# 認証フローV3
脅威環境の変化やお客様のニーズに合わせ、ボルトの認証まわりのセキュリティと機能を継続的に高めています。
2020年から、ゼロ知識方式の認証をさらに強化する**Login API version 3**を提供しています。このAPIは使いやすさと安全性の両方を底上げし、今後追加する機能の土台にもなります。
## 操作性・セキュリティ・機能の更新
ログインAPIの主な変更点は次のとおりです。
### **新しいログイン画面**
ログイン画面がすっきりし、メールアドレスで始めるか、法人SSOログインで続けるかを選べます。
**SSOユーザーの場合** メールアドレスのドメインがSSO対応と判別されると、法人ドメイン名を改めて入力しなくても、該当するIDプロバイダーへ進みます。なお、この自動転送は、SSOノードでジャストインタイム (JIT) プロビジョニングが有効なときに限って行われます。
**法人SSOログイン**については、「法人ドメイン」名を使ってログインしている既存のSSOユーザーが引き続き利用できます。
**マスターパスワードログイン**は、ボルトで代替マスターパスワードを作成したSSOユーザー向けのログイン経路です。この機能 (SSOマスターパスワード) を使うには、Keeper管理者がロールポリシーで有効にする必要があります。
### マスターパスワード入力前の2要素認証
**マスターパスワードユーザーの場合** デバイスが登録済みで2要素認証が有効なときは、マスターパスワードを入力する**前に**2要素認証の画面が表示されます。2要素認証を完了するまで、マスターパスワードによるログインは受け付けられません。
{% hint style="info" %}
2要素認証の手続きに進めるのは、承認済みデバイスのみです。未承認のデバイスには2要素認証を求めません。端末が承認されていないときは、アカウントの有無も外部からわからないようにしています。
{% endhint %}
{% hint style="warning" %}
手順の順番が変わります。マスターパスワードの前に、2要素認証の画面が表示されます。
{% endhint %}
### デバイスの**承認**
未承認デバイスからボルトを開けないようにするのが、Keeperのデバイス検証です。次のいずれかに該当するとデバイスは「承認」され、そのうえでログインを試みられます。
* ユーザーが以前にこのデバイスでのログインを承認している
* WAN IPアドレスをユーザーが承認済み (設定 (Settings) > セキュリティ (Security) > 確認済みIPアドレスからのデバイスを自動承認 (Auto-Approve Devices from Recognized IP) で制御) \*
* ユーザーが、チームのメンバーによって事前に承認されたデバイス上にいるエンタープライズのメンバーである
* ユーザーがSAMLのIDプロバイダーに正常にログインしている
* ユーザーが登録したデバイスから2要素認証コードを入力する
承認が得られるまでログインはできません。
デバイス承認のあと、2要素認証が有効なユーザーは、マスターパスワードを入力する前に2要素認証を完了させる必要があります。\
\
この順序により、不正なログイン試行やマスターパスワードの総当たりから身を守れます。マスターパスワードの試行は10回までに制限され、それを超えるとしばらく追加の試行ができません。
(\*) IPアドレスに基づく承認は、マスターパスワードでログインするユーザーに対してのみ機能します。クラウドSSOコネクトでログインするユーザーは、新しいデバイスごとにKeeper Pushまたは管理者による承認が必要です。
**その他のデバイス検証方法**\
\
デバイス認証を完了しないと、アカウントにはログインできません。検証には次の手段があります。
* メール認証コード
* TOTPまたはSMS通知から2要素認証コードを入力する
* 認識されたデバイスにKeeper Push™メッセージを送信する
**自動IPデバイス承認制御**
IPアドレスに基づくデバイス承認は、Keeperボルトの **設定** > **セキュリティ** > **確認済みIPアドレスからのデバイスを自動承認** でユーザーが有効または無効にできます。
**Keeper Push™によるデバイス承認**
Keeper独自の通知\*\*Keeper Push™\*\*により、新しいデバイスを承認できます。既定では未登録デバイスはメールで承認します。メールが使えない場合は、ほかの手段も選べます。
