# DUO SSO {% hint style="success" %} 最初に[管理コンソールの設定](https://docs.keeper.io/sso-connect-cloud/admin-console-configuration)の手順を完了してください。 {% endhint %}

## Duoのセットアップ以下の手順では、Duoが正常に有効化され、認証ソース (Active DirectoryまたはIdP) が設定済みであることを前提としています。Duo SSO を有効にするには、Duo Admin Panel (管理パネル) にアクセスし、「Single Sign-On」 (シングルサインオン) セクションにアクセスします。 ### 手順 1: DUO SSOの設定 DuoのAdmin Panel (管理パネル) にログインし、左側のナビゲーションバーの**\[Protect an Application]** (アプリケーションの保護) をクリックします。Keeperを検索し、アプリケーションリストから、保護タイプが**\[2FA with SSO hosted by Duo (Single Sign-On)]** (DuoがホストするSSOによる2FA (シングルサインオン)」のKeeper Securityを見つけて、**\[Protect]** (保護) をクリックします。

### 手順 2: メタデータ **\[Download]** (ダウンロード) セクションで、ご利用のSSOプロビジョニングメソッドにアップロードするためのSAMLメタデータファイルをダウンロードします。

Keeper管理コンソールに戻り、DUOクラウドSSOコネクトのプロビジョニングメソッドを見つけて、**\[編集]**を選択します。

**\[アイデンティティプロバイダ]**セクションまで下にスクロールし、**\[IDP タイプ]**を**\[DUO SSO]**に設定して、**\[ファイルを参照]**を選択し、先ほどダウンロードしたDUOメタデータファイルを選択します。

引き続き、Keeper管理コンソール内のDUOクラウドSSOコネクトのプロビジョニングメソッドで、**編集ビュー**を終了して、**\[表示]**を選択します。サービスプロバイダセクション内に、**\[エンティティID]**、**\[IDP起点ログインエンドポイント]**、**\[アサーションコンシューマーサービス (ACS) エンドポイント]**のメタデータの値が表示されます。 {% hint style="info" %} **\[シングルログアウトサービスエンドポイント]**はオプションです。 {% endhint %}

Duo Admin Panel (管理パネル) のアプリケーションページに戻り、**Entity** **ID** (エンティティID)**、Login Enndpoint** (ログインエンドポイント)、**ACS Endpoint** (ACSエンドポイント) をコピーして、**Service Provider** (サービスプロバイダ) セクションに貼り付けます。

### 手順 3: ユーザー属性をマッピング **SAML Response** (SAMLレスポンス) セクション内で、**Map attribute** (属性をマッピング) まで下にスクロールして、以下の属性をマッピングします。 {% hint style="info" %} **3つの属性 (First (名)、Last (姓)、Email (メール)) が上記のように正確なスペルで設定されていることをご確認ください**。 {% endhint %}

### 手順 4: ポリシー Policy (ポリシー) セクションでは、ユーザーがこのアプリケーションにアクセスするときの認証のタイミングと方法を定義します。グローバルポリシーは常に適用されますが、そのルールはカスタムポリシーで上書きできます。

### 手順 5: グローバルポリシー **Global Policy** (グローバルポリシー) セクションでは、DUOまたはKeeperの管理者に表示されるすべての**グローバルポリシー**を閲覧、編集、確認できます。 {% hint style="success" %} これで**Keeper Security EPM - Single Sign-On**の設定が完了しました。 {% endhint %} ## トラブルシューティングご利用のDUO環境内への**Keeper Security EPM - Single Sign-On**の実装に関してサポートが必要でしたら、Keeperサポートチームまでお問い合わせください。 ### 既存のユーザー/初期管理者をSSO認証に移行ユーザーにDuoでログインしてもらいたい場合は、Keeper管理コンソールのルートノード (最上位) で作成されたユーザーをSSO対応ノードに移動する必要があります。管理者は自分自身をSSO対応ノードに移動できません。これには別の管理者が必要となります。ユーザーがSSO対応ノードに移動した後、メールアドレスを入力し**\[次へ]**をクリックするだけでKeeperボルトにログインできるようになります。機能しない場合は、メールドメイン (例: company.com) が[エンタープライズで予約されている](https://docs.keeper.io/enterprise-guide/domain-reservation)こと、ジャストインタイムプロビジョニングが有効になっていることを確認してください。法人ドメインでオンボードするには、ユーザーは**\[法人SSOログイン]**からKeeper管理コンソールで設定された法人ドメインを入力します。

ユーザーがSSOで認証されると、今後はメールアドレスを入力するだけSSO認証を開始できます。

メールアドレスを入力して**\[次へ]**をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。ルーティングとドメイン予約の詳細については、[こちらのページ](https://docs.keeper.io/enterprise-guide/domain-reservation)をご覧ください。