検討されることをお勧めします。

SSO Connect Cloud の詳細なセットアップガイドについてはこちらをご覧ください。

すでにKeeper SSO Connect Cloudを設定されている場合やSSOが不要な場合は、以下の設定手順へお進みください。

機能

Keeper/Azureのプロビジョニング統合は、以下の機能に対応しています。

  • Keeperにユーザーを作成する

  • ユーザー属性を更新する(Keeperの表示名)

  • ユーザーの削除(Keeperのユーザーをロックする)

  • AzureグループからKeeperにチームを作成する

  • ユーザーをグループ(Keeperのチーム)に追加または削除する

ユーザーをプロビジョニングする際、Azure ADは単一のKeeperノードにマッピングされます。Azureでは、ユーザーとグループは保留状態で作成され、新規ユーザーにはKeeperアカウントの作成のための招待メールが届きます。

要件

Azure ADを使用したKeeperのユーザープロビジョニングを設定するには、Keeper管理コンソールおよびAzureアカウントへのアクセスが必要となります。

設定手順

SCIMによるAzure ADプロビジョニングの詳細については、以下のビデオをご覧ください。

手順1: Azureの管理者アカウントに移動し、[Azure Active Directory] > [エンタープライズアプリケーション]を選択した後、[新しいアプリケーション]を選択します。Keeperを検索し、[Keeper Password Manager]を選択します。

手順2: アプリケーションを追加後、[プロビジョニング]セクションをクリックし、[自動]のオプションを選択します。

別のウィンドウで、Keeper管理コンソールからテナントのURLとシークレットトークンを取得します。

手順3: Keeper管理コンソールで、お使いのAzure ADと同期しているノードへ移動します。[メソッドを追加]をクリックします。

注意: SCIM統合は、管理コンソール内の特定のノード(組織単位など)にのみ適用可能となります。プロビジョナは、必ずrootノードではなくサブノード内にホストするようにしてください。

手順4: SCIMオプションを選択し、[次へ]をクリックした後、[プロビジョニングトークンの作成]を選択します。

手順5: テナントのURLとシークレットトークンの値をコピーし、ステップ1のAzure AD画面のテナントのURLおよびシークレットトークンの欄に貼り付けます。[保存]を選択して、Keeperのプロビジョニング手順を完了します。

手順6: Azure AD画面に戻り、[テスト接続]をクリックします。テスト接続に成功した後、認証情報を保存します。[プロビジョニングの状態]をONにし、[保存]をクリックします。

手順7: Keeper Azure ADアプリの[ユーザーとグループ]セクションへ移動し、Azure ADのユーザーまたはグループをアプリに割り当てます。

手順8: プロビジョニングの開始

[プロビジョニングの開始]をクリックしてプロビジョニングを開始します。

約5分(初回は最大40分かかることがあります)待ってから、管理コンソールの[同期]ボタンをクリックします。[ユーザー]タブにユーザーが表示されていることを確認します。

SCIMでプロビジョニングしたチームは即座に作成されず、承認待ち状態になってからいずれかの承認手段により確定となります。

チームとユーザーの承認についてはこちらをクリックしてください。

インスタントプロビジョニング

Azureでは、[プロビジョニング] > [オンデマンドでプロビジョニング]をクリックして、ユーザーを即座にプロビジョニングすることもできます。

SCIMを使用したチームとロールのマッピング

通常、AzureなどのSCIMを使用するIDプロバイダは、チームへのユーザーの割り当てに対応していますが、カスタムロールの割り当てについてはユーザー単位でのみ行われます。SCIMを使用してプロビジョニングしたチームやユーザーにはデフォルトのロールが適用され、SCIMでプロビジョニングしたチームを別の事前定義されたロールにマッピングすることはできません。

Keeperのチームとロールのマッピング機能で、既存のIDプロバイダを使用しながらユーザーをカスタムロールの割り当てが可能なチームに直接割り当てることができます。

チームとロールのマッピングを使用するには、管理者は個々のユーザーに対してではなく、単にチーム全体にロールを割り当て、ロール強制を使用して各チームに異なる要件や制限を設定することになります。

チームのプロビジョニングとチームの割り当て

AzureでユーザーおよびチームのSCIMプロビジョニングを設定する際は、次の点を確認してください。

  • SAMLアプリケーションでAzureグループを割り当て済みであることを確かにします。

  • Azureからユーザーを招待するかユーザーをプロビジョニング済のグループに割り当てる際には、AzureからKeeperへ、ユーザーの参加を招待する、ユーザーをチームに追加する、チームを作成するのいずれかのリクエストが送信されます。

  • ユーザーがKeeperにまだ存在しない場合は、サインアップへの招待を受け取ります(あるいはジャストインタイムプロビジョニングを使用できます)。

  • ユーザーがKeeperのアカウントを作成した後、以下のいずれかが発生するまでユーザーが Keeperチームに割り当てられることはありません。 (a) 管理者が管理コンソールにログインし、管理画面から[完全同期]をクリックする (b) 関連チームのユーザーがウェブボルトまたはデスクトップアプリにログインする (c) 管理者がKeeper Commanderからチーム承認を実行する 暗号化キー(チームキーなど)の共有については、必要な秘密キーにアクセスできるユーザーがログインしている状態でのみ実行できます。

  • この処理を効率化するために、バージョン3.2時点のKeeper Automator機能により、チームとチームの割り当ての即時承認が可能です。Automator機能に関してはこちらをご覧ください。

Azure ADによるSAML 2.0認証

こちらの資料ではAzure ADを使用したプロビジョニング過程について解説しました。SAML 2.0プロトコルを使用したAzure ADでの自動認証を有効にするには、Keeper SSO Connect Cloudガイドのセットアップ手順に従ってください。

PreviousSCIMを使用したOktaのプロビジョニングNextGoogle Workspaceプロビジョニング

Last updated