ユーザーとチームのプロビジョニング

Keeperエンタープライズによる柔軟で強力なユーザープロビジョニング

Keeperエンタープライズでは、様々な方法でユーザーをプロビジョニングできます。

対応しているプロビジョニング方法

  • 管理コンソールを使用した手動プロビジョニング

  • シングルサインオン (SAML 2.0) 認証およびKeeperSSOコネクトによるプロビジョニング

  • ADブリッジによるActive Directory/LDAPでのプロビジョニング

  • SCIMによるOkta、Azure AD、Google Workspace、Ping、OneLoginでのプロビジョニング

  • SCIMを使用したAPIプロビジョニング

  • メールアドレスでの自動プロビジョニング

  • コマンダーSDKを使用したCLIでのプロビジョニング

ユーザープロビジョニングに関する詳細については、以下の動画をご覧ください。

ユーザープロビジョニング

ユーザープロビジョニングのベストプラクティス

スモールビジネスとチーム

少数のユーザーにKeeperを展開する場合、または大規模な組織内のチームのみにKeeperを展開する場合、Keeperの「手動プロビジョニング」または「一括アップロード」が適しています。

参照: 管理コンソールを使用した手動プロビジョニング


オンプレミスのActive Directoryを使用している組織

オンプレミスAD環境を管理している組織の場合、Keeper Active Directoryブリッジアプリケーション (AD Bridge) を使用して、ノード構造をマッピングしたり、ユーザーやチーム、ロールを追加することをお勧めします。

参照: ADブリッジ (英語)

ADブリッジは、ユーザーのプロビジョニングにのみ使用されます。ADに対してユーザー認証する場合は、AD FSとKeeperSSOコネクトサービスを一緒に使用することをお勧めします。

参照: クラウドSSOコネクト


オンプレミスのActive DirectoryとAD FSを使用している組織

すでにフェデレーションサービスを利用している組織の場合、KeeperSSOコネクトを利用すると、リアルタイム認証やジャストインタイム (JIT) プロビジョニングが可能です。ADセキュリティグループや他のカスタムLDAPクエリを使用して、ユーザーをロールやチームに自動的に割り当てる場合、Keeper ADブリッジも利用可能です。

参照: ADブリッジ (英語)クラウドSSOコネクト


Entra ID / Azure AD、Okta、JumpCloud、Google Workplaceなどのクラウドベースのディレクトリを使用している組織

Keeperエンタープライズのお客様の多くは、ADからAzureへの同期や他のミラーリング技術を利用して、クラウドベースのIDストアに移行済みか移行中のどちらかです。

組織でクラウドベースのディレクトリを利用されている場合、次の3つの展開方法があります。

SSO (SAML 2.0) 認証

Keeper SSOコネクトはKeeperエンタープライズの強力な機能の1つで、SAML 2.0対応のIDプロバイダを通して、リアルタイム認証およびユーザーアカウントのプロビジョニングを行う機能です。 Azure AD、AD FS、Okta、JumpCloud、Google Workspace、Ping、OneLoginなどのIDプロバイダはKeeperと互換性があります。

クラウドSSOコネクトでは、ジャストインタイム (JIT) プロビジョニングがサポートされており、ユーザー登録プロセスがシンプルになります。

参照: クラウドSSOコネクト


SCIMプロビジョニング

SCIMプロビジョニングプロトコルは、Azure、Okta、Google Workspaceなど、最新のIDプロバイダの大半でサポートされています。 Googleでは「ユーザープロビジョニング」と呼ばれており、OktaやAzureでは「自動プロビジョニング」と呼ばれています。KeeperのSCIMを導入すると、ユーザーアカウントのプロビジョニング、アカウントのプロビジョニング解除、チームの作成、チームへのユーザーの割り当て、チームからのユーザー削除が可能となります。

参照: Entra / Azure ADGoogle WorkplaceOktaJumpCloudAPIプロビジョニング


SCIMプロビジョニングとSSL (SAML 2.0) 認証

SCIMとSSOを組み合わせると、リアルタイム認証やアカウントのプロビジョニングに加えて、チームの作成、チームへのユーザーの割り当て、ユーザーのプロビジョニング解除が可能となります。 Azure AD、Okta、G Suite、JumpCloudなどのIDプロバイダで、これら2つの方法の組み合わせに対応しています。

参照: クラウドSSOコネクト


レガシーディレクトリや断片化したディレクトリを持つ大学および大規模組織

大学や大規模組織で、ユーザーディレクトリが断片化していたり、KeeperへのSSOやSAMLプロトコルの統合を避けたい場合は、KeeperのEメールプロビジョニングで大規模な展開が可能となります。

Eメールプロビジョニングでは、基本的にドメイン名 (iastate.eduなど) を予約し、そのドメインに基づいて (Eメール検証を使用して) ユーザーを自動的にデフォルトロールにプロビジョニングします。初期設定のセットアップ完了後に、Keeper管理者が行う必要がある作業はありません。

参照: メールアドレスで自動プロビジョニング


ポータルまたはカスタムアプリとの統合

開発者APIや他のカスタムニーズによる自動プロビジョニングやユーザーボルトの作成など、特別な統合要件がある場合、SDKオプションがご利用になれます。 コマンダーSDKプラットフォームでは、Python、.Net、PowerShell、Javaなどのツールキットが用意されています。

参照: コマンダーSDK

Last updated