> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/enterprise-guide/jp/user-and-team-provisioning/okta-integration-with-saml-and-scim.md). # Oktaでのプロビジョニング ## **概要** 本ページでは、SCIMを使用したOkta自動プロビジョニングを取り扱います。設定の前に、まずリアルタイムなユーザー認証とジャストインタイムプロビジョニングを実現するSSOコネクトとOktaとの統合を有効にしておきましょう。 {% hint style="info" %} Okta SSOの導入手順は、クラウドSSOコネクト (推奨) の[Okta](/sso-connect-cloud/jp/identity-provider-setup/okta-keeper.md)をご参照ください。 {% endhint %} ## **プロビジョニング機能** Keeper/Oktaの自動プロビジョニングは、以下の機能に対応しています。 * Keeperでユーザーを作成 * ユーザー属性の更新 * ユーザーのアクティブ化または非アクティブ化 (Keeperでのユーザーのロックまたはロック解除) * Keeperでチームを作成 (Oktaグループから) * シームレスな認証ユーザーをプロビジョニングする場合、Oktaディレクトリは単一のKeeperノードにマッピングされます。Oktaでは、ユーザーとグループは保留状態で作成され、新規ユーザーにはKeeperアカウントの作成を案内する招待メールが送信されます。 ## **要件** Oktaを使用したKeeperのユーザープロビジョニングを設定するには、Keeper管理コンソールとOkta管理者アカウントにアクセスする必要があります。 ## **設定手順** Okta管理設定にKeeperを追加していない場合、**\[Applications]** (アプリケーション) タブを選択してから **\[Browse App Catalog]** (アプリカタログを参照) を選択し、「Keeper」を検索します。アプリケーションの追加

![Keeperの追加](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FDS7ZXo7IH6Je1Sx61Zq2%2Fspaces_-LO5CAzpxoaEquZJBpYz_uploads_y5ozpCP3EhtSdfCNMOYq_Screen%20Shot%202021-11-12%20at%206.webp?alt=media\&token=9db9a1d3-fe38-461e-962c-92ab02ff7bc6) Keeper管理コンソールを開き、お使いのOktaアカウントと同期させるノードに移動します。SAML 2.0認証を使用している場合、SCIMコネクタを同じノードに追加します。**\[メソッドを追加]** 、**\[SCIM]** の順に選択して **\[次へ]** をクリックします。

![SCIMを選択](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FqBAkZ3uOVtlhAKxFVRc6%2FJP_SCIM.png?alt=media\&token=ecfc7ccf-23b1-461f-835d-acc8ca59b032) **URL**をコピーします。

Okta管理者アカウントに戻り、Okta API統合画面の**Base URL** (ベースURL) にKeeperのURLを貼り付けます。 ![ベースURLの貼り付け](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FnpwYbbCxvKha0vft734g%2Fspaces_-LO5CAzpxoaEquZJBpYz_uploads_Cs6H9BVT0In3Jw8pWXHa_Screen%20Shot%202021-11-12%20at%209.webp?alt=media\&token=66887e4d-b37a-48a2-b965-c4571ef7c454) 次に、Keeper側で **\[生成]** をクリックします。 ![\[生成\]をクリック](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FQd1SXSD3KLMUFDO7iH9z%2FJP_SCIM%EF%BC%BFGenerate.png?alt=media\&token=f524a405-4a97-4829-b85f-c82b1a2cc31e) 生成されたトークンを直ちにクリップボードにコピーし、**\[保存]** をクリックします (重要)。注: トークンをKeeperに保存する前に、Okta側で **\[Test]** (テスト) をクリックすると、テストは失敗します。次に、トークンをOktaコンソールに貼り付けます。 ![APIトークンの貼り付け](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FyVIlqcukxyXopArCkcqs%2Fspaces_-LO5CAzpxoaEquZJBpYz_uploads_gfzpqjS1VaVMRrI7oCpa_Screen%20Shot%202021-11-12%20at%209.webp?alt=media\&token=809289af-a5d9-4df6-a19a-83b824109531) Oktaで **\[Save]** (保存) を選択して、Keeperのプロビジョニング手順を完了します。 ## ユーザーのプロビジョニング Oktaの **\[Provisioning]** (プロビジョニング) タブで、「Provisioning to App」 (アプリへのプロビジョニング) の下にある **\[Edit]** (編集) をクリックします。「Create Users」 (ユーザーの作成)、「Update User Attributes」 (ユーザー属性の更新)、「Deactivate Users」 (ユーザーの無効化) の各機能を有効にし、**\[Save]** (保存) をクリックします。 ![プロビジョニングオプション](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FcT0S2mSna14r1RPyoEFK%2Fspaces_-LO5CAzpxoaEquZJBpYz_uploads_ZfPDU58ZM64ePVd8VWAV_Screen%20Shot%202021-11-12%20at%209.webp?alt=media\&token=d1946fdf-3973-407e-83f0-fd0b38d62d84) Oktaでアプリをユーザーに割り当て、しばらくしてからKeeper管理コンソールで **\[完全同期]** ボタンを選択します。ユーザー割り当て時と同じユーザー名とメールアドレスであることを確認してください。

