# OneLoginでのプロビジョニング

## 概要

Keeperエンタープライズでは、OneLoginとの統合がサポートされており、SCIM (System for Cross-Domain Identity Management) プロトコルを使用したユーザーの自動プロビジョニングがご利用になれます。SCIMは、IDプロバイダ (OneLoginなど) とサービスプロバイダ (Keeperなど) の間で、ユーザープロビジョニングの自動化を実現するオープンスタンダードです。

{% hint style="success" %}
OneLoginでSSO/SAML 2.0を使用してユーザーを認証する場合、まずKeeper SSOコネクトをインストールして構成する必要があります。\
\
SSOコネクトのセットアップについては以下の各ページをご覧ください。

[クラウドSSOコネクト](https://app.gitbook.com/o/-LO5CAzoigGmCWBUbw9z/s/-Mfd2v-YT48Ljtykb8qm/)\
[オンプレミスSSOコネクト](https://app.gitbook.com/o/-LO5CAzoigGmCWBUbw9z/s/pnnyqlSSLL0TJdycg6le/)
{% endhint %}

{% hint style="success" %}
SAML 2.0を使用してユーザーを認証せず、単にSCIMプロビジョニングでユーザーをプロビジョニングする場合は、以下の**「SCIMのみの構成」**へお進みください。
{% endhint %}

IDサービスにOneLoginをご利用の組織の場合、簡単にKeeperをユーザーに展開できるため、手動によるプロビジョニングは不要となります。OneLoginでKeeperエンタープライズへの自動プロビジョニングが有効となっている場合、OneLoginで作成、変更、削除されたユーザーは、Keeperでも自動的に追加、編集、削除されるようになります。

Keeperエンタープライズではユーザーのプロビジョニングやデプロイに加えて、OneLoginを使用したゼロ知識でのSAML 2.0準拠の認証を備えており、スムーズなアクセスが可能となります。

KeeperエンタープライズをOneLoginに統合することで、あらゆる規模の組織でパスワードや機密情報を暗号化ボルト (保管庫) 内に保護できるようになります。SSOにKeeperエンタープライズを統合することで、以下のようなサイバーセキュリティで不可欠なセキュリティ面と機能面での弱点を克服できます。

* 非SAMLアプリケーションやウェブサイト用に強力なパスワードを生成し保護
* 完全なエンドツーエンドな暗号化を備えたゼロ知識セキュリティアーキテクチャの実装
* SSH鍵、デジタル証明書などの認証情報を保管
* 組織全体 (全メンバーの使用するデバイス、ウェブサイト、アプリケーション、システム) でパスワードコンプライアンスやポリシーに基づいたアクセス管理を適用
* 金融、ビジネス、ソーシャルメディア、その他重要サービス向け共有パスワードを管理

ユーザー暗号化キーはKeeper SSOコネクトで動的に生成され、ローカルにインストールされているサーバーに暗号化して保存されるため、ユーザーはがデジタルボルトの暗号化・復号化に使用する暗号化キーを完全に管理できます。

## SSO+SCIMの構成 - アプリケーションコネクタ

OneLoginは、カタログ内にビルトインのKeeperアプリケーションが含まれており、SSOとSCIMの両方の統合がサポートされています。

{% hint style="info" %}
OneLoginの統合手順については、[こちらのページ](https://docs.keeper.io/sso-connect-cloud/identity-provider-setup/onelogin-keeper)をご覧ください。SSOの統合設定、SCIM接続の手順に解説しています。
{% endhint %}

API Connectステータスが「Enabled」 (有効) になった後、Provisioning (プロビジョニング) セクションに移動し、「Enable provisioning」 (プロビジョニングを有効にする) のボックスをチェックします。

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FmfMfK99V315EDbdG48ZI%2FOneLogin_enableProvisioning.PNG?alt=media&#x26;token=dff07726-4eca-4320-abb8-94a613fa3287" alt=""><figcaption></figcaption></figure>

**アプリケーションにユーザーを追加**

いくつかの異なる方法でユーザーをOneloginのKeeper Password Managerコネクタに追加できます。 ユーザーのアカウントにアプリケーションを追加したり、ロールにユーザーを追加したりできます。また、OneLoginのアプリケーション&#x306E;**\[Access]** (アクセス) セクションを利用すると、アプリケーションにロールを追加できます。\
\
ユーザーが追加された後、SCIMからKeeperにリクエストを送信するには、Keeper Password Managerアプリケーションコネクタの「**Users**」 (ユーザー) セクションに移動し、**「Pending」** (保留中) ステータスをクリックしてユーザーを承認します。また、ユーザーのOneLoginプロファイル&#x306E;**「Application」** (アプリケーション) セクションに移動し、**「保留中」** (Pending) ステータスをクリックすることでも承認リンクへ到達できます。**\[Approve]** (承認) ボタンをクリックすると、ユーザーをOneLoginからKeeperにユーザーをプロビジョニングできます。

![](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FTVUjGggW3NyBCJCugxIC%2Fassets_-LO5CAzpxoaEquZJBpYz_-MWfBaSu5ZgQ7cSaxfUH_-MWfJ5dtZfmZX4NSqWbA_OneLogin_groupApproveUserProvisioning.webp?alt=media\&token=def20b48-22a9-48b1-8278-a28c29a13874)

ユーザーのステータス&#x304C;**「Pending」** (保留中) か&#x3089;**「Provisioned」** (プロビジョニング済み) に変化します。

