Ctrlk
HomepageSystem Status
For the complete documentation index, see llms.txt. This page is also available as Markdown.

Oktaでのプロビジョニング

Oktaプラットフォームを利用したSAML 2.0認証およびSCIMプロビジョニング

概要

本ページでは、SCIMを使用したOkta自動プロビジョニングを取り扱います。設定の前に、まずリアルタイムなユーザー認証とジャストインタイムプロビジョニングを実現するSSOコネクトとOktaとの統合を有効にしておきましょう。

Okta SSOの導入手順は、クラウドSSOコネクト (推奨) のOktaをご参照ください。

プロビジョニング機能

Keeper/Oktaの自動プロビジョニングは、以下の機能に対応しています。

  • Keeperでユーザーを作成

  • ユーザー属性の更新

  • ユーザーのアクティブ化または非アクティブ化 (Keeperでのユーザーのロックまたはロック解除)

  • Keeperでチームを作成 (Oktaグループから)

  • シームレスな認証

ユーザーをプロビジョニングする場合、Oktaディレクトリは単一のKeeperノードにマッピングされます。Oktaでは、ユーザーとグループは保留状態で作成され、新規ユーザーにはKeeperアカウントの作成を案内する招待メールが送信されます。

要件

Oktaを使用したKeeperのユーザープロビジョニングを設定するには、Keeper管理コンソールとOkta管理者アカウントにアクセスする必要があります。

設定手順

Okta管理設定にKeeperを追加していない場合、[Applications] (アプリケーション) タブを選択してから [Browse App Catalog] (アプリカタログを参照) を選択し、「Keeper」を検索します。

アプリケーションの追加

Keeperの追加

Keeper管理コンソールを開き、お使いのOktaアカウントと同期させるノードに移動します。SAML 2.0認証を使用している場合、SCIMコネクタを同じノードに追加します。[メソッドを追加][SCIM] の順に選択して [次へ] をクリックします。

メソッドを追加
SCIMを選択

URLをコピーします。

URLをコピーしてOktaへ貼り付ける

Okta管理者アカウントに戻り、Okta API統合画面のBase URL (ベースURL) にKeeperのURLを貼り付けます。

ベースURLの貼り付け

次に、Keeper側で [生成] をクリックします。

[生成]をクリック

生成されたトークンを直ちにクリップボードにコピーし、[保存] をクリックします (重要)。

注: トークンをKeeperに保存する前に、Okta側で [Test] (テスト) をクリックすると、テストは失敗します。

次に、トークンをOktaコンソールに貼り付けます。

APIトークンの貼り付け

Oktaで [Save] (保存) を選択して、Keeperのプロビジョニング手順を完了します。

ユーザーのプロビジョニング

Oktaの [Provisioning] (プロビジョニング) タブで、「Provisioning to App」 (アプリへのプロビジョニング) の下にある [Edit] (編集) をクリックします。「Create Users」 (ユーザーの作成)、「Update User Attributes」 (ユーザー属性の更新)、「Deactivate Users」 (ユーザーの無効化) の各機能を有効にし、[Save] (保存) をクリックします。

プロビジョニングオプション

Oktaでアプリをユーザーに割り当て、しばらくしてからKeeper管理コンソールで [完全同期] ボタンを選択します。

ユーザー割り当て時と同じユーザー名とメールアドレスであることを確認してください。

Keeper管理コンソールでは、ユーザーは「招待済み」か「移管承認待ち」のいずれかの状態で表示されます (デフォルトのロールでボルト移管ポリシーが有効な場合)。

招待済み状態

ユーザーは招待メールを受信します (ロールポリシーで招待メールが無効の場合を除く)。招待リンクをクリックすると、Oktaでログインでき、プロビジョニングが完了します。

メールアドレスまたは法人ドメインでKeeperにログインしてサインインを完了することもできます。

ボルトのログイン

ユーザーがKeeperボルトを作成すると、管理コンソールのステータスが「有効」に変化します。

アクティブステータス

チームプロビジョニング

KeeperはOktaのプッシュグループ (Push Groups) を介したチームプロビジョニングに対応しています。

  • プッシュグループは管理コンソール内にKeeperチームとして追加される

  • プッシュグループに割り当てられたユーザーはKeeperチームに割り当てられる

  • Keeperチームを共有フォルダにプロビジョニングできる

  • チームとロールのマッピングでロールポリシーに関連付けられる

Keeperチームに対するOktaのPush Groups

チームとユーザーの承認

チームおよびチームメンバーの割り当て処理は、管理コンソール上で行うか、Keeperの自動化ツールを使用する必要があります。

ユーザーまたはチームをKeeper管理コンソールにプッシュした後、ログインするか [完全同期] をクリックして処理を承認します。

チームの承認が処理されると、画面の下部に通知が表示されます。

チームの承認
チームとユーザーの承認

チームとユーザーの承認は、KeeperオートメーターサービスKeeperコマンダーteam-approve コマンドを使用して行うこともできます。

SCIMを使用したチームとロールのマッピング

Oktaの自動プロビジョニングでは、プッシュグループをKeeperチームにマッピングします。チームごとにKeeperロールを自動的に割り当てるには、チームとロールのマッピング機能を使用します。

