Shibboleth

KeeperクラウドSSOコネクトとShibbolethでスムーズで安全なSAML 2.0認証とSCIMプロビジョニングを設定

最初に管理コンソールの設定の手順を完了してください。

手順 1. Keeperメタデータファイルをエクスポートして保存

Keeper管理コンソール内のSSO Connect Cloudプロビジョニングメソッドで[表示]を選択します。そこから、Keeperメタデータファイルをダウンロードして保存することができます。

Keeperメタデータファイルをエクスポート

手順 2. KeeperメタデータをShibbolethに追加

Shibbolethは、リライングパーティとしてのKeeperに関する基本情報を有している必要があります。その情報はSAMLメタデータで定義されていますので、Keeperメタデータファイルを IDP_HOME/metadata/ ディレクトリに追加します。

手順 3. 新規リライングパーティトラストをShibbolethに追加

IDP_HOME/conf/relying-party.xmlで新しいRelyingParty要素を定義することで、Keeperと通信する際にどのように動作するかをShibbolethに指示します。以下のコードをDefaultRelyingParty要素の直後に追加します。プロバイダ属性を法人IDに置き換えます (DefaultRelyingPartyで設定されているプロバイダを使用します)。

<RelyingParty id="keepersecurity.com"
        provider="https://keepersecurity.com/api/rest/sso/saml/264325172298110"
        defaultSigningCredentialRef="IdPCredential">
    <ProfileConfiguration xsi:type="saml:SAML2SSOProfile" encryptAssertions="never" encryptNameIds="never" />
</RelyingParty>

引き続きIDP_HOME/conf/relying-party.xmlファイルで、手順2で追加したKeeperメタデータファイルを使用する設定を行います。既存の設定済みプロバイダの隣に以下のMetadataProvider要素を追加します (ID値が「FSMD」であるはずです)。IDP_HOMEは実際のインストールパスに置き換えてください。

<!-- Keeper Metadata -->
<MetadataProvider id="KeeperMD" xsi:type="FilesystemMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata"
    metadataFile="IDP_HOME/metadata/keeper-metadata.xml" maintainExpiredMetadata="true" />

手順 4. 属性リゾルバーの設定

Keeperでは、認証中に特定のユーザー属性のマッピングが送信される必要があります。以下の表に見られるように、デフォルトのKeeper SSO Connect Cloudユーザー属性は、Email (メールアドレス)、First (名)、Last (姓)となります。IDP_HOME/conf/attribute-resolver.xmlを変更することで、Shibbolethの属性リゾルバーを設定してこのデータを利用できるようにします。

IdPのユーザー属性
Keeperのユーザー属性

<Email Address>

Email

<First Name>

First

<Last Name>

Last

Shibboleth Identity Provider SAML属性を設定する際に、KeeperはNameIDFormatがemailAddressの形式で提供されることを想定しています。推奨されたNameIDFormatを使用するか、Keeperにユーザー名ログイン識別子としてユーザーのメールアドレスを与えるような環境に適した値を入力します。

手順 5. 属性フィルタの設定

最後に、principal属性 (NameIDとしてエンコード) をGoogleに解放するようにShibboleth属性フィルタリングエンジンを設定します。以下のコードを既存のポリシー要素とともに IDP_HOME/conf/attribute-filter.xmlに追加します。

<AttributeFilterPolicy>
    <PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="keepersecurity.com" />

    <AttributeRule attributeID="principal">
        <PermitValueRule xsi:type="basic:ANY" />
    </AttributeRule>
</AttributeFilterPolicy>

手順 6. ShibbolethからメタデータXMLファイルを取得

  1. http://shibboleth.example.com/idp/shibbolethまたは <install_folder>/shibboleth-idp/metadataのShibbolethファイルシステムにあるShibbolethメタデータを見つけます。

  2. Shibbolethメタデータを手動で変更し、すべてのユーザーエンドポイントのコメントが解除されていることを確かにします (例: SingleLogout)。

  3. XMLファイルを保存します。

手順 7. IdPメタデータをKeeperにアップロード

Shibbolethメタデータ ファイルの準備ができると、Keeper管理コンソールに戻り、SSO Connectクラウドプロビジョニングメソッドで[編集]を選択します。

[アイデンティティプロバイダ]まで下にスクロールし、[IDP タイプ]を [GENERIC] に設定し、[ファイルの参照]を選択して Shibbolethメタデータファイルを選択します。

Keeper 管理コンソール内で編集ビューを終了し、SSO Connect Cloudプロビジョニングメソッドで[表示]を選択します。 [アイデンティティプロバイダ]セクション内に、現在設定されている法人ID、シングルサインオンサービス、シングルログアウトサービス エンドポイントのメタデータ値が表示されます。

SSOアプリケーションのメタデータ

グラフィックアセット

ShibbolethインスタンスでKeeperのアイコンやロゴファイルが必要な場合は、グラフィックアセットページをご参照ください。

KeeperクラウドSSOコネクトのセットアップはこれで完了です。SSOを使用してKeeperにログインしてみてください。

SSOが機能していない場合は、Shibbolethの設定、メタデータファイル、ユーザー属性にエラーがないか確認してください。

確認が完了後に手順4を繰り返します。

サポートが必要な場合は、enterprise.support@keepersecurity.comまでメールでお問い合わせください。

既存のユーザー/初期管理者をSSO認証に移行

ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。

管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

まず[法人SSOログイン]を選択

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、こちらをご覧ください。

最終更新