ユーザープロビジョニング
SSO Connect Cloudを使用してユーザーをプロビジョニングする方法
ユーザーのオンボーディング
SSOが設定されたノード内のユーザーをオンボーディングするには、以下のオプションがあります。
オプション1: SCIM自動プロビジョニングを使用
IDプロバイダがSCIMプロトコルを使用した自動プロビジョニングに対応している場合、Keeperボルトに自動的にプロビジョニングされます。
IdPでの認証が済むと、ユーザーは最初のデバイスで自分のボルトにログインした状態になります。それ以降に使用するデバイスについてはデバイス承認が必要となります。
オプション 2: ジャストインタイム (JIT) プロビジョニングを使用
SSO設定でジャストインタイム (JIT) プロビジョニングが有効になっている場合、ユーザーがボルトにアクセスする方法は複数あります。
(1) IDプロバイダのダッシュボードにユーザーを誘導して、Keeperアイコンをクリックしてもらいます(IdPが起点となるログイン)。
(2) IDプロバイダ内にKeeperへのハイパーリンクを表示します (正確なURLについては、IdPのアプリケーション設定画面をご参照ください)。
(3) ユーザーをKeeperボルトに誘導し、メールアドレスを入力して[次へ]をクリックしてもらいます。
自動ルーティング用にKeeperでドメインが予約されていることを確かにします。
(4) メールアドレスの使用が望ましくない場合、管理コンソールでSSO用に設定した法人ドメインを使用して、[法人SSOログイン]を選択することもできます。
(5) 以下の形式を使用して、ユーザーをKeeperの法人ドメインログイン画面に直接ハイパーリンクします。
<ドメイン>を以下のKeeperのテナントがホストされているデータセンターのエンドポイントに置き換えます。
keepersecurity.com
keepersecurity.eu
keepersecurity.com.au
govcloud.keepersecurity.us
keepersecurity.jp
keepersecurity.ca
<名前>は、管理コンソールで割り当てられた法人ドメインの名前に置き換えます。
オプション 3: ユーザーを手動で招待
ジャストインタイムプロビジョニングを使用せずに、管理コンソールからユーザーを手動で招待したい場合は、以下の手順を行います。
Keeper管理コンソールにログインします。
IDプロバイダが設定されたノードを開きます。
[ユーザーを追加]をクリックして、ユーザーを手動で招待します。
ボルトへのログイン画面からメールアドレスを入力するだけでサインインできます。
備考: 招待メールにグラフィックやコンテンツなどのカスタマイズを加えるには、管理コンソールの[環境設定]画面を開きます。
Keeperを組織内のユーザーにデプロイする前に、管理者以外のテストユーザーアカウントを使用して設定とオンボーディングプロセスをテストするようにしてください。
テストではKeeper管理者アカウントでSSOを使用しないようにしてください。Keeper管理者は管理コンソールのルートノードに含めて、マスターパスワードログインを使用することを推奨します。 これにより、IDプロバイダを利用できない場合 (Microsoft側で障害が発生した場合など) でも、常にアクセスが得られ、ユーザーを管理できます。
既存のユーザー/初期管理者をSSO認証に移動
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
最終更新