「ロール」画面で、チームをロールに追加します。

チームとロールのマッピング

チームとロールのマッピングでは、管理者はロールを個々のユーザーではなくチーム全体に割り当てます。各チームには、ロール適用ポリシーで異なる要件や制限を設定できます。チームとロールのマッピングは、管理者ロールでは使用できません。

既知の問題、トラブルシューティングとヒント

  • 管理コンソールでSCIMプロビジョニング方法を保存する前に「Test」 (テスト) ボタンをクリックすると、テストは失敗します。トークンをコピーしてから [保存] をクリックしてください。

  • Keeperユーザーはメールアドレスで識別されるため、OktaユーザーをKeeperアプリに割り当てるときは、ユーザー名に有効なメールアドレスが含まれていることを確かにしてください。

  • Keeper Oktaアプリケーションに割り当てられたグループは、デフォルトではKeeper内でチームとして作成されず、メンバーだけがプッシュされます。グループ全体とそのメンバーを同期するには、Keeper Oktaアプリケーションの「Push Groups」にグループを追加する必要があります。

  • Oktaからグループメンバーを同期する場合、Keeperにチームメンバーが作成されますが、すぐには表示されません。プロビジョニングされたユーザーが実際のチームメンバーになるには、ユーザーはKeeperに登録し、招待を受諾した後、Keeper管理者によるグループ加入の承認を受けるか、ウェブボルトにログインしている既存のKeeperチームメンバーによって自動承認される必要があります。

  • 新しいPush Groupを作成するときは、Oktaの管理者が少なくとも一度は手動でグループをプッシュし、グループ同期を完了させる必要があります。

チームのプロビジョニングとチームの割り当て

Oktaを使用してユーザーとチームのSCIMプロビジョニングを設定する場合は、以下の点を確認してください。

  • SAMLアプリケーションでOktaグループをプッシュグループとして割り当てます。

  • Oktaからユーザーを招待するか、プッシュグループとしてプロビジョニングされたグループにユーザーを割り当てると、OktaからKeeperへリクエストが送信され、ユーザーの招待、ユーザーのチームへの追加、チームの作成のいずれかを行います。

  • ユーザーがKeeperにまだ存在しない場合は、サインアップへの招待を受け取ります (または、ジャストインタイムプロビジョニングを使用できます)。

  • ユーザーがKeeperアカウントを作成した後、以下のいずれかが発生するまで、ユーザーがKeeperチームに割り当てられることはありません。 (a) 管理者が管理コンソールにログインし、管理画面で [完全同期] をクリックする (b) 関連チームのユーザーがウェブボルトまたはデスクトップアプリにログインする (c) 管理者がKeeperコマンダーで team-approve コマンドを実行する 暗号化キー (チームキーなど) を共有できるのは、ログイン済みで必要な秘密キーにアクセスできるユーザーのみです。

  • Keeperオートメーターサービス (バージョン3.2現在) では、チームとチーム割り当てを即時承認できます。詳細はKeeperオートメーターサービスをご参照ください。

Oktaエラー処理

Unable to update Group Push mapping target App group xxx: Error while updating user group membership... Not Found」 (グループプッシュマッピングターゲットのアプリグループ xxx を更新できません: ユーザーグループ メンバーシップの更新中にエラーが発生しました... 見つかりません) というエラーが表示された場合

  • このエラーは、KeeperエンタープライズユーザーIDがKeeperバックエンドとOkta管理者の間で異なる場合に発生することがあります。SCIM招待からユーザーを作成せずにKeeper側でアカウントを削除して再作成した場合などに起こります。この状態では、Okta側にユーザーの新しいエンタープライズユーザーIDが反映されていません。

  • この問題を解決するには、Keeperへのアプリケーション割り当てを削除し、ユーザーをKeeperアプリケーションに割り当て直します。

割り当ての削除
Keeperの再割り当て
グループメンバーシップをプッシュ

SAML 2.0を使用したユーザー認証

サインオン認証の手順は以下をご参照ください。

  • クラウドSSOコネクト: Okta (推奨)

  • オンプレミスSSOコネクト: Oktaの設定

前へSCIM APIプロビジョニングの使用次へEntra ID / Azure ADでのプロビジョニング

最終更新