DUO SSO

KeeperクラウドSSOコネクトをDUO SSOと連携させて、スムーズで安全なSAML 2.0認証を実現

最初に管理コンソールの設定の手順を完了してください。

Duoのセットアップ

以下の手順では、Duoが正常に有効化され、認証ソース (Active DirectoryまたはIdP) が設定済みであることを前提としています。Duo SSO を有効にするには、Duo Admin Panel (管理パネル) にアクセスし、「Single Sign-On」 (シングル サインオン) セクションにアクセスします。

手順 1: DUO SSOの設定

DuoのAdmin Panel (管理パネル) にログインし、左側のナビゲーションバーの[Protect an Application] (アプリケーションの保護) をクリックします。Keeperを検索し、アプリケーションリストから、保護タイプが[2FA with SSO hosted by Duo (Single Sign-On)] (DuoがホストするSSOによる2FA (シングルサインオン)」のKeeper Securityを見つけて、[Protect] (保護) をクリックします。

Keeper Security SSOタイプを保護

手順 2: メタデータ

[Download] (ダウンロード) セクションで、ご利用のSSOプロビジョニングメソッドにアップロードするためのSAMLメタデータファイルをダウンロードします。

DUOメタデータファイルをダウンロード

Keeper管理コンソールに戻り、DUOクラウドSSOコネクトのプロビジョニングメソッドを見つけて、[編集]を選択します。

DUO SSOプロビジョニングメソッドを編集

[アイデンティティプロバイダ]セクションまで下にスクロールし、[IDP タイプ][DUO SSO]に設定して、[ファイルを参照]を選択し、先ほどダウンロードしたDUOメタデータファイルを選択します。

引き続き、Keeper管理コンソール内のDUOクラウドSSOコネクトのプロビジョニングメソッドで、編集ビューを終了して、[表示]を選択します。 サービスプロバイダセクション内に、[エンティティID][IDP起点ログインエンドポイント][アサーションコンシューマーサービス (ACS) エンドポイント]のメタデータの値が表示されます。

[シングルログアウトサービスエンドポイント]はオプションです。

DUO SSOプロビジョニングメソッドを表示

Duo Admin Panel (管理パネル) のアプリケーションページに戻り、Entity ID (エンティティID)、Login Enndpoint (ログインエンドポイント)、ACS Endpoint (ACSエンドポイント) をコピーして、Service Provider (サービスプロバイダ) セクションに貼り付けます。

Keeperメタデータ情報

手順 3: ユーザー属性をマッピング

SAML Response (SAMLレスポンス) セクション内で、Map attribute (属性をマッピング) まで下にスクロールして、以下の属性をマッピングします。

3つの属性 (First (名)、Last (姓)、Email (メール)) が上記のように正確なスペルで設定されていることをご確認ください

ユーザー属性

手順 4: ポリシー

Policy (ポリシー) セクションでは、ユーザーがこのアプリケーションにアクセスするときの認証のタイミングと方法を定義します。グローバルポリシーは常に適用されますが、そのルールはカスタムポリシーで上書きできます。

ユーザーまたはグループのポリシー

手順 5: グローバルポリシー

Global Policy (グローバルポリシー) セクションでは、DUOまたはKeeperの管理者に表示されるすべてのグローバルポリシーを閲覧、編集、確認できます。

これでKeeper Security EPM - Single Sign-Onの設定が完了しました。

トラブルシューティング

ご利用のDUO環境内へのKeeper Security EPM - Single Sign-Onの実装に関してサポートが必要でしたら、Keeperサポートチームまでお問い合わせください。

既存のユーザー/初期管理者をSSO認証に移行

ユーザーにDuoでログインしてもらいたい場合は、Keeper管理コンソールのルートノード (最上位) で作成されたユーザーをSSO対応ノードに移動する必要があります。管理者は自分自身をSSO対応ノードに移動できません。これには別の管理者が必要となります。

ユーザーがSSO対応ノードに移動した後、メールアドレスを入力し[次へ]をクリックするだけでKeeperボルトにログインできるようになります。機能しない場合は、メールドメイン (例: company.com) がエンタープライズで予約されていること、ジャストインタイムプロビジョニングが有効になっていることを確認してください。

法人ドメインでオンボードするには、ユーザーは[法人SSOログイン]からKeeper管理コンソールで設定された法人ドメインを入力します。

最初に[法人SSOログイン]を選択

ユーザーがSSOで認証されると、今後はメールアドレスを入力するだけSSO認証を開始できます。

メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、こちらのページをご覧ください。

前へCloudGate UNO次へEntra ID (Azure AD)

最終更新

役に立ちましたか?