Keeper管理コンソールでは、ユーザーは「招待済み」か「移管承認待ち」のいずれかの状態で表示されます (デフォルトのロールでボルト移管ポリシーが有効な場合)。 ![招待済み状態](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FOObUtNPsOM0DmwrpvqWE%2Fspaces_-LO5CAzpxoaEquZJBpYz_uploads_git-blob-8b8554137ee229cd3e853ede3b43ab9a43fd89a6_Screen%20Shot%202021-11-12%20at%209.webp?alt=media\&token=c202ae35-4cb0-4f76-a4db-813156ac183d) ユーザーは招待メールを受信します (ロールポリシーで招待メールが無効の場合を除く)。招待リンクをクリックすると、Oktaでログインでき、プロビジョニングが完了します。メールアドレスまたは法人ドメインでKeeperにログインしてサインインを完了することもできます。 ![ボルトのログイン](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FR7UCJO07b9DsM2w69snv%2FJP_SSOvaultlogin.png?alt=media\&token=34cc0201-e0ef-4ddd-808d-0272c5e868ae) ユーザーがKeeperボルトを作成すると、管理コンソールのステータスが「有効」に変化します。 ![アクティブステータス](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FbHezFhbFSYWykoZEJwXL%2FJP_SSOOkta_User.png?alt=media\&token=9dda1505-5370-4da5-9198-610bcf47c722) ## **チームプロビジョニング** KeeperはOktaのプッシュグループ (Push Groups) を介したチームプロビジョニングに対応しています。 * プッシュグループは管理コンソール内にKeeperチームとして追加される * プッシュグループに割り当てられたユーザーはKeeperチームに割り当てられる * Keeperチームを共有フォルダにプロビジョニングできる * チームとロールのマッピングでロールポリシーに関連付けられる ![Keeperチームに対するOktaのPush Groups](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FufU70Af0DfzgIAL1jQ9A%2Fspaces_-LO5CAzpxoaEquZJBpYz_uploads_git-blob-a9d52f5a8ff7aea542dd89ab7e21ab268abc2a7b_Screen%20Shot%202021-11-12%20at%2011.webp?alt=media\&token=17e4a9ee-01a5-414f-ac81-4dbeb313ba9c) ## **チームとユーザーの承認** チームおよびチームメンバーの割り当て処理は、管理コンソール上で行うか、Keeperの自動化ツールを使用する必要があります。ユーザーまたはチームをKeeper管理コンソールにプッシュした後、ログインするか **\[完全同期]** をクリックして処理を承認します。チームの承認が処理されると、画面の下部に通知が表示されます。

