Azure / Entra IDでのプロビジョニング
Azure AD / Entra IDプラットフォームでのSAML 2.0認証およびSCIMプロビジョニング
概要
KeeperはSCIMプロトコルを利用してMicrosoft Azure ADなどのIDプラットフォームからユーザーやチームをプロビジョニングする機能に対応しています。Azure ADをご利用のお客様の場合、ユーザーをプラットフォームにプロビジョニングして自動的にチームに追加し、共有フォルダを受け取ることが可能となります。
こちらの設定に進む前に、KeeperのSSOコネクトを使用してAzure ADとの統合をご検討ください。これにより、即時のユーザー認証とジャストインタイムプロビジョニングが実現します。
クラウドSSOコネクトのセットアップの詳細については、こちらのページをご覧ください。
すでにKeeperクラウドSSOコネクト設定されている場合やSSOが不要な場合は、以下の手順へお進みください。
機能
Keeper/Azureのプロビジョニング統合は、以下の機能に対応しています。
Keeperでユーザーを作成
ユーザー属性を更新 (Keeperの表示名)
ユーザーの削除 (Keeperのユーザーをロックする)
AzureグループからKeeperにチームを作成
ユーザーをグループ (Keeperのチーム) に追加または削除
ユーザーをプロビジョニングする際、Azure ADは単一のKeeperノードにマッピングされます。Azureではユーザーとグループは保留状態で作成され、新規ユーザーにはKeeperアカウントの作成のための招待メールが届きます。
要件
Azure ADを使用したKeeperのユーザープロビジョニングを設定するには、Keeper管理コンソールおよびAzureアカウントへのアクセスが必要となります。
設定手順
SCIMによるAzure ADプロビジョニングの詳細については、以下の動画をご覧ください。
Azureの管理者アカウントに移動し、[Azure Active Directory] > [エンタープライズアプリケーション]を選択した後、[新しいアプリケーション]を選択します。Keeperを検索し、[Keeper Password Manager]を選択します。
アプリケーションを追加後、[プロビジョニング]セクションをクリックし、[自動]のオプションを選択します。
別のウィンドウで、Keeper管理コンソールからテナントのURLとシークレットトークンを取得します。
Keeper管理コンソールで、Azure ADと同期させるノードへ移動します。[メソッドを追加]をクリックします。
SCIM統合は、管理コンソール内の特定のノード (組織単位など) にのみ適用できます。必ずrootノードではなくサブノード内にプロビジョナをprovisjoホストするようにしてください。
「SCIM」オプションを選択し、[次へ]をクリックした後、[プロビジョニングトークンの作成]を選択します。
テナントのURLとシークレットトークンの値をコピーし、手順1のAzure AD画面のテナントのURLおよびシークレットトークンの欄に貼り付けます。[保存]を選択して、Keeper側のプロビジョニング手順を完了します。
Azure AD画面に戻り、[テスト接続]をクリックします。テスト接続に成功した後、認証情報を保存します。[プロビジョニングの状態]を「ON」にし、[保存]をクリックします。
Keeper Azure ADアプリの[ユーザーとグループ]セクションへ移動し、Azure ADのユーザーまたはグループをアプリに割り当てます。
プロビジョニングの開始
[プロビジョニングの開始]をクリックしてプロビジョニングを開始します。
約5分 (初回は最大40分かかることがあります) 待ってから、管理コンソールの[同期]ボタンをクリックします。[ユーザー]タブにユーザーが表示されていることを確認します。
SCIMでプロビジョニングしたチームは即座に作成されず、承認待ち状態になってからいずれかの承認手段により確定となります。
チームとユーザーの承認についてはこちらのページクリックしてください。
インスタントプロビジョニング
Azureでは、[プロビジョニング] > [オンデマンドでプロビジョニング]をクリックして、ユーザーを即座にプロビジョニングすることもできます。
SCIMを使用したチームとロールのマッピング
通常、AzureなどSCIMを使用するIDプロバイダは、チームへのユーザーの割り当てに対応していますが、カスタムロールの割り当てについてはユーザー単位でのみ行われます。SCIMを使用してプロビジョニングしたチームやユーザーにはデフォルトのロールが適用され、SCIMでプロビジョニングしたチームを別の事前定義されたロールにマッピングすることはできません。
Keeperのチームとロールのマッピング機能で、既存のIDプロバイダを使用しながらユーザーをカスタムロールの割り当てが可能なチームに直接割り当てることができます。
チームとロールのマッピングを使用するには、管理者は個々のユーザーに対してではなく、単にチーム全体にロールを割り当て、ロール強制を使用して各チームに異なる要件や制限を設定することになります。
チームのプロビジョニングとチームの割り当て
AzureでユーザーおよびチームのSCIMプロビジョニングを設定する際は、以下の点をご確認ください。
SAMLアプリケーションでAzureグループを割り当て済みであること。
Azureからユーザーを招待するかユーザーをプロビジョニング済のグループに割り当てる際には、AzureからKeeperへ、ユーザーの参加を招待、ユーザーをチームに追加、チームを作成のいずれかのリクエストが送信されます。
ユーザーがKeeperにまだ存在しない場合は、サインアップへの招待を受け取ります (あるいはジャストインタイムプロビジョニングを使用できます)。
ユーザーがKeeperのアカウントを作成した後、以下のいずれかが発生するまでユーザーが Keeperチームに割り当てられることはありません。 (a) 管理者が管理コンソールにログインし、管理画面から[完全同期]をクリックする (b) 関連チームのユーザーがウェブボルトまたはデスクトップアプリにログインする (c) 管理者がKeeperコマンダーからteam-approveを実行する チームキーなど暗号化キーの共有については、必要な秘密キーにアクセスできるユーザーがログインしている状態でのみ実行できます。
この処理を効率化するために、バージョン3.2現在Keeperオートメーター機能により、チームとチームの割り当ての即時承認が可能となります。オートメーター機能に関してはこちらのページをご覧ください。
Azure ADでのSAML 2.0認証
本ページではAzure ADを使用したプロビジョニング過程について解説しました。SAML 2.0プロトコルを使用したAzure ADでの自動認証を有効にするには、KeeperクラウドSSOコネクトのセットアップ手順をご参照ください。
Last updated