Okta
Keeper SSO Connect CloudをOktaと連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
Okta SSOの設定
Oktaポータルの管理者セクションにログインします。
左側のメニューから[Applications] (アプリケーション) を選択して、[Browse App Catalog] (アプリカタログを見る) をクリックします。
**Keeperパスワードマネージャ(Keeper Password Manager)を検索し、Keeperパスワードマネージャ&デジタルボルト(Keeper Password Manager and Digital Vault)アプリケーションの追加(Add)**ボタンを選択します。
次に表示される全般設定(General Settings)ページで、Keeper管理コンソールに表示された「Entity ID」が必要になります。
サーバーベースURLの例: https://keepersecurity.com/api/rest/sso/saml/XXXXXXXX
XXXXXXXXの値は、ユーザーの企業に関連付けられた特定のSSO Connectインスタンスを表し、以下に示すように、サービスプロバイダ情報の一部として管理コンソールのSSO設定で確認できます。
Okta画面のベースURL(Base URL)フィールドにエンティティIDを貼り付けます。
次に、**サインオン(Sign On)**タブを選択します。
SAML署名証明書の設定セクションまで下にスクロールし、アクション(Actions) > IdPメタデータを表示(View IdP metadata)を選択します。
表示されたXMLファイルをコンピュータに保存します。Chrome、Edge、Firefoxで、**ファイル(File) > 名前を付けてページを保存...(Save Page As...)**を選択して、metadata.xmlファイルを保存します。
Keeper側でSSO設定を編集して、IDPタイプにOKTAを選択し、metadata.xmlファイルを参照するか、または設定画面にドラッグアンドドロップして、Keeper SSO Connectインターフェースにアップロードします。
(オプション)シングルログアウトを有効化
Oktaでシングルログアウト機能を有効にしたい場合は、**サインオン(Sign On)**タブに移動して、編集(Edit)をクリックします。 「シングルログアウトを有効化(Enable Single Logout)」チェックボックスをクリックし、Keeper管理コンソールに表示されたSP証明書をアップロードします。
まずSP証明書をダウンロードするために、KeeperでSSO設定を表示し、**SP証明書をエクスポート(Export SP Cert)**ボタンをクリックします。
SP証明書ファイルをアップロードし、**保存(Save)**を必ずクリックして、サインオン設定をOktaに保存してください。
シングルログアウト設定を変更した場合は、最新のOktaメタデータファイルをダウンロードし直し、SSOの編集画面で新しいmetadata.xmlファイルをKeeperにアップロードする必要があります。
[Actions]メニューから、[View IdP metadata]を選択します。
表示されたXMLファイルをコンピュータに保存します。Chrome、Edge、Firefoxで、**ファイル(File) > 名前を付けてページを保存...(Save Page As...)**を選択して、metadata.xmlファイルを保存します。
Keeper管理コンソール側でSSO設定を編集してから、新しいmetadata.xmlファイルを参照するか、セットアップ画面にドラッグアンドドロップして、Keeper SSO Connectインターフェースにアップロードします。
Okta SCIMのプロビジョニング
Okta SCIMのユーザーおよびグループのプロビジョニングを有効にするには、以下のEnterpriseガイドに記載されている手順に従ってください。 https://docs.keeper.io/enterprise-guide/user-and-team-provisioning/okta-integration-with-saml-and-scim
ユーザーの割り当て
Oktaから、**割当(Assignments)**ページでユーザーまたはグループを追加できるようになりました。 こちらの手順に従ってSCIMプロビジョニングを有効化すると、ユーザーは即座にKeeperにプロビジョニングされます。
既存のユーザー/初期管理者をSSO認証に移行
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
最終更新