Ctrlk
HomepageSystem Status
For the complete documentation index, see llms.txt. This page is also available as Markdown.

認証フローV3

Keeperのログインおよび認証フローのバージョン3: 高度な認証とボルトセキュリティ

ボルトログイン画面

脅威環境の変化やお客様のニーズに合わせ、ボルトの認証まわりのセキュリティと機能を継続的に高めています。

2020年から、ゼロ知識方式の認証をさらに強化するLogin API version 3を提供しています。このAPIは使いやすさと安全性の両方を底上げし、今後追加する機能の土台にもなります。

操作性・セキュリティ・機能の更新

ログインAPIの主な変更点は次のとおりです。

新しいログイン画面

ログイン画面がすっきりし、メールアドレスで始めるか、法人SSOログインで続けるかを選べます。

新しいログイン画面

SSOユーザーの場合 メールアドレスのドメインがSSO対応と判別されると、法人ドメイン名を改めて入力しなくても、該当するIDプロバイダーへ進みます。なお、この自動転送は、SSOノードでジャストインタイム (JIT) プロビジョニングが有効なときに限って行われます。

法人SSOログインについては、「法人ドメイン」名を使ってログインしている既存のSSOユーザーが引き続き利用できます。

マスターパスワードログインは、ボルトで代替マスターパスワードを作成したSSOユーザー向けのログイン経路です。この機能 (SSOマスターパスワード) を使うには、Keeper管理者がロールポリシーで有効にする必要があります。

マスターパスワード入力前の2要素認証

マスターパスワードユーザーの場合 デバイスが登録済みで2要素認証が有効なときは、マスターパスワードを入力する前に2要素認証の画面が表示されます。2要素認証を完了するまで、マスターパスワードによるログインは受け付けられません。

2要素認証の手続きに進めるのは、承認済みデバイスのみです。未承認のデバイスには2要素認証を求めません。端末が承認されていないときは、アカウントの有無も外部からわからないようにしています。

手順の順番が変わります。マスターパスワードの前に、2要素認証の画面が表示されます。

デバイスの承認

未承認デバイスからボルトを開けないようにするのが、Keeperのデバイス検証です。次のいずれかに該当するとデバイスは「承認」され、そのうえでログインを試みられます。

  • ユーザーが以前にこのデバイスでのログインを承認している

  • WAN IPアドレスをユーザーが承認済み (設定 (Settings) > セキュリティ (Security) > 確認済みIPアドレスからのデバイスを自動承認 (Auto-Approve Devices from Recognized IP) で制御) *

  • ユーザーが、チームのメンバーによって事前に承認されたデバイス上にいるエンタープライズのメンバーである

  • ユーザーがSAMLのIDプロバイダーに正常にログインしている

  • ユーザーが登録したデバイスから2要素認証コードを入力する

承認が得られるまでログインはできません。

デバイス承認のあと、2要素認証が有効なユーザーは、マスターパスワードを入力する前に2要素認証を完了させる必要があります。 この順序により、不正なログイン試行やマスターパスワードの総当たりから身を守れます。マスターパスワードの試行は10回までに制限され、それを超えるとしばらく追加の試行ができません。

(*) IPアドレスに基づく承認は、マスターパスワードでログインするユーザーに対してのみ機能します。クラウドSSOコネクトでログインするユーザーは、新しいデバイスごとにKeeper Pushまたは管理者による承認が必要です。

その他のデバイス検証方法 デバイス認証を完了しないと、アカウントにはログインできません。検証には次の手段があります。

  • メール認証コード

  • TOTPまたはSMS通知から2要素認証コードを入力する

  • 認識されたデバイスにKeeper Push™メッセージを送信する

自動IPデバイス承認制御

IPアドレスに基づくデバイス承認は、Keeperボルトの 設定 > セキュリティ > 確認済みIPアドレスからのデバイスを自動承認 でユーザーが有効または無効にできます。

