LogoLogo
⮐ Keeper HomeAll DocumentationAdmin Console
エンタープライズガイド (企業、組織向け)
エンタープライズガイド (企業、組織向け)
  • はじめに
  • トライアルを開始
  • 資料
  • スモールビジネス (小規模組織) 向けKeeper
  • Keeperエンタープライズについて
  • 導入の概要
  • ドメインの予約
  • Keeperをエンドユーザーにデプロイ
    • Keeperデスクトップアプリケーション
      • コンピュータの起動時にKeeperを起動
    • フォースフィールド
    • KeeperFillブラウザ拡張機能
      • Mac
        • PLIST (.plist) ポリシーの展開
          • Jamf Proでのポリシーの展開 - Chrome
          • Microsoft Intuneポリシーの展開 - Chrome
      • Linux
        • JSONポリシーの展開 - Chrome
      • Windows
        • グループポリシーの展開 - Chrome
        • グループポリシーの展開 - Firefox
        • グループポリシーの展開 - Edge
        • SCCMでの展開 - Chrome
        • Intune - Chrome
        • Intune - Edge
        • Edge設定ポリシー
        • Chrome設定ポリシー
      • 仮想マシンの永続化
    • モバイルアプリケーション
      • IBM MaaS360
    • オプションの展開タスク
    • IE11信頼済みサイト
  • エンドユーザーガイド
  • Keeper管理コンソールの概要
  • ノードと組織構造
  • リスク管理ダッシュボード
  • ユーザーとチームのプロビジョニング
    • 招待メールとロゴのカスタマイズム
      • カスタムEメールでのマークダウン記法
    • 管理コンソールでの手動プロビジョニング
    • Active Directoryでのプロビジョニング
    • LDAPでのプロビジョニング
    • SSO JIT (ジャストインタイム) プロビジョニング
    • Oktaでのプロビジョニング
    • Azure / Entra IDでのプロビジョニング
    • Google Workspaceでのプロビジョニング
    • JumpCloudでのプロビジョニング
    • CloudGateでのプロビジョニング
    • OneLoginでのプロビジョニング
    • Microsoft AD FSでのプロビジョニング
    • SCIMを使用したAPIのプロビジョニング
      • SCIM APIプロビジョニングの使用
    • チームとユーザーの承認
    • メールアドレスで自動プロビジョニング
    • コマンダーSDKを使用したCLIのプロビジョニング
  • SSO/SAML認証
  • ユーザー管理とライフサイクル
  • メールアドレスの変更
  • ロール単位のアクセス権限設定
    • 強制適用ポリシー
    • セキュリティキー
  • 管理権限の委任
  • アカウント移管ポリシー
  • チーム (グループ)
  • 共有
    • レコードとファイルの共有
    • 共有フォルダ
    • PAMリソースの共有
    • ワンタイム共有
    • 共有管理機能
    • 時間制限付きアクセス
    • 自動消滅レコード
    • パスワードを隠す
  • レコードの作成
  • データのインポート
  • レコードタイプ
  • 二要素認証
  • 二要素認証コードの保存
  • セキュリティ監査
    • セキュリティ監査スコアの算出方法
  • BreachWatch (ダークウェブ)
  • ファイルストレージ
  • レポート作成、アラート、SIEM
    • イベント詳細
    • Splunk
    • Sumo Logic
    • Exabeam (LogRhythm)
    • Syslog
    • QRadar
    • Azure Sentinel
    • Azure Monitor
    • AWS S3バケット
    • Devo
    • Datadog
    • Logz.io
    • Elastic
    • ファイアウォールの設定
    • コマンダーによるオンサイトプッシュ通知
  • 推奨アラート
  • Webhooks (SlackおよびTeams)
    • Slack Webhook
    • Teams Webhook
    • Amazon Chime Webhook
    • Discord Webhook
  • コンプライアンスレポート
  • ボルトへのオフラインアクセス
  • シークレットマネージャー
  • コマンダーCLI
  • Keeperコネクションマネージャー
  • KeeperPAM特権アクセス管理
  • Keeperフォースフィールド
  • Keeper MSP
    • 無料トライアル
    • はじめに
    • 基本
    • 使用量に基づく請求
      • アドオン
      • 既存のMSP管理者
    • 導入
    • PSA 請求リコンサイル (照合)
    • Slackチャンネルに参加
    • 次のステップ
    • 削除
    • コマンダーCLI/SDK
    • アカウント管理API
    • API利用プロビジョニング家族プラン
    • MSPのベストプラクティス
  • 個人使用のための家族向け無料ライセンス
    • API経由で家族向けプランを提供
    • API経由での学生プランの提供
    • APIトラブルシューティング
      • APIパラメータ
      • APIレスポンスコード
      • APIエクスプローラ - Swagger
  • セキュリティの推奨設定
  • KeeperのIPをホワイトリスト化
  • Keeperの暗号化モデル
  • 開発者用API/SDKツール
  • KeeperChat
  • オンプレミスとクラウド
  • 認証フローV3
  • LastPassからの移行
  • トレーニングとサポート
  • LMS用Keeper SCORMファイル
  • ドキュメントホーム
Powered by GitBook
On this page
  • 操作性、セキュリティ、および機能のアップデート
  • 新しいログイン画面
  • マスターパスワード入力前の二要素認証
  • デバイスの承認
  • Keeper Pushのデモ動画
  • SSOメインのルーティング
  • ユーザー体験
  • アカウント作成フロー
  • (既存アカウントへの) ログインフロー
  • FAQ
  • お問い合わせ