* マスターパスワードでログインするユーザーは、Keeper Pushを使用して新しいデバイスを承認できます。メールは不要です。
* クラウドSSOコネクトでログインするエンタープライズユーザー向けには、Keeper Pushでデバイス間の安全な認証や秘密鍵の受け渡しができます。既存のIDプロバイダーとの連携を保ちつつ、端末上ではゼロ知識暗号化を維持します。
* ほかのデバイスがすべて使えなくなった場合でも、エンタープライズのSSOユーザーはKeeper Push経由で管理者に新しいデバイスの承認を依頼できます。管理者は管理コンソールから承認できます。
* Keeper Pushで承認できるのは、すでにKeeperアカウントにログインできているデバイスからに限られます。
### Keeper Pushのデモ動画
マスターパスワードでログインする例 (Keeper Push)
{% embed url="" %}
SSOでログインする例 (Keeper Push)
{% embed url="" %}
### SSO (ドメイン) のルーティング
**「SSO用ドメイン」を覚えなくてよくなった**
メールアドレスを入力するだけで、Keeperが適切なIDプロバイダーへ案内します。エンタープライズ向けに長く要望のあった動きです。セキュリティのため、個々のメール全体ではなくドメイン単位で振り分けます。
{% hint style="info" %}
Keeper管理コンソールでSSOをジャストインタイム (JIT) プロビジョニング付きで設定し、そのSSOでプロビジョニングされたノードにユーザーが所属している場合、既定では自動的にIDプロバイダーへ送られます。
{% endhint %}
**オフライン作業モード**
インターネット未接続のまま「オフライン作業」モードでボルトを開けるようになりました (エンタープライズ管理者の許可が必要)。このモードはエンタープライズ (ビジネス) 向けの環境にのみ提供されます。
オンラインモードに戻すには、右上の「オンラインモードへ変更」をクリックします。
**Keeper クラウドSSOコネクトのサポート**
KeeperのログインAPIは、Office 365/Azure、Okta、JumpCloud、ADFS、Ping Identity、OneLogin、そのほかSAML 2.0対応のIDプロバイダーと、クラウド上だけで完結する連携ができます。これを **Keeper クラウドSSOコネクト** と呼びます。\
\
クラウドSSOコネクトの詳細は、次のドキュメントをご覧ください。\
[Keeper クラウドSSOコネクトのドキュメント](https://docs.keeper.io/sso-connect-cloud/jp/)
**マスターパスワードへの依存度の低減**
新しいログインAPIは、認証ハッシュを出すたびにマスターパスワードをローカルで求めるのではなく、サーバー側で扱うセッショントークン (必要に応じてメモリ上に保持) を中心に据えます。そこから次のような使い勝手が出せます。
* 複数デバイスでのセッション管理
* ブラウザやPCを再起動しても続きから使えるセッション再開 (「ログイン状態を維持」)
* デバイス間のリンク (デスクトップアプリとブラウザ拡張に同時ログインするなど)
* セッションの管理・再開・再認証でマスターパスワードに頼りすぎない運用
**楕円曲線暗号のサポート**
クラウドSSOコネクトは、端末上で生成した楕円曲線暗号 (ECC) の鍵ペアを使い、ゼロ知識を保ったままSSOのIDプロバイダーと接続します。\
\
クラウドSSOコネクトに関するセキュリティの詳細は、次のページを参照してください。\
[セキュリティとユーザーフロー (クラウドSSOコネクト)](/sso-connect-cloud/jp/security-and-user-flow.md)
### ユーザー体験
手順の全体像をフローチャートで示します。SSO/SAML (IdP) を使うかどうかで流れが変わります (例: Okta、Microsoft Azure) 。組織でSSOを使っている場合は、Keeper専用のマスターパスワードではなく、SSOの認証でボルトに入ります。
### **アカウント作成フロー**
### **(既存アカウントへの) ログインフロー**
.png?alt=media&token=c40a9b3b-c353-48cb-a14f-78857d893085)