新しいセキュリティ機能

Keeper Push™によるデバイス承認

Keeper独自の通知**Keeper Push™**により、新しいデバイスを承認できます。既定では未登録デバイスはメールで承認します。メールが使えない場合は、ほかの手段も選べます。

デバイスの承認方法
メール、Keeper Push、2要素認証の承認方法
Keeper Push

  • マスターパスワードでログインするユーザーは、Keeper Pushを使用して新しいデバイスを承認できます。メールは不要です。

  • クラウドSSOコネクトでログインするエンタープライズユーザー向けには、Keeper Pushでデバイス間の安全な認証や秘密鍵の受け渡しができます。既存のIDプロバイダーとの連携を保ちつつ、端末上ではゼロ知識暗号化を維持します。

  • ほかのデバイスがすべて使えなくなった場合でも、エンタープライズのSSOユーザーはKeeper Push経由で管理者に新しいデバイスの承認を依頼できます。管理者は管理コンソールから承認できます。

  • Keeper Pushで承認できるのは、すでにKeeperアカウントにログインできているデバイスからに限られます。

Keeper Pushのデモ動画

マスターパスワードでログインする例 (Keeper Push)

SSOでログインする例 (Keeper Push)

SSO (ドメイン) のルーティング

「SSO用ドメイン」を覚えなくてよくなった

メールアドレスを入力するだけで、Keeperが適切なIDプロバイダーへ案内します。エンタープライズ向けに長く要望のあった動きです。セキュリティのため、個々のメール全体ではなくドメイン単位で振り分けます。

Keeper管理コンソールでSSOをジャストインタイム (JIT) プロビジョニング付きで設定し、そのSSOでプロビジョニングされたノードにユーザーが所属している場合、既定では自動的にIDプロバイダーへ送られます。

オフライン作業モード

インターネット未接続のまま「オフライン作業」モードでボルトを開けるようになりました (エンタープライズ管理者の許可が必要)。このモードはエンタープライズ (ビジネス) 向けの環境にのみ提供されます。

オフライン作業

オンラインモードに戻すには、右上の「オンラインモードへ変更」をクリックします。

オンラインにする

Keeper クラウドSSOコネクトのサポート

KeeperのログインAPIは、Office 365/Azure、Okta、JumpCloud、ADFS、Ping Identity、OneLogin、そのほかSAML 2.0対応のIDプロバイダーと、クラウド上だけで完結する連携ができます。これを Keeper クラウドSSOコネクト と呼びます。 クラウドSSOコネクトの詳細は、次のドキュメントをご覧ください。 Keeper クラウドSSOコネクトのドキュメント

マスターパスワードへの依存度の低減

新しいログインAPIは、認証ハッシュを出すたびにマスターパスワードをローカルで求めるのではなく、サーバー側で扱うセッショントークン (必要に応じてメモリ上に保持) を中心に据えます。そこから次のような使い勝手が出せます。

  • 複数デバイスでのセッション管理

  • ブラウザやPCを再起動しても続きから使えるセッション再開 (「ログイン状態を維持」)

  • デバイス間のリンク (デスクトップアプリとブラウザ拡張に同時ログインするなど)

  • セッションの管理・再開・再認証でマスターパスワードに頼りすぎない運用

楕円曲線暗号のサポート

クラウドSSOコネクトは、端末上で生成した楕円曲線暗号 (ECC) の鍵ペアを使い、ゼロ知識を保ったままSSOのIDプロバイダーと接続します。 クラウドSSOコネクトに関するセキュリティの詳細は、次のページを参照してください。 セキュリティとユーザーフロー (クラウドSSOコネクト)

ユーザー体験

手順の全体像をフローチャートで示します。SSO/SAML (IdP) を使うかどうかで流れが変わります (例: Okta、Microsoft Azure) 。組織でSSOを使っている場合は、Keeper専用のマスターパスワードではなく、SSOの認証でボルトに入ります。