認証フローV3

Keeperのログインおよび認証フローのバージョン3: 高度な認証とボルトセキュリティ

PreviousオンプレミスとクラウドNextLastPassからの移行

Last updated 7 months ago

Keeperのエンジニアリングチームは、進化するセキュリティ環境とお客様の要件に合わせて、ボルト認証システムのセキュリティと機能を継続的に改善しています。

2020年、私たちは「ゼロ知識」認証システムのセキュリティ面を大きく進化させる「Login API version 3」の提供を開始しました。このLogin APIは、現在の機能にさらなるセキュリティとユーザビリティの利点を提供し、将来的には新しいエキサイティングな機能の可能性を広げます。

操作性、セキュリティ、および機能のアップデート

最新リリースのログインAPIに含まれる新機能と操作性の改善点は次の通りです。

新しいログイン画面

ログイン画面が簡略化され、メールアドレスから開始するか、法人SSOログインを選択できます。

SSOユーザーの場合 ユーザーのメールドメインがSSO対応のアカウントとして認識されると、ユーザーは法人ドメイン文字列を入力する必要なく、自動的にIDプロバイダにルーティングされます。なお、自動ルーティングは、SSOノードでジャストインタイム (JIT) プロビジョニングが有効になっている場合にのみ実行されます。

「法人SSOログイン」について、「法人ドメイン」名を使用してログインする既存のSSOユーザーは引き続き使用できます。

「マスターパスワードログイン」は、ボルトで代替マスターパスワードを作成したSSOユーザーのログインパスです。この機能 (SSOマスターパスワード) は、Keeper管理者がロールポリシーで有効にする必要があります。

マスターパスワード入力前の二要素認証

マスターパスワードユーザーの場合 デバイスが認識され、二要素認証が有効になっている場合、ユーザーはマスターパスワードを入力する前にプロンプトを受け取ります。マスターパスワードを使用したログインの試行は、ユーザーが二要素認証の手順を通過するまで拒否されます。

認識されたデバイスを持つユーザーのみが、二要素認証の手順を実行できます。権限のないデバイスでは二要素認証を要求されません。Keeperは、デバイスの承認や認識がない場合、ユーザーアカウントの存在を開示しません。

この新しい方法では、ユーザー体験が若干異なります。 マスターパスワードの手順の前に、二要素認証方式を求めるプロンプトが表示されます。

デバイスの承認

Keeperのデバイス検証は、デバイスが承認されていない場合に、ユーザーがボルトをロードできないようにする重要なセキュリティ機能です。次のいずれかの基準に従ってデバイスが「承認」され、ログイン試行を実行できます。

  • ユーザーが以前にこのデバイスでのログインを承認している

  • WAN IPアドレスをユーザーが承認済み (設定 (Settings) > セキュリティ (Security) > IPアドレスで識別された自動承認デバイス (Auto-Approve Devices from Recognized IP) で制御) *

  • ユーザーが、チームのメンバーによって事前に承認されたデバイスにあるEnterpriseの一員である

  • ユーザーがSAML IDプロバイダに正常にログインしている

  • ユーザーが登録したデバイスから二要素認証コードを入力する

ログインの試行は、デバイスが承認されるまで拒否されます。

デバイスの検証が実行された後、二要素認証が有効になっているKeeperユーザーは、マスターパスワードによるログインを試行する前に、二要素認証の検証手順を通過する必要があります。 デバイスの承認と二要素認証の後、ユーザーはマスターパスワードによるログインに進みます。マスターパスワードの入力前にデバイスの承認と二要素認証の検証を行うことで、ユーザーは不正なログイン試行やパスワードテスト試行から保護されます。さらに、パスワードの試行回数は10回に制限されており、それ以降は認証の試行回数が制限されます。

(*) IPアドレスの承認は、マスターパスワードでログインするユーザーに対してのみ機能します。SSO Connect Cloudでログインするユーザは、新しいデバイスすべてにおいて、Keeper Pushまたは管理者承認を実行する必要があります。

