Google Workspace

Keeper SSO Connect CloudをGoogle Workspaceと連携させてスムーズで安全なSAML 2.0認証とユーザーおよびチームプロビジョニングを実現

最初に管理コンソールの設定を完了してください。

Google WorkspaceとKeeperの連携では以下がサポートされています。

SAML 2.0を使用したSSO認証
Google Cloud APIとSCIMを使用した自動プロビジョニング (ユーザーとグループ)
SCIMを使用した自動プロビジョニング (ユーザーのみ)

SSO、SSOとプロビジョニング、プロビジョニングのみのいずれかを設定できます。

Google Workspaceの設定

Google Workspace管理コンソールにアクセスするには、https://admin.google.com/にログインします。

[Apps] (アプリ) > [Web and Mobile Apps] (ウェブアプリおよびモバイルアプリ)画面にアクセスします。

続いて、[Add App] (アプリを追加)、[Search for apps] (アプリを検索)の順に選択します。

[Enter app name] (アプリ名を入力)の箇所で「Keeper」を検索し、「Keeper Web (SAML)」を選択します。

Keeperアプリを設定

[Option1] (オプション1)を使用して、IdPのメタデータをダウンロードし、[CONTINUE] (続行) を選択します。

サービスプロバイダの詳細情報

[Service Provider Details] (サービスプロバイダの詳細情報) 画面には、入力フィールドがいくつかあります。ACS URLとEntity IDを、SSO Connect Cloudインスタンスで使用する値に置き換えます。

ACS URLとEntity IDを取得するには、Keeper管理コンソール内でSSO Connect Cloudプロビジョニングメソッドを見つけて、[表示]を選択します。

Service providerの箇所に、ACS URLとEntity IDの値が表示されます。

ACS URLとEntity IDをコピーして、Service provider details (サービスプロバイダの情報) に貼り付け、[Signed Response] (署名付きレスポンス) をチェックして、[CONTINUE] (続行)を選択します。

属性マッピング

Attributes (属性) 画面で、以下に表示されているとおり3つのマッピングがあることを確かにします。以下に表示されているように、マッピングフィールドをFirst Name (ファーストネーム) 、Last Name (ラストネーム) 、Primary Email (プライマリメール) に設定し、[Finish] (完了)を選択します。これで、Google WorkspaceのKeeperへのSAML連携が完了しました。

カスタムSAMLアプリを選択または作成した場合は、[Add New Mapping] (新規マッピングを追加) をクリックして、First (名)、Last (姓)、Email (メール)の3つのフィールドを作成する必要があります。

Keeper SAMLアプリの詳細

設定が完了すると、Keeper SAMLアプリの詳細ページが表示され、SAML接続およびサービスの詳細を確認できます。SSOを有効にするには、[OFF for everyone] (すべてのユーザーに対してOFF) をクリックします。

全ユーザーでSSO Connectを有効にする

全ユーザーでKeeper SSO Connectを有効にするには、[ON for everyone] (すべてユーザーに対してON) を選択して、[SAVE] (保存)をクリックします。

グループのSSO Connectを有効にする

特定のグループでKeeper SSO Connectを有効にするには、[Service status] (サービスステータス) の左側にある[Groups] (グループ) を選択し、Keeper SSO Connectに関連付けたいグループを検索して選択し、ONをチェックして[SAVE] (保存) をクリックします。

注: Googleは現在Keeperチームへのグループプロビジョニングに対応していません。

Google Workspaceメタデータをインポート

Keeper管理コンソールに戻り、SSO Connect Cloudプロビジョニングメソッドを見つけて[編集]を選択します。

[Browse Files] (ファイルを参照) を選択し、以前にダウンロードしたGoogleメタデータファイルを選択します。

メタデータファイルがプロビジョニングメソッドに反映されると、成功したことになります。これで、プロビジョニング設定を終了します。

Google Workspaceのシングルログアウト (SLO) 設定に関する注意

2022年現在、Googleはシングルログアウトを有効にしない設定をデフォルトにしています。つまり、KeeperからログアウトしてもGoogleからの完全なログアウトは開始されません。

SSOの設定が完了しました。

これでKeeper SSO ConnectをGoogle Workspaceと連携させる設定は完了となります。以下の手順で、Googleアカウントを使用してKeeperにログインできるようになります。

Keeperボルトを開き、[法人SSOログイン]をクリックします。
SSOの設定時にKeeper管理コンソールに指定した法人ドメインを入力します。SSO Connectのステータス画面ではSSO Connectドメインという名前になっています。
[接続]をクリックし、Google Workspaceの認証情報でログインします。

エンドユーザーの操作手順（Keeperが起点となるログイン）については、以下をご参照ください。 https://docs.keeper.io/user-guides/enterprise-end-user-setup-sso#keeper-initiated-login-flow

以下はSSOエンドユーザー向け動画です。 https://vimeo.com/329680541

ユーザーとチームのプロビジョニング

次に、Google Workspaceからユーザーとチームのプロビジョニングを設定する方法を解説します。 Google Workspaceと統合するには以下の2つの方法があります。

オプション 1 (推奨): ユーザーとグループのプロビジョニング

Google WorkspaceではSCIMグループがネイティブでサポートされていないため、Keeperではユーザーとグループのプロビジョニングを自動化するためにGoogle Workspaceと統合するGoogle Cloud Functionを開発しました。このサービスの設定手順については、以下をご参照ください。

Cloud Serviceを使用したGoogle Workplaceのユーザーとチームのプロビジョニング