SCIMを使用したOktaのプロビジョニング
Keeperは、Oktaプラットフォームを利用したSAML 2.0認証およびSCIMプロビジョニングをサポートしています。
概要
このガイドでは、SCIMを使用したOkta自動プロビジョニングについて説明します。 これを設定する前に、まず、リアルタイムなユーザー認証とジャストインタイムなプロビジョニングを実現する、Keeperの強力なSSO ConnectとOktaとの統合を有効化することをお勧めします。
以下のOkta SSOの導入ガイドをご参照ください。
プロビジョニング機能
Keeper/Oktaの自動プロビジョニングは、以下の機能に対応しています。
Keeperにユーザーを作成する
ユーザー属性の更新
ユーザーのアクティブ化または非アクティブ化(Keeperでユーザーをロックまたはロック解除)
Keeperでチームを作成する(Oktaグループから)
シームレスな認証
ユーザーをプロビジョニングする場合、Oktaディレクトリは単一のKeeperノードにマッピングされます。Oktaでは、ユーザーとグループは保留状態で作成され、新規ユーザーに、Keeperアカウントの作成を促す招待メールが届きます。
要件
Oktaを使用したKeeperのユーザープロビジョニングを設定するには、Keeper管理コンソールとOkta管理者アカウントにアクセスする必要があります。
設定手順
Okta管理者にKeeperを追加していない場合、アプリケーション(Applications)タブを選択し、アプリカタログを参照(Browse App Catalog)を選択し、「Keeper」を検索します。
Keeper管理コンソールを開き、お使いのOktaアカウントと同期するノードに移動します。SAML 2.0認証を使用している場合、SCIMコネクタを同じノードに追加します。メソッドを追加 > SCIMを選択し次へをクリックします。
URLをコピーします。
Okta管理者アカウントに戻り、Okta API統合(Okta API Integration)画面のベースURL(Base URL)にKeeperのURLをコピー&ペーストします。
次に、Keeper側で生成(Generate)をクリックします。
生成されたトークンを直ちにクリップボードにコピーし、保存(Save)をクリックします(すぐに保存することが重要)
注意: トークンをKeeperに保存する前に、Okta側で「テスト(Test)」をクリックすると、テストは失敗します。
次に、トークンをOktaコンソールに貼り付けます。
Oktaで保存(Save)を選択して、Keeperのプロビジョニング手順を完了します。
ユーザーのプロビジョニング
Oktaプロビジョニング(Okta Provisioning)タブのアプリへのプロビジョニング(Provisioning to App)の下にある編集(Edit)をクリックします。 「ユーザーの作成(Create Users)」、「ユーザー属性の更新(Update User Attributes)」、「ユーザーの無効化(Deactivate Users)」機能を有効化し、保存(Save)をクリックします。
Oktaで、アプリをユーザーに割り当て、しばらくしてから、Keeper管理コンソールで完全同期(Full Sync)ボタンを選択します。
ユーザーのユーザー名とEメールが、ユーザー割り当て時と同じであることを確認してください。
Keeper管理コンソール画面では、ユーザーは「招待(Invite)」状態または「移管承認待ち(Pending transfer acceptance)」状態のいずれかで表示されます。(デフォルトのロールに対してボルト移管ポリシーがアクティブな場合)。
ユーザーは招待メールを受信します(ロールポリシー(Role Policy)レベルで招待メールを無効化している場合は除く)。招待リンクをクリックすると、ユーザーはOktaにログインできるようになり、プロビジョニングプロセスが完了します。
また、ユーザーは、自身のメールアドレスまたは企業ドメインを使用してKeeperにログインすることで、サインインプロセスを完了できます。
ユーザーがKeeperボルトを作成すると、管理コンソールのステータスが「有効」に変化します。
チームプロビジョニング
KeeperはOktaの「プッシュグループ(Push Groups)」を介したチームプロビジョニングをサポートしています。
プッシュグループ(Push Groups)は、管理コンソール内にKeeperチームとして追加されます。
プッシュグループ(Push Groups)に割り当てられたユーザーは、Keeperチームに割り当てられます。
その後、Keeperチームを共有フォルダにプロビジョニングできます。
Keeperチームは、チームとロールのマッピングを行うことで、ロールポリシー(Role Policies)にマッピングすることができます。
チームとユーザーの承認
チームおよびチームユーザーの割り当て処理は、管理コンソールでローカルで完了するか、Keeperの自動ツールを使用して完了する必要があります。
トランザクションを処理し承認するには、Keeper管理コンソールにユーザーやチームをプッシュした後、単にログインするか「完全同期(Full Sync)」をクリックします。