アカウント作成フロー

(既存アカウントへの) ログインフロー

FAQ

Q. ログインできません A. ログインに問題がある場合は、次の操作を試してください。

  1. ウェブページをハード再読み込み (Shift+再読み込み、またはキャッシュ削除) し、表示しているウェブボルトまたは管理コンソールが最新であることを確認します。

  2. 正しいデータセンターからKeeperにログインしていることを確認します。 以下に例を示します。

ボルト/USデータセンター https://keepersecurity.com/vault ボルト/米国政府クラウドデータセンター https://govcloud.keepersecurity.us/vault ボルト/EUデータセンター https://keepersecurity.eu/vault ボルト/AUデータセンター https://keepersecurity.com.au/vault ボルト/カナダデータセンター https://keepersecurity.ca/vault ボルト/日本データセンター https://keepersecurity.jp/vault

コンソール/USデータセンター https://keepersecurity.com/console コンソール/米国政府クラウドデータセンター https://govcloud.keepersecurity.us/console コンソール/EUデータセンター https://keepersecurity.eu/console コンソール/AUデータセンター https://keepersecurity.com.au/console コンソール/カナダデータセンター https://keepersecurity.ca/console コンソール/日本データセンター https://keepersecurity.jp/console 間違ったデータセンターにログインしようとすると、「アカウントが存在しません」というメールが届いたり、エラーが表示されることがあります。 Q. ログイン画面からIDプロバイダーへ進みますが、SSOは使いたくありません。 A. アカウントがSSO向けに設定されたノードに属していると、Keeperのログイン画面からそのままSSOの認証へ進みます。

  1. Keeperに未使用または設定ミスのSSOノードがある場合、ユーザーがリダイレクトされる可能性があります。この問題を解決するには、エンタープライズサポートにお問い合わせください。

  2. ウェブボルトにSSOマスターパスワードでログインするには、「法人SSOログイン」をクリックし、「マスターパスワードログイン」をクリックします。この画面では、SSOマスターパスワードでログインできます (ロールポリシーで許可されており、あらかじめ設定されている場合) 。

Q. マスターパスワードより前の2要素認証だけで、アカウントに入れますか? A. いいえ。承認済みのデバイスからのみログイン手続きに進められます。IPベースのデバイス承認を有効にしている場合は、その条件も満たす必要があります。

Q. 外部の誰かがアカウントにログインして、2要素認証コードでスパムを送ることはできますか? A. いいえ。承認されたデバイスと外部IPアドレス (IPベースのデバイス承認が有効な場合) のみが、ログイン手順に進んで2要素認証コードを要求できます。また、Keeperのデバイス承認も2要素認証方式で行えますが、その方法はユーザーに開示しておらず、アカウントの存在を示すものではありません。

Q. IPベースのデバイス承認を無効にする方法を教えてください。 A. Keeperボルト設定 (Keeper Vault settings) > セキュリティ (Security) 画面で、自動IP承認をオフにします。

Q. マスターパスワードの前に2要素認証を置くことで、セキュリティにどのような影響がありますか? A. 承認されたデバイスのみがログインを試せます。先に2要素認証を済ませるため、マスターパスワードの総当たりを試みにくくなっています。AWSなど多くのクラウドサービスも、同様の考え方のフローを採用しており、パスワードの当てずっぽうやアカウント列挙を抑止する有効な設計です。

Q. 外部ユーザーとして新しいログインフローをテストするにはどうすればよいですか? A. 通常使っている環境とは別の、未承認のデバイスとネットワークからボルトを開いてみてください。たとえばスマートフォンのテザリングに切り替え、シークレット (プライベート) ウィンドウでアクセスすると、初回ログインの挙動を確認しやすくなります。

お問い合わせ

稼働状況の監視やアラート通知の登録は、Keeperのステータスページから行えます。 サポートが必要なときはbusiness.support@keepersecurity.comにメールするか、Keeperのサポートページからチケットを起票してください。

前へ開発者用API/SDKツール次へシークレットマネージャー

最終更新