1 / 62

KeeperクラウドSSOコネクト

SSOとパスワードレスソリューションの強化

Keeper SSOコネクトは、クラウドベースのSAML 2.0サービスで、既存のシングルサインオンやパスワードレスソリューションとスムーズかつ速やかな連携を実現します。また、ゼロ知識のパスワード管理および暗号化技術によって支えられています。Microsoft Entra ID/Azure、Okta、Google Workspace、Centrify、Duo、OneLogin、Ping Identity、JumpCloudなどのSSO IdPプラットフォームに対応しています。

SSOプロバイダに加えて、SAML 2.0がサポートされているパスワードレス認証プラットフォームともスムーズに連携します。

製品ホームページ

IDプロバイダとの互換性

Keeper SSOコネクトはKeeperエンタープライズに含まれており、主要なSSO IDプロバイダに統合できます。

SSOプロバイダに加えて、Duo、HYPR、Trusona、Octopus、Traitware、Veridiumなど、SAML 2.0に対応した主要なパスワードレス認証プラットフォームとも統合できます。

Keeper SSOコネクトが選ばれる理由

ご利用のSSOソリューションをKeeperのパスワードマネージャと組み合わせることで、機能面とセキュリティ面でさまざまな利点があります。

概要

Keeper SSO Connect™ Cloudの概要

データ環境全体にわたるエンドツーエンドのパスワード保護

既存のIdPを通して認証するだけで、Keeperパスワード管理プラットフォームの全機能にアクセスできます。

デバイスや搭載OSを問わずにアクセスできるデジタルボルト
デバイスを問わず自動パスワード生成と自動入力
あらゆるシステム、ブラウザ、アプリに対応
ボルトデータのゼロ知識暗号化

このサービスは、どのようなオンプレミスサービスもクラウドサービスも必要とせず、マスターパスワードも使用しません。設定は、アイデンティティプロバイダとKeeperの管理コンソールの間で直接行います。

ゼロ知識を維持するため、デバイスごとに楕円曲線暗号の公開鍵と秘密鍵のペアが生成されます。デバイスの秘密鍵で、ユーザーのボルトが暗号化および復号化されます。新しいデバイスにサインインするには鍵交換が必要となりますが、その際にはKeeperプッシュ通知機能を使用するか指定された管理者が承認します。管理者による自動承認は、様々な方法で設定できます。

セットアップ手順

重要: SSOユーザーとプロビジョニングは、ルートノードではない専用ノードに存在する必要があります。これらの手順を始める前に、以下のように新しいノードを作成します。

Keeper SSO Connect Cloudは、以下の3つの手順で導入します。

Keeper管理コンソールのプロビジョニングでSSO Connect Cloudインスタンスを作成する
SAML IDプロバイダとメタデータを交換する
Keeperへの自動プロビジョニングのセットアップやユーザーの手動プロビジョニング

デバイス承認

「デバイス承認」と呼ばれる管理権限により、管理者がデバイス承認を行います。管理者による承認も自動化できます。詳細については、デバイス承認ページをご参照ください。

「デバイス」には物理デバイスだけでなくブラウザやブラウザのプロファイルも含まれます。

メリット

管理者の観点から、コスト面、リスク面、労力面において以下のようなメリットがあります。

セットアップが簡単で、Keeperの既存の管理コンソールの1か所ですべてを管理
IdPと連携するためのホスト型ソフトウェアが不要
追加のサーバー費用が不要
ソフトウェアへのパッチ適用が不要
単一障害点のリスクを排除
Keeperの高可用性システムによる24時間365日稼働

管理コンソールの設定

管理コンソールにKeeper SSO Connect Cloud™を設定

Keeper SSO Connect Cloud™の設定は非常に簡単で、これまでに他のサービスプロバイダにご利用のIdPを設定した経験があれば数分しかかかりません。以下の手順に従ってください。

1) Keeper管理コンソールからKeeper管理者としてログインします。 US: EU: AU: CA: JP: US GovCloud:

Cloud SSO連携は、ルートノードの下のノードにしか適用できません。以下の手順に従って、ユーザーとポリシーをプロビジョニングするためのノードを必ず作成してください。

2) ログイン後、[管理者]メニューをクリックして、[ノードを追加]を選択します。この新しく作成するノードでSSOユーザーにプロビジョニングします。

3) 新しいノードで[プロビジョニング]タブを選択し、[メソッドを追加]をクリックします。

4) [SSO Connect Cloudを使用したシングルサインオン]を選択して[次へ]を選択します。

5) 環境設定名と法人ドメインを入力します。 環境設定名はエンドユーザーには表示されませんので、複数の設定を管理できます。 法人ドメインはログインに使用されるため、一意で覚えやすい名前を選択することを推奨します。

環境設定名 内部でのみ使用され、ユーザーには表示されません。
法人ドメイン 特定のフローで認証する場合にユーザーが入力します。ドメイン名か任意の固有の文字列となります。
ジャストインタイムプロビジョニングを有効にする ユーザーがKeeper Enterpriseテナントに自らサインアップできるようにするには、ジャストインタイムプロビジョニング機能を有効にします。デフォルトでは有効になっています。ドメインが予約されている場合、ドメイン名を持つ新しいユーザーは、ジャストインタイムプロビジョニングによって自動的にSSOプロバイダにルーティングされるようになります。ジャストインタイムSSOプロビジョニングの代わりにKeeper Bridgeを使用してユーザーをプロビジョニングする場合は、OFFにしてください。

6) [保存]をクリックして次の手順に進むと、設定の編集画面が自動的に開きます。

7) 設定の編集画面で、ご利用のIdP (または「汎用」) を選択してそのIDプロバイダからKeeperにメタデータファイルをアップロードし、3つの必須属性マッピングを設定します。なお、KeeperはあらゆるSAML 2.0準拠IDプロバイダと連携しています。

ここではさらに2つのオプションがご利用になれます。

IsPassiveを有効化: IdPから要求されない限り、オフのままにすることを推奨します。
ForceAuthn: Keeperボルトへログインする度に新しいSSOログインセッションを強制したい場合にオンにします。

アイデンティティプロバイダ 一般的なIDプロバイダの設定をご