その他のデバイス検証方法 ユーザーは、デバイス検証の手順を実行しない場合アカウントにログインできません。現在、次のような新しい方法を使用してデバイス検証を実行できます。

  • メール認証コード

  • TOTPまたはSMS通知から二要素認証コードを入力する

  • 認識されたデバイスにKeeper Push™メッセージを送信する

自動IPデバイス承認制御

IPアドレスによるデバイスの承認は、ボルトから設定 > セキュリティ > 確認済みIPアドレスからのデバイスを自動承認でユーザーが制御します。

デバイス承認機能Keeper Push™の導入

独自の通知ベースのシステムであるKeeper Pushを介した新しいデバイス承認システムを導入します。 デフォルトでは、ユーザーはメールを使用して認識されないデバイスを承認するよう求められます。 メールが利用できない場合は、新しいオプションがいくつかあります。

  • マスターパスワードでログインするユーザーは、Keeper Pushを使用して新しいデバイスを承認できます。メールは不要です。

  • 新しいSSO Connect Cloud™機能を使用してログインするEnterpriseユーザーの場合、Keeper Pushを使用すると、ユーザーのデバイス間で安全なデバイス認証と秘密鍵の転送が可能です。 Keeper Pushにより、ユーザーへ既存のIDプロバイダとのシームレスな統合と、デバイス上でゼロ知識暗号化の両立が可能です。

  • また、Keeper Pushを使用すると、Enterprise SSOユーザーは、他のすべてのデバイスにアクセスできなくなった場合に、Keeper管理者から新しいデバイスの承認を要求できます。 Keeper管理者は、管理コンソールからデバイスを承認できます。

  • ユーザーがKeeperアカウントのログインを有効化しているデバイスでのみ、Keeper Pushでの承認が可能です。

Keeper Pushのデモ動画

Keeper Pushを使用したマスターパスワードでのログイン

Keeper Pushを使用したSSOでのログイン

SSOメインのルーティング

エンタープライズユーザーが「SSOドメイン」を覚えておく必要性の軽減

ユーザーは自分のメールアドレスを入力するだけで、Keeperはユーザーを適切なIDプロバイダにルーティングします。 これは、エンタープライズのお客様から強く要望されていた機能です。セキュリティ上の理由から、Keeperは個々のユーザーのメールではなく、ドメイン名に基づいてIdPにルーティングします。

SSOインスタンスがジャストインタイム (JIT) プロビジョニングを使用してKeeper管理コンソールで設定されており、SSOプロビジョニングされたノードにユーザーが追加されている場合、IDプロバイダへのユーザーの自動ルーティングがデフォルトで発生します。

オフライン作業モード

「オフライン作業」モードを選択して、インターネットに接続せずにボルトにログインする機能が追加されました (エンタープライズ管理者の許可が必要)。オフラインで作業は、ビジネスのユーザーのみが利用できます。

オンラインモードに戻すには、右上の「オンラインモードへ変更」をクリックします。

Keeper SSO Connect Cloud™のサポート

マスターパスワードへの依存度の低減

新しいログインAPIは、認証ハッシュを導出するためにユーザーのマスターパスワードをローカルに要求する代わりに、サーバー制御状態でメモリーに動的に格納されるセッショントークンの使用を改善します。 この根本的な変更によって、次のような使いやすくするための機能の可能性を広げます。

  • マルチデバイスでのセッション管理

  • ブラウザとコンピュータの再起動の間のセッション再開 (「ログイン状態を維持」)

  • デバイス間リンク (デスクトップアプリとブラウザ拡張機能に同時にログインするなど)

  • セッション管理、セッション再開、セッション再認証におけるマスターパスワードへの依存を軽減します。

楕円曲線暗号のサポート

ユーザー体験

一連の手順を、フローチャートを交えて以下に示します。ユーザーのパスは、SSO/SAMLシステム (IDプロバイダまたはIdPとも呼ばれる) を使用しているかどうかによって異なります。OktaやMicrosoft Azure、Keeperなどが例として挙げられます。SSOが組織で使用されている場合、ユーザーのパスにはKeeper用の個別のマスターパスワードはありません。代わりに、SSOの認証情報を使用してボルトにアクセスします。

アカウント作成フロー

(既存アカウントへの) ログインフロー

FAQ

Q. ログインできません A. ログインに問題がある場合は、次の操作を試してください。

  1. ウェブページをハード再読み込み (Shift+再ロードまたはキャッシュのクリア) して、最新のウェブボルトまたは管理コンソールをロードしていることを確認します。

  2. 正しいデータセンターからKeeperにログインしていることを確認します。 以下に例を示します。

  1. Keeperに未使用または設定ミスのSSOノードがある場合、ユーザーがリダイレクトされる可能性があります。この問題を解決するには、Enterpriseサポートにお問い合わせください。

  2. ウェブボルトにSSOマスターパスワードでログインするには、「法人SSOログイン」をクリックし、「マスターパスワードログイン」をクリックします。この画面では、SSOマスターパスワードでログインできます (ロールポリシーで許可されている場合、およびこれが事前に設定されている場合)。