#### OneLoginロールとKeeperチームのマッピングを有効にする

**「Parameters」** (パラメータ) セクション&#x306E;**「Optional Parameters」** (オプションパラメータ) セクションで、「Groups」 (グループ) をクリックします。 **「Edit Fields Group」** (グループフィールドの編集) ポップアップで、**「Include in User Provisioning」** (ユーザープロビジョニングに含める) を選択します。

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2Fzvja5zkW4PTTjrQk8Gbi%2Fassets_-LO5CAzpxoaEquZJBpYz_-MWe78gROAHwnOh56KB7_-MWfBW0gb1Eo02hkaju6_OneLogin_groupProvisioning.webp?alt=media&#x26;token=66440647-ad92-45b3-8ee3-f7c081354e93" alt=""><figcaption></figcaption></figure>

**\[Save]** (保存) をクリックし、**「Group」** (グループ) のステータス&#x304C;**「Enabled」** (有効) に変化していることを確認します。\
\
次に、アプリケーションコネクタ&#x306E;**「Rules」** (ルール) セクションに移動し、**\[Add Rule]** (ルールの追加) ボタンをクリックします。

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FFDpnlkIHRhucMXV9uN4q%2Fassets_-LO5CAzpxoaEquZJBpYz_-MWfKVTMMtBrZDxbH1ib_-MWfL5Oq13z9Fn1BPfw0_OneLogin_groupAddRule.webp?alt=media&#x26;token=72cf97f0-64ed-48dd-b09d-eee1a8cf5d1d" alt=""><figcaption></figcaption></figure>

ルールに「Create Team from Role」 (ロールからチームを作成) などの名前を付けます。\
\
\&#xNAN;**\[Actions] (アクション)** セクションのプルダウンで、**「Set Groups in Keeper Password Manager」** (Keeper Password Managerのグループを設定) を選択します。次に、プルダウンか&#x3089;**「role」** (ロール) を選択 (または検索) し、マッチする値として「.\*」 (ドット+アスタリスク) を入力します。

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2Fo4tlVPSAx0Fub2AHc7bG%2FOneLogin_groupAddRuleSettings.PNG?alt=media&#x26;token=4f2faf1b-4657-45bf-b097-543daa93ca8b" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
「.\*」は、任意の文字が存在しないか任意の回数繰り返される部分に一致する正規表現です。 検索を特定のロールに絞り込むには、正規表現を変更します。 検索結果が一致しない場合はOneLoginにお問い合わせください。
{% endhint %}

## SCIMのみの構成

SCIMのみの構成の場合、[こちらのOneLoginのウェブサイト](https://developers.onelogin.com/scim)の手順をご参照ください。

アプリケーション&#x306E;**「Configuration」** (構成) ページで、以下のSCIM JSONテンプレートを使用します (Keeperのユーザー名は有効なメールアドレスである必要があります)。

```javascript
{
    "schemas": [
        "urn:scim:schemas:core:1.0"
    ],
    "userName": "{$user.email}",
    "displayName": "{$user.display_name}"
}
```

管理コンソールで、SCIMベースのURLとSCIMベアラートークンを取得します。

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FBpMRMErH6XPZaVOVteti%2Fimage.png?alt=media&#x26;token=7a22dc25-b9e8-476b-b9f8-dc5846ca60df" alt=""><figcaption></figcaption></figure>

「Custom Headers」 (カスタムヘッダ) セクションに次の行を追加します。

```
Content-Type: application/scim+json
```

プロビジョニングを有効にした後、構成は以下の画像のように表示されます。

![](https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FKFFUhK5wAt3Czilfb6ld%2FOneLogin%20SCIM.PNG?alt=media\&token=892d3cf7-04b7-4e22-b310-fc216c3c83a0)

## **SCIMを使用したチームとロールのマッピング**

チームとロールのマッピングを使用するには、個々のユーザーに対してではなく単にロールを「チーム」全体に割り当てます。ロール強制適用ポリシーを使用して、各チームに異なる要件や制限を設定できます。

通常、OneLoginなどのSCIMを使用するIDプロバイダは、ユーザーのチームへの割り当てに対応していますが、カスタムロールの割り当ては、ユーザー単位でのみ行われます。SCIMを使用してプロビジョニングされたチームやユーザーには、デフォルトのロールが適用されますが、SCIMでプロビジョニングされたチームを、別の事前定義されたロールにマッピングすることはできません。チームとロールをマッピングすることで、既存のIDプロバイダを使用してカスタムロールの割り当てが可能なチームにユーザーを直接割り当てることができます。

## 固有のグループ名

OneLoginには、SCIMシステムとのタイミングの問題があり、複数のリクエストを同時に送信し、同一のグループが作成される場合があります。通常、Keeper側では、「Group Name」 (グループ名) が同一であっても新規グループの作成を受け入れます。

重複したグループ名による問題に遭遇した場合、Keeperまでご連絡ください。SCIM接続にフラグを設定し、固有の名前が適用されるようにいたします。

{% hint style="info" %}
SCIMでプロビジョニングされたチームはすぐには作成されず、待機キューに入ってから承認が確定します。

チームとユーザーの承認については[こちらのページ](https://docs.keeper.io/enterprise-guide/user-and-team-provisioning/approval-queue)をご参照ください。
{% endhint %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/jp/enterprise-guide/user-and-team-provisioning/onelogin-provisioning-with-scim.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.