Okta
KeeperクラウドSSOコネクトをOktaと連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
Okta SSOの設定
Oktaポータルの管理者セクションにログインします。
左側のメニューから[Applications] (アプリケーション) を選択して、[Browse App Catalog] (アプリカタログを見る) をクリックします。
Keeperパスワードマネージャー (Keeper Password Manager) を検索し、Keeperパスワードマネージャ&デジタルボルト (Keeper Password Manager and Digital Vault) アプリケーションの[追加] (Add) ボタンを選択します。
次に表示される全般設定 (General Settings) ページで、Keeper管理コンソールに表示された「Entity ID」が必要になります。
サーバーベースURLの例: https://keepersecurity.com/api/rest/sso/saml/XXXXXXXX
XXXXXXXXの値は、ユーザーの企業に関連付けられた特定のSSO Connectインスタンスを表し、以下に示すように、サービスプロバイダ情報の一部として管理コンソールのSSO設定で確認できます。
Okta画面のベースURL (Base URL) フィールドにエンティティIDを貼り付けます。
次に、サインオン (Sign On) タブを選択します。
SAML署名証明書の設定セクションまで下にスクロールし、アクション (Actions) > IdPメタデータを表示 (View IdP metadata) を選択します。
表示されたXMLファイルをコンピュータに保存します。Chrome、Edge、Firefoxで、ファイル (File) > 名前を付けてページを保存... (Save Page As...) を選択して、metadata.xmlファイルを保存します。
Keeper側でSSO設定を編集して、IDPタイプにOKTAを選択し、metadata.xmlファイルを参照するか、または設定画面にドラッグアンドドロップして、KeeperクラウドSSOコネクトインターフェースにアップロードします。
(オプション) シングルログアウトを有効化
Oktaでシングルログアウト機能を有効にしたい場合は、サインオン (Sign On) タブに移動して、編集 (Edit) をクリックします。 「シングルログアウトを有効化(Enable Single Logout)」チェックボックスをクリックし、Keeper管理コンソールに表示されたSP証明書をアップロードします。
まずSP証明書をダウンロードするために、KeeperでSSO設定を表示し、SP証明書をエクスポート (Export SP Cert) ボタンをクリックします。
SP証明書ファイルをアップロードし、[保存] (Save) を必ずクリックして、サインオン設定をOktaに保存してください。
シングルログアウト設定を変更した場合は、最新のOktaメタデータファイルをダウンロードし直し、SSOの編集画面で新しいmetadata.xmlファイルをKeeperにアップロードする必要があります。
[Actions]メニューから、[View IdP metadata]を選択します。
表示されたXMLファイルをコンピュータに保存します。Chrome、Edge、Firefoxで、ファイル (File) > 名前を付けてページを保存... (Save Page As...) を選択して、metadata.xmlファイルを保存します。
Keeper管理コンソール側でSSO設定を編集してから、新しいmetadata.xmlファイルを参照するか、セットアップ画面にドラッグアンドドロップして、Keeper SSO Connectインターフェースにアップロードします。
Okta SCIMのプロビジョニング
Okta SCIMのユーザーおよびグループのプロビジョニングを有効にするには、こちらのエンタープライズガイドに記載されている手順に従ってください。
ユーザーの割り当て
Oktaから、割当 (Assignments) ページでユーザーまたはグループを追加できるようになりました。 こちらの手順に従ってSCIMプロビジョニングを有効化すると、ユーザーは即座にKeeperにプロビジョニングされます。
既存のユーザー/初期管理者をSSO認証に移行
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、こちらをご覧ください。
最終更新