![チームとユーザーの承認](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FXumjTtmpzcJr4U9XdXEg%2Fspaces_-LO5CAzpxoaEquZJBpYz_uploads_git-blob-03d9d26c5031a214e7d63977ab7a6c8d2e397b70_Screen%20Shot%202021-11-12%20at%2011.webp?alt=media\&token=e5a69692-ecb4-42d0-b86b-2648866c9e12) チームとユーザーの承認は、[Keeperオートメーターサービス](/sso-connect-cloud/jp/device-approvals/automator.md)や[Keeperコマンダー](/keeperpam/jp/commander-cli/command-reference/enterprise-management-commands.md#team-approve-command)で `team-approve` コマンドを使用して行うこともできます。 ## **SCIMを使用したチームとロールのマッピング** Oktaの自動プロビジョニングでは、プッシュグループをKeeperチームにマッピングします。チームごとにKeeperロールを自動的に割り当てるには、チームとロールのマッピング機能を使用します。「ロール」画面で、チームをロールに追加します。 ![チームとロールのマッピング](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FHwuXCIa2ks3LyPI68CDs%2FJP_Team%20to%20Role%20Mapping.png?alt=media\&token=aa50c22e-4faf-43bf-8f78-2e641dd2d4e9) チームとロールのマッピングでは、管理者はロールを個々のユーザーではなくチーム全体に割り当てます。各チームには、ロール適用ポリシーで異なる要件や制限を設定できます。チームとロールのマッピングは、管理者ロールでは使用できません。 ## **既知の問題、トラブルシューティングとヒント** * 管理コンソールでSCIMプロビジョニング方法を保存する前に「Test」 (テスト) ボタンをクリックすると、テストは失敗します。トークンをコピーしてから **\[保存]** をクリックしてください。 * Keeperユーザーはメールアドレスで識別されるため、OktaユーザーをKeeperアプリに割り当てるときは、ユーザー名に有効なメールアドレスが含まれていることを確かにしてください。 * Keeper Oktaアプリケーションに割り当てられたグループは、デフォルトではKeeper内でチームとして作成されず、メンバーだけがプッシュされます。グループ全体とそのメンバーを同期するには、Keeper Oktaアプリケーションの「Push Groups」にグループを追加する必要があります。 * Oktaからグループメンバーを同期する場合、Keeperにチームメンバーが作成されますが、すぐには表示されません。プロビジョニングされたユーザーが実際のチームメンバーになるには、ユーザーはKeeperに登録し、招待を受諾した後、Keeper管理者によるグループ加入の承認を受けるか、ウェブボルトにログインしている既存のKeeperチームメンバーによって自動承認される必要があります。 * 新しいPush Groupを作成するときは、Oktaの管理者が少なくとも一度は手動でグループをプッシュし、グループ同期を完了させる必要があります。 ### チームのプロビジョニングとチームの割り当て Oktaを使用してユーザーとチームのSCIMプロビジョニングを設定する場合は、以下の点を確認してください。 * SAMLアプリケーションでOktaグループをプッシュグループとして割り当てます。 * Oktaからユーザーを招待するか、プッシュグループとしてプロビジョニングされたグループにユーザーを割り当てると、OktaからKeeperへリクエストが送信され、ユーザーの招待、ユーザーのチームへの追加、チームの作成のいずれかを行います。 * ユーザーがKeeperにまだ存在しない場合は、サインアップへの招待を受け取ります (または、ジャストインタイムプロビジョニングを使用できます)。 * ユーザーがKeeperアカウントを作成した後、以下のいずれかが発生するまで、ユーザーがKeeperチームに割り当てられることはありません。\ \ (a) 管理者が管理コンソールにログインし、管理画面で **\[完全同期]** をクリックする\ (b) 関連チームのユーザーがウェブボルトまたはデスクトップアプリにログインする\ (c) 管理者がKeeperコマンダーで `team-approve` コマンドを実行する\ \ 暗号化キー (チームキーなど) を共有できるのは、ログイン済みで必要な秘密キーにアクセスできるユーザーのみです。 * Keeperオートメーターサービス (バージョン3.2現在) では、チームとチーム割り当てを即時承認できます。詳細は[Keeperオートメーターサービス](/sso-connect-cloud/jp/device-approvals/automator.md)をご参照ください。 ## Oktaエラー処理「**Unable to update Group Push mapping target App group xxx: Error while updating user group membership... Not Found**」 (グループプッシュマッピングターゲットのアプリグループ xxx を更新できません: ユーザーグループメンバーシップの更新中にエラーが発生しました... 見つかりません) というエラーが表示された場合

* このエラーは、KeeperエンタープライズユーザーIDがKeeperバックエンドとOkta管理者の間で異なる場合に発生することがあります。SCIM招待からユーザーを作成せずにKeeper側でアカウントを削除して再作成した場合などに起こります。この状態では、Okta側にユーザーの新しいエンタープライズユーザーIDが反映されていません。 * この問題を解決するには、Keeperへのアプリケーション割り当てを削除し、ユーザーをKeeperアプリケーションに割り当て直します。

## SAML 2.0を使用したユーザー認証サインオン認証の手順は以下をご参照ください。 * クラウドSSOコネクト: [Okta](/sso-connect-cloud/jp/identity-provider-setup/okta-keeper.md) (推奨) * オンプレミスSSOコネクト: [Oktaの設定](/sso-connect-on-prem/jp/identity-provider-setup/okta-configuration.md) --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/enterprise-guide/jp/user-and-team-provisioning/okta-integration-with-saml-and-scim.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.