### FAQ
**Q. ログインできません**\
A. ログインに問題がある場合は、次の操作を試してください。
1. ウェブページをハード再読み込み (Shift+再読み込み、またはキャッシュ削除) し、表示しているウェブボルトまたは管理コンソールが最新であることを確認します。
2. 正しいデータセンターからKeeperにログインしていることを確認します。\
以下に例を示します。
ボルト/USデータセンター \
ボルト/米国政府クラウドデータセンター \
ボルト/EUデータセンター \
ボルト/AUデータセンター \
ボルト/カナダデータセンター \
ボルト/日本データセンター
コンソール/USデータセンター \
コンソール/米国政府クラウドデータセンター \
コンソール/EUデータセンター \
コンソール/AUデータセンター \
コンソール/カナダデータセンター \
コンソール/日本データセンター \
\
間違ったデータセンターにログインしようとすると、「アカウントが存在しません」というメールが届いたり、エラーが表示されることがあります。\
\
**Q. ログイン画面からIDプロバイダーへ進みますが、SSOは使いたくありません。**\
A. アカウントがSSO向けに設定されたノードに属していると、Keeperのログイン画面からそのままSSOの認証へ進みます。
1. Keeperに未使用または設定ミスのSSOノードがある場合、ユーザーがリダイレクトされる可能性があります。この問題を解決するには、エンタープライズサポートにお問い合わせください。
2. ウェブボルトにSSOマスターパスワードでログインするには、「法人SSOログイン」をクリックし、「マスターパスワードログイン」をクリックします。この画面では、SSOマスターパスワードでログインできます (ロールポリシーで許可されており、あらかじめ設定されている場合) 。
**Q. マスターパスワードより前の2要素認証だけで、アカウントに入れますか?**\
A. いいえ。承認済みのデバイスからのみログイン手続きに進められます。IPベースのデバイス承認を有効にしている場合は、その条件も満たす必要があります。
**Q. 外部の誰かがアカウントにログインして、2要素認証コードでスパムを送ることはできますか?**\
A. いいえ。承認されたデバイスと外部IPアドレス (IPベースのデバイス承認が有効な場合) のみが、ログイン手順に進んで2要素認証コードを要求できます。また、Keeperのデバイス承認も2要素認証方式で行えますが、その方法はユーザーに開示しておらず、アカウントの存在を示すものではありません。
**Q. IPベースのデバイス承認を無効にする方法を教えてください。**\
A. Keeperボルト設定 (Keeper Vault settings) > セキュリティ (Security) 画面で、自動IP承認をオフにします。
**Q. マスターパスワードの前に2要素認証を置くことで、セキュリティにどのような影響がありますか?**\
A. 承認されたデバイスのみがログインを試せます。先に2要素認証を済ませるため、マスターパスワードの総当たりを試みにくくなっています。AWSなど多くのクラウドサービスも、同様の考え方のフローを採用しており、パスワードの当てずっぽうやアカウント列挙を抑止する有効な設計です。
**Q. 外部ユーザーとして新しいログインフローをテストするにはどうすればよいですか?**\
A. 通常使っている環境とは別の、未承認のデバイスとネットワークからボルトを開いてみてください。たとえばスマートフォンのテザリングに切り替え、シークレット (プライベート) ウィンドウでアクセスすると、初回ログインの挙動を確認しやすくなります。
### お問い合わせ
稼働状況の監視やアラート通知の登録は、[Keeperのステータスページ](https://statuspage.keeper.io/)から行えます。\
\
サポートが必要なときはにメールするか、[Keeperのサポートページ](https://www.keepersecurity.com/support.html)からチケットを起票してください。
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.keeper.io/enterprise-guide/jp/login-api.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.