チームの承認が処理されると、画面の下部に通知が表示されます。
チームとユーザーの承認は、Keeper AutomatorサービスやKeeper Commanderでteam-approve
コマンドを使用して行うこともできます。この機能の詳細については、以下を参照してください。
SCIMを使用したチームとロールのマッピング
Oktaの自動プロビジョニングは、プッシュグループ(Push Groups)をKeeperチームにマッピングします。 チームごとにKeeperロールを自動的に割り当てるには、「チームとロールのマッピング」機能を使用することができます。
「ロール」画面で、チームをロールに追加するだけです。
チームとロールのマッピングを使用するには、管理者は個々のユーザーに対してではなく、単にロールを「チーム」全体に割り当てるだけであり、ロール強制を使用して、各チームに異なる要件や制限を設定できます。チームとロールのマッピングは、管理者ロールでは利用できないことにご注意ください。
既知の問題/トラブルシューティングおよびヒント
管理コンソールでSCIMプロビジョニング方法を保存する前に「テスト(Test)」ボタンをクリックすると、テストは失敗します。
Keeperユーザーは電子メールで識別されるため、OktaユーザーをKeeperアプリに割り当てるときは、ユーザー名に有効な電子メールアドレスが含まれていることを確認してください。
デフォルトでは、Keeper Oktaアプリケーションに割り当てられたグループはKeeperにチームとして作成されません。グループメンバーのみKeeperにプッシュされます。グループとグループメンバーシップをKeeperに同期するには、Keeper Oktaアプリケーションの「プッシュグループ(Push Groups)」にグループを追加する必要があります。
Oktaからグループメンバーを同期する場合、Keeperにチームメンバーが作成されますが、すぐには表示されません。プロビジョニングされたユーザーが実際のチームメンバーになるには、ユーザーはKeeperに登録し、招待状に同意した後、Keeper管理者によるグループ加入の承認を受けるか、Webボルトにログインしている既存のKeeperチームメンバーによって自動承認される必要があります。
新しいプッシュグループを作成する場合、Okta管理者はグループの同期を少なくとも1回手動でプッシュする必要があります。
チームのプロビジョニングとチームの割り当て
Oktaを使用してユーザーとチームのSCIMプロビジョニングを設定する場合は、次の点を確認してください。
SAMLアプリケーションでOktaグループをプッシュグループとして割り当てたことを確認します。
Oktaからユーザーを招待するか、プッシュグループとしてプロビジョニングされたグループにユーザーを割り当てると、OktaはKeeperにリクエストを送信して、ユーザーを招待するか、ユーザーをチームに追加するか、チームを作成します。
ユーザーがKeeperにまだ存在しない場合は、サインアップへの招待を受け取ります (または、ジャストインタイムプロビジョニングを使用できます)。
ユーザーがKeeperアカウントを作成した後、次のいずれかのことが起こるまで、ユーザーはKeeperチームに割り当てられません。 (a) 管理者が管理コンソールにログイン > 管理画面から「完全同期」をクリックします。 (b) 関連チームのユーザーがWebボルトまたはデスクトップアプリにログインします。 (c) 管理者はKeeper Commander からチーム承認を実行します。 SCIMを介してチームとユーザーを即座に作成できない理由は、暗号化モデルとユーザー間で秘密キーを共有する必要があるためです。暗号化キー(チームキーなど)の共有は、ログインし、必要な秘密キーにアクセスできるユーザーのみが実行できます。
Okta エラー処理
「グループプッシュマッピングターゲットのアプリグループ xxx を更新できません: ユーザーグループ メンバーシップの更新中にエラーが発生しました... 見つかりません( Unable to update Group Push mapping target App group xxx: Error while updating user group membership... Not Found )」というエラーが表示された場合
このエラーは、Keeper Enterprise ユーザーIDが Keeperバックエンドと Okta管理者の間で異なる場合に発生する可能性があります。 これは、SCIM招待からユーザーを適切に作成せずに、Keeper側からユーザーのアカウントを削除して再作成した場合に発生する可能性があります。 この場合、Okta はユーザーの新しい Enterprise ユーザーIDを知りません。
この問題を解決するには、Keeperへのアプリケーション割り当てを削除し、ユーザーをKeeperアプリケーションに再割り当てするだけです。
SAML 2.0を使用したユーザー認証
リアルタイム認証については、Okta + Keeper SSO Connectガイドを参照してください。
Last updated