DUO SSO
Keeper SSO Connect™ CloudをDUO SSOと連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
Duoのセットアップ
以下の手順では、Duoが正常に有効化され、認証ソース (Active DirectoryまたはIdP) が設定済みであることを前提としています。Duo SSO を有効にするには、Duo Admin Panel (管理パネル) にアクセスし、「Single Sign-On」 (シングル サインオン) セクションにアクセスします。
手順 1: DUO SSOの設定
DuoのAdmin Panel (管理パネル) にログインし、左側のナビゲーションバーの[Protect an Application] (アプリケーションの保護) をクリックします。アプリケーションリストから、保護タイプが「2FA with SSO hosted by Duo (Single Sign-On)] (DuoがホストするSSOによる2FA (シングル サインオン)」であるGeneric Service Provider (汎用サービスプロバイダ) のエントリを見つけて、[Protect] (保護) をクリックします。
手順 2: メタデータ
[Download] (ダウンロード) セクションで、ご利用のSSOプロビジョニングメソッドにアップロードするためのSAMLメタデータファイルをダウンロードします。
Keeper管理コンソールに戻り、DUO SSO Connect Cloudプロビジョニングメソッドを見つけて、[編集]を選択します。
[アイデンティティプロバイダ]セクションまで下にスクロールし、[IDP タイプ]を[GENERIC] (汎用) に設定して、[ファイルを参照]を選択し、先ほどダウンロードしたDUOメタデータファイルを選択します。
引き続き、Keeper管理コンソール内のDUO SSO Connect Cloudプロビジョニングメソッドで、[編集]ビューを終了して、[表示]を選択します。 サービスプロバイダセクション内に、法人ID、IDP Initiated ログインエンドポイント、Assertion Consumer Service(ACS)エンドポイントのメタデータの値が表示されます。
[シングルログアウト・サービスエンドポイント]はオプションです。
Duo Admin Panel (管理パネル) のアプリケーションページに戻り、Entity ID (エンティティID)、Login Enndpoint (ログインエンドポイント)、ACS Endpoint (ACSエンドポイント) をコピーして、Service Provider (サービスプロバイダ) セクションに貼り付けます。
手順 3: ユーザー属性をマッピング
SAML Response (SAMLレスポンス) セクション内で、Map attribute (属性をマッピング) まで下にスクロールして、以下の属性をマッピングします。
3つの属性 (First (名)、Last (姓)、Email (メール)) が上記のように正確なスペルで設定されていることをご確認ください。
手順 4: ポリシー
Policy (ポリシー) セクションでは、ユーザーがこのアプリケーションにアクセスするときの認証のタイミングと方法を定義します。グローバルポリシーは常に適用されますが、そのルールはカスタムポリシーで上書きできます。
手順 5: グローバルポリシー
Global Policy (グローバルポリシー) セクションでは、DUOまたはKeeperの管理者に表示されるすべてのグローバルポリシーを審査/編集/確認できます。
手順 6: 設定
Settings (設定) セクションで、アプリケーションに「Keeper Security EPM - Single Sign-On」という名前を付けます。その他の設定はすべて、DUOまたはKeeper管理者に表示されるとおりに設定されています。
ページの一番下にある[Save] (保存)をクリックして、保護されたアプリケーション設定を保存します。
これでKeeper Security EPM - Single Sign-Onの設定が完了しました。
トラブルシューティング
ご利用のDUO環境内へのKeeper Security EPM - Single Sign-Onの実装に関してサポートが必要でしたら、Keeperサポートチームまでお問い合わせください。
既存のユーザー/初期管理者をSSO認証に移行
ユーザーにDuoでログインしてもらいたい場合は、Keeper管理コンソールのルートノード (最上位) で作成されたユーザーをSSO対応ノードに移動する必要があります。管理者は自分自身をSSO対応ノードに移動できません。これには別の管理者が必要となります。
法人ドメインでオンボードするには、ユーザーは[法人SSOログイン]からKeeper管理コンソールで設定された法人ドメインを入力します。
ユーザーがSSOで認証されると、今後はメールアドレスを入力するだけSSO認証を開始できます。
メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、こちらをご覧ください。
最終更新