Q. マスターパスワードの前の二要素認証で、ユーザーアカウントを使用できますか? A. いいえ。承認されたデバイスと外部IPアドレス (IPベースのデバイス承認が有効な場合) のみが、ログイン手順に進むことができます。

Q. 外部の誰かがアカウントにログインして、二要素認証コードでスパムを送ることはできますか? A. いいえ。承認されたデバイスと外部IPアドレス (IPベースのデバイス承認が有効な場合) のみが、ログイン手順に進んで二要素認証コードを要求できます。また、Keeperのデバイス承認も二要素認証方式で行えますが、その方法はユーザーに開示しておらず、アカウントの存在を示すものではありません。

Q. IPベースのデバイス承認を無効にする方法を教えてください。 A. Keeperボルト設定 (Keeper Vault settings) > セキュリティ (Security) 画面で、自動IP承認をオフにします。

Q. マスターパスワードの前に二要素認証を置くことで、セキュリティにどのような影響がありますか? A. 承認されたデバイスのみがログインを試行できます。承認されたデバイスは、マスターパスワードをテストする前に、二要素認証手順を通過する必要があります。Amazon AWSのような極めて安全なサービスも、パスワードと二要素認証に関して同様のフローを実装しています。パスワードテストとユーザー列挙攻撃の防止は、非常に安全な手法です。ユーザーの皆様には、すぐに新しいフローに適応していただけると確信しています。

Q. 外部ユーザーとして新しいログインフローをテストするにはどうすればよいですか? A. 新しいログインフローが外部のユーザーにどのように見えるかを把握するには、自分のアカウントまたはEnterpriseアカウントで使用されていない、認識されていない新しいデバイスおよびネットワーク上にあるボルトを開くだけです。たとえば、携帯電話のワイヤレスネットワークに接続し、デバイス上でシークレットモードのブラウザウィンドウを開きます。

お問い合わせ

KeeperログインAPIは、Office 365/Azure、Okta、JumpCloud、ADFS、Ping Identity、OneLogin、その他のSAML 2.0互換IDプロバイダなどのSSO IDプロバイダと100%クラウドベースの統合をサポートします。これをKeeper SSO Connect Cloud™と呼びます。 SSO Connect Cloudと正式版の詳細については、以下のサイトをご覧ください。

SSO Connect Cloudは、クライアント側で生成された楕円曲線暗号 (ECC) の秘密鍵と公開鍵のペアを利用して、ゼロ知識を維持しながらSSO IDプロバイダとシームレスに統合します。 SSO Connect Cloudに関するその他のセキュリティ情報については、下記のリンクを参照してください。

ボルト/USデータセンター ボルト/米国政府クラウドデータセンター ボルト/EUデータセンター ボルト/AUデータセンター ボルト/カナダデータセンター ボルト/日本データセンター

コンソール/USデータセンター コンソール/米国政府クラウドデータセンター コンソール/EUデータセンター コンソール/AUデータセンター コンソール/カナダデータセンター コンソール/日本データセンター 間違ったデータセンターにログインしようとすると、アカウントが存在しませんというメール受信やエラー表示がされることがあります。 Q. ログイン画面でIDプロバイダにルーティングされますが、SSOは使いたくありません。 A. ユーザーアカウントがSSO用に設定されたノードの管理コンソールにある場合、Keeperログイン画面からSSOを使用したログインにルーティングされてしまいます。

システムのステータスを監視し、リアルタイムのアラートに登録するには、以下にアクセスしてください。 サポートが必要な場合は、以下にお問い合わせください。 または、以下のサポートページのチケットを開いてください。

https://keepersecurity.com/vault
https://govcloud.keepersecurity.us/vault
https://keepersecurity.eu/vault
https://keepersecurity.com.au/vault
https://keepersecurity.ca/vault
https://keepersecurity.jp/vault
https://keepersecurity.com/console
https://govcloud.keepersecurity.us/console
https://keepersecurity.eu/console
https://keepersecurity.com.au/console
https://keepersecurity.ca/console
https://keepersecurity.jp/console
https://statuspage.keeper.io/
business.support@keepersecurity.com
https://www.keepersecurity.com/support.html
https://docs.keeper.io/keeper-sso-connect-r-cloud-jp/
https://docs.keeper.io/keeper-sso-connect-r-cloud-jp/security-and-user-flow
ボルトログイン画面
新しいログイン画面
新しいセキュリティ機能
デバイスの承認方法
メール、Keeper Push、二要素認証の承認方法
Keeper Push
オフライン作業
オンラインにする