Auth0

Keeper SSO Connect CloudをAuth0と連携させて、スムーズで安全なSAML 2.0認証を実現

最初に管理コンソールの設定の手順を完了してください。

Auth0 SSOの設定

Auth0ポータルの管理者セクションにログインします。

[Applications] (アプリケーション) タブを選択し、[Create Application] (アプリケーションを作成) をクリックします。[Regular Web Applications] (通常のウェブアプリケーション) を選択します。

[Applications] (アプリケーション) > [Create Application] (アプリケーションを作成) > [Regular Web Applications] (通常のウェブアプリケーション)

次に、[Addons] (アドオン) タブに移動して、[SAML2 WEB APP] (SAML2ウェブアプリ) をクリックします。

[Addons] (アドオン) > [SAML2 WEB APP] (SAML2ウェブアプリ)

次に表示される設定ページで、Keeper管理コンソールに表示された[Assertion Consumer Service(ACS)エンドポイント]が必要になります。

ACSエンドポイントの例: https://keepersecurity.com/api/rest/sso/saml/XXXXXXXX

この値は、以下のようにサービスプロバイダの情報の一部としてSSO Connect Cloudの設定で確認できます。

設定を表示
ACS(Assertion Consumer Service)エンドポイントをコピー

ACSエンドポイントをAuth0画面の[Application Callback URL] (アプリケーションコールバックURL) フィールドに貼り付けます。

次に、SAML2 Web App編集ウィンドウでサンプルのJSONを削除して以下に置き換えます。

{
  "audience": "https://keepersecurity.eu/api/rest/sso/saml/XXXXX",
  "mappings": {
    "email":"Email",
    "given_name":"First",
    "family_name":"Last"
  },
  "createUpnClaim": false,
  "passthroughClaimsWithNoMapping": false,
  "mapUnknownClaimsAsIs": false,
  "mapIdentities": false,
  "nameIdentifierFormat": "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress",
  "nameIdentifierProbes": [
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
  ]
}

「audience」の値は法人IDとなります。この値もサービスプロバイダ情報の一部として、SSO Connect Cloudの設定で確認できます。

IDPが起点となるログインエンドポイントをコピー

法人IDを追加した後、[Debug] (デバッグ) ボタンをクリックして、設定に問題がないことをご確認ください。

次に、SAML2 Web Appウィンドウを一番下までスクロールして、[Save] (保存) をクリックします。

SAML2ウェブアプリの設定に加えた変更を保存します

次に、[Usage] (使用) タブをクリックし、IDプロバイダのメタデータファイルをダウンロードします。

IdPメタデータをダウンロード

Keeper側でSSOの設定を編集し、[IDP タイプ]に[GENERIC] (汎用) を選択します。metadata.xmlファイルを参照するか設定画面にドラッグアンドドロップして、Keeper SSO Connectインターフェースにアップロードします。

SSOの設定を編集
Auth0からダウンロードしたメタデータファイルをKeeperにドラッグアンドドロップ

既存のユーザー/初期管理者をSSO認証に移行

ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。

管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

まず[法人SSOログイン]を選択

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、こちらをご覧ください。

最終更新