SCIMを使用したOneLoginのプロビジョニング

概要

Keeper Enterpriseでは、OneLoginとの統合をサポートしており、SCIM（System for Cross-Domain Identity Management）プロトコルを使用したユーザーの自動プロビジョニングを備えています。SCIMは、IDプロバイダ（OneLoginなど）やサービスプロバイダ（Keeperなど）間で、ユーザープロビジョニングの自動化を実現するオープンスタンダードです。

IDサービスにOneLoginを利用する企業は、KeeperのEPMソリューションを簡単にユーザーに展開することが可能で、手動によるプロビジョニングは不要です。OneLoginでKeeper Enterpriseの自動プロビジョニングを有効化している場合、OneLoginで作成/変更/削除されたすべてのユーザーは、Keeperで自動的に追加/編集/削除されます。

ユーザーのプロビジョニングやデプロイに加えて、Keeper EnterpriseはOneLoginを使用したゼロ知識証明のSAML 2.0準拠の認証を備えており、シームレスでスムーズなアクセスが可能です。

Keeper EnterpriseをOneLoginに統合することで、あらゆる規模の組織が、自身のパスワードや機密情報を、暗号化ボルト内に保護することができます。SSOを導入時にKeeper Enterpriseを統合することで、サイバーセキュリティの観点で不可欠な重要なセキュリティと機能との間の以下のギャップを埋めることができます。

• SAML以外のアプリケーションやWebサイトを保護したり、強力なパスワードを生成する

• 完全なエンドツーエンドな暗号化を備えたゼロ知識セキュリティアーキテクチャの実装

• SSH鍵、デジタル証明書、その他の認証情報を保管する

• 組織全体、つまりすべての従業員があらゆる Webサイト、アプリケーション、システムのすべてのデバイスでパスワードコンプライアンスやポリシーベースのアクセス管理を運用します。

• 金融、ビジネス、ソーシャルメディア、または他の重要サービスの共有パスワードを管理

ユーザー暗号化キーはKeeper SSO Connectで動的に生成され、ローカルにインストールされているサーバーに暗号化して保存されるため、お客様は、デジタルボルトの暗号化・復号化に使用する暗号化キーを完全に管理できます。

SSO+SCIMの構成 - アプリケーションコネクタ

OneLoginは、カタログ内にビルトインのKeeperアプリケーションが含まれており、SSOとSCIMの両方の統合をサポートします。

API Connectステータスが有効（Enabled）になったら、Provisioning（プロビジョニング）セクションに移動し、「プロビジョニングの有効化（Enable provisioning）」のチェックボックスをオンにします。

アプリケーションにユーザーを追加します。

ユーザーをOneloginのKeeper Password Managerコネクタに追加するには、いくつかの方法があります。 ユーザーのアカウントにアプリケーションを追加したり、ロールにユーザーを追加することが可能です。また、OneLoginのアプリケーションのアクセス（Access）セクションを利用すると、アプリケーションにロールを追加できます。 ユーザーが追加された後、SCIMからKeeperにリクエストを送信するには、OneLoginの管理者は、Keeper Password Managerアプリケーションコネクタのユーザー（Users）セクションに移動し、「保留中（Pending）」ステータスをクリックしてユーザーを承認することで、変更を承認する必要があります。 また、承認リンクへのアクセスは、ユーザー（Users）のOneLoginプロファイルのアプリケーション（Applications）セクションに移動し、「保留中（Pending）」ステータスをクリックしても行えます。承認（Approve）ボタンをクリックすると、ユーザーをOneLoginからKeeperにプロビジョニングすることができます。

ユーザーのステータスが、「保留中（Pending）」から「プロビジョニング済み（Provisioned）」に変化することを確認します。

OneLoginロールとKeeperチームのマッピングを有効化

パラメータ（Parameters）セクションのオプションパラメータ（Optional Parameters）セクションで、グループ（Groups）をクリックします。 グループフィールドの編集（Edit Fields Group）ポップアップで、「ユーザープロビジョニングに含める（Include in User Provisioning）」を選択します。

保存（save）をクリックし、グループ（Groups）のステータスが有効（Enabled）に変化していることを確認します。 次に、アプリケーションコネクタのルール（Rules）セクションに移動し、「ルールの追加（Add Rules）」ボタンを選択します。

ルール名は、「ロールからチームを作成（Create Team from Role）」のように名前を付けます。 アクション（Actions）セクションのプルダウンで、「Keeper Password Managerのグループを設定（Set Groups in Keeper Password Manager）」を選択します。次に、プルダウンから「ロール（role）」を選択（または検索）し、一致するテキストには「.*」（ドットアスタリスク）を追加します。

SCIMのみの構成

SCIMのみの構成の場合、次のOneLoginの手順を参照してください: https://developers.onelogin.com/scim。

アプリケーションの構成（Configuration）ページで、以下のSCIM JSONテンプレートを使用します（Keeperのユーザー名は有効なメールアドレスである必要があります）。

{
    "schemas": [
        "urn:scim:schemas:core:1.0"
    ],
    "userName": "{$user.email}",
    "displayName": "{$user.display_name}"
}

管理コンソールで、SCIMベースのURLとSCIMベアラトークンを取得します。

カスタムヘッダ（Custom Headers）セクションに次の行を追加します。

Content-Type: application/scim+json

プロビジョニングを有効化すると、構成は、以下の画面キャプチャのように表示されます。

SCIMを使用したチームとロールのマッピング

チームとロールのマッピングを使用するには、管理者は個々のユーザーに対してではなく、単にロールを「チーム」全体に割り当てるだけであり、ロール強制を使用して、各チームに異なる要件や制限を設定できます。

通常、OneLoginなどのSCIMを使用するIDプロバイダは、チームへのユーザーの割り当てに対応していますが、カスタムロールの割り当ては、ユーザー単位でのみ行われます。SCIMを使用してプロビジョニングされたチームやユーザーには、デフォルトのロールが適用されますが、SCIMでプロビジョニングされたチームを、別の事前定義されたロールにマッピングすることはできません。チームとロールをマッピングすることで、既存のIDプロバイダを使用して、カスタムロールの割り当てが可能なチームにユーザーを直接割り当てることができます。

固有のグループ名

OneLoginには、SCIMシステムとのタイミングの問題があると思われます。そのため、複数のリクエストを同時に送信し、同一のグループが作成される場合があります。通常、Keeperは、グループ名（Group Name）が同一であっても新規グループを受け入れます。

重複したグループ名による問題が発生した場合、Keeperにご連絡ください。SCIM接続にフラグを設定し、固有の名前が強制されるようにします。