# SCIMを使用したGoogle Workplaceユーザープロビジョニング

{% hint style="info" %}
本ページでは、SCIMの直接統合を使用してGoogle WorkspaceからKeeper にユーザーをプロビジョニングする手順について解説します。このメソッドでは、グループとグループ割り当てのプッシュがサポートされていません。グループプッシュとグループ割り当てが必要な場合は、「Cloud Serviceを使用したGoogle Workspaceユーザーとチームのプロビジョニング」のページをご参照ください。
{% endhint %}

### 概要

ユーザー プロビジョニングには、以下のライフサイクルマネジメント向け機能が備わっています。

* Google Workspaceに新しくユーザーを追加すると、そのユーザーにKeeperボルトセットアップの招待メールが届きます。
* ユーザーは、ユーザーまたはチーム単位でKeeperに割り当てることができます。
* ユーザーのプロビジョニングが解除されると、Keeperアカウントが自動的にロックされます。

Keeper管理コンソールから、Google Workspaceノードの**\[プロビジョニング]**タブに移動し、**\[メソッドを追加]**をクリックします。

![](https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FOfQxExrjZEfLfKXgMN9q%2FScreen%20Shot%202020-04-05%20at%2010.45.57%20AM.png?alt=media\&token=12aeed66-cd9a-4180-81dd-0eed7ee3836e)

SCIMを選択して\[次へ]をクリックします。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FPjTlnJBuz4CP5cHhDWia%2FScreen%20Shot%202020-04-05%20at%2010.46.30%20AM.png?alt=media&#x26;token=2f0ee787-4fcf-459f-a0f4-43d73ec506f3" alt=""><figcaption></figcaption></figure>

\[プロビジョニングトークンを作成]をクリックします。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2Fnr2akEY0CuGJrS2LPodf%2FScreen%20Shot%202020-04-05%20at%2010.46.39%20AM.png?alt=media&#x26;token=df3f076d-2624-44c6-97fb-dba1ba36692f" alt=""><figcaption></figcaption></figure>

次の画面に表示されるURLとトークンは、Google Workspace管理コンソールで必要となりますので、URLとトークンをファイルに一時的に保存してから\[保存] をクリックします。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2F4SnnzBIdfJSBJexLQx8D%2FScreen%20Shot%202020-04-05%20at%2010.47.22%20AM.png?alt=media&#x26;token=9e26888c-faf2-4b58-b5b4-6bad77db0d80" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
URLとトークンを必ず保存してから\[保存] をクリックするようにします。 これらのパラメータは次の手順で必要となります。
{% endhint %}

Google Workspace管理コンソールに戻って、Home (ホーム) > \[Apps] (アプリ) > \[SAML Apps] (SAMLアプリ) に移動し、セットアップしたKeeperの横の\[Provisioning Available] (プロビジョニングが利用可能) というテキストをクリックします。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FSQvbAKi5aLCsFcpOoWNX%2FScreen%20Shot%202020-04-05%20at%2010.43.55%20AM.png?alt=media&#x26;token=6e9d027c-97cb-4bcc-8f43-273cc944a9e4" alt=""><figcaption></figcaption></figure>

ページ下部にあ&#x308B;**\[Configure auto-provisioning]** (自動プロビジョニングの設定) を選択します。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FcZ8oWSEMcGV84JuHoe7r%2FSCIM.JPG?alt=media&#x26;token=75908099-aa8d-448b-ad35-223972caefad" alt=""><figcaption><p>SCIMプロビジョニング</p></figcaption></figure>

### 手順 1: アプリケーションの認証

Keeper管理コンソールでSCIMプロビジョニングメソッドを作成したときに保存したアクセストークンを貼り付け、\[CONTINUE] (続行) をクリックします。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FdSKDnk2Ac01Tpm3r0VZJ%2Ftoken.JPG?alt=media&#x26;token=334376fa-b6b2-463b-9b95-e6cf24c67092" alt=""><figcaption></figcaption></figure>

### 手順 **2: エンドポイントURL**

Keeper 管理コンソールでSCIMプロビジョニングメソッドを作成したときに保存したエンドポイント URLを貼り付け、\[CONTINUE] (続行) をクリックします。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FiJJZLO1jFxhp2Z1uDAxc%2Fgoogle-endpoint.JPG?alt=media&#x26;token=aa4b9755-ee7e-4396-85e0-15b8d361d7ad" alt=""><figcaption></figcaption></figure>

### 手順 3: デフォルトの属性マッピング

デフォルトの属性マッピングのまま\[CONTINUE] (続行) をクリックします。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2Fv7nUNR4GsEzIx27ZMl5Z%2Fattribute.JPG?alt=media&#x26;token=405b895e-ff74-45fc-aa7e-ece18faa3944" alt=""><figcaption></figcaption></figure>

### 手順 4: Provisioning Scope (プロビジョニングスコープ)

Keeper SSO Connectに割り当てられたすべてのユーザーをプロビジョニングする場合は、\[CONTINUE] (続行) をクリックします。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FmKgDnxef4t3BPutO2Bby%2Fgoogle-scope.JPG?alt=media&#x26;token=bce5708d-aeb2-4c65-8b58-9dca961abb51" alt=""><figcaption></figcaption></figure>

### 手順 5: Deprovisioning (プロビジョニング解除)

Deprovisioning (プロビジョニング解除) 画面で、\[FINISH] (完了)をクリックすると、ユーザーのプロビジョニング解除を自動化できます。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FDLetoiu1ED8Cl3wzthEg%2Fgoogle-depro.PNG?alt=media&#x26;token=f67bcac8-74a3-46a1-9034-5534c13f5b1f" alt=""><figcaption></figcaption></figure>

### Auto-provisioning (自動プロビジョニング) を有効にする

自動プロビジョニングのセットアップが完了すると、Keeperの詳細画面に戻ります。自動プロビジョニングが非アクティブになっているので**アクティブ**に切り替えます。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FsoxkFS89p3I1emaV4k0t%2Fgoogle-toggle.png?alt=media&#x26;token=f23d77f3-5da3-4878-b0c8-5f3db9a42693" alt=""><figcaption></figcaption></figure>

切り替えた後、自動プロビジョニングをアクティブにする準備ができていることを確認するポップアウトウィンドウが表示されるので、**\[TURN ON]**&#x3092;クリックします。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FOQsNWuV4S4OfjPCB0SLT%2Fgoogle-toogleon.JPG?alt=media&#x26;token=babeb166-e2f3-4c98-94d2-3d5c4a86ee33" alt=""><figcaption></figcaption></figure>

Keeperの詳細画面に戻ると、自動プロビジョニングがアクティブになっています。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2Fb07oT5liXPkt0vAABuw6%2Fgoogleprovi-active.PNG?alt=media&#x26;token=fa2d2b8e-e0c4-4e95-9612-8fb77ecf0d14" alt=""><figcaption></figcaption></figure>

自動プロビジョニングの設定が完了しました。今後、Google WorkspaceでKeeperを使用するように設定され、プロビジョニングスコープの定義内にある新しいユーザーは、Keeperボルト使用の招待を受け取り、Google Workspaceの制御下に置かれます。

### SSOを使用せずにSCIMでユーザーをプロビジョニング

Google Workspace SCIMプロビジョニングを介してKeeperにユーザーをプロビジョニングしつつSSOでユーザーを認証しない場合は、以下の手順を行います。

1. 上記のSSO設定の場合と同じ手順に従い、サービスプロバイダの詳細画面で**ACS URL**と**Entity ID**を、コントロール内のドメインを指し、通信可能なソースがない**NULL**値で置き換えます。\
   例:\
   **Entity ID**=<https://null.yourdomain.com/sso-connect>\
   **ACS URL**=<https://null.yourdomain.com/sso-connect/saml/sso><br>
2. Google Workspaceで Keeper アプリケーションがセットアップされると、本ページで前述した通りに自動プロビジョニングメソッドを有効にします。

{% hint style="info" %}
注: Googleは現在Keeperチームへのグループプロビジョニングに対応していません。
{% endhint %}

### トラブルシューティング

「not\_a\_saml\_app」というエラーが表示された場合は、SAML アプリケーションで「自動プロビジョニング」が「オン」になっていることを確かにしてください。

## Google証明書の更新

SAMLアサーションへの署名用GoogleのIdP x.509証明書は5年後に期限が切れるように設定されています。Google Workspaceの\[Manage Certificates] (証明書の管理) の箇所で有効期限をメモし、将来の機能停止を防ぐためにカレンダーのアラートを設定する必要があります。

証明書の有効期限が迫っている場合や証明書の有効期限が切れている場合は、以下の手順に従います。

1. [Google Workspace管理コンソール](https://admin.google.com)にログインします。
2. \[アプリ]をクリックしてから\[ウェブアプリとモバイルアプリ]を選択します。
3. Keeperを選択します。
4. サービスプロバイダを開きます。
5. \[証明書を管理]をクリックします。
6. \[ADD CERTIFICATE] (証明書の追加) をクリックします。
7. \[DOWNLOAD METADATA] (メタデータのダウンロード) をクリックします。 　
8. メタデータファイルを保存します。これがIdPメタデータとなります。
9. Keeper管理コンソールへログインします。
10. \[管理者] > SSOノード > プロビジョニングへ移動し、SSO Cloudプロビジョニングメソッドを編集します。
11. Google IdPメタデータをKeeperへアップロードします。

本件の詳細については、以下のGoogleサポートページをご参照ください。

<https://support.google.com/a/answer/7394709>

#### 既存のユーザーや初期管理者をSSO認証に移行させる

ルートノード (最上位) で作成されたユーザーは、SSO統合が設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力が必要となります。

{% hint style="warning" %}
管理者は、SSOが有効になっているノードに自分自身を移動することはできません。この操作を実行するには別の管理者が必要となります。
{% endhint %}

ユーザーがSSO対応ノードに移動した後、最初に\[法人SSOログイン]のプルダウンを選択し、SSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FbFfZY4rbYjOifBvaah9Y%2FJP_EG_EnterpriseSsoLogin1.png?alt=media&#x26;token=3c39d50f-e749-4a05-8883-9afa927613f1" alt=""><figcaption><p>Initially select 'Enterprise SSO Login'</p></figcaption></figure>

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FoaGsiuYsApEp4F3pzZDj%2FJP_EG_EnterpriseSsoLogin2.png?alt=media&#x26;token=f8c42ae7-f133-4690-bcbf-6c8e6b539eca" alt=""><figcaption></figcaption></figure>

メールアドレスを入力して\[次へ]をクリックしてもユーザーが目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。ルーティングとドメイン予約の詳細については、[こちら](https://docs.keeper.io/enterprise-guide/domain-reservation)をご覧ください。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/jp/sso-connect-cloud/identity-provider-setup/g-suite-keeper/google-workspace-user-provisioning-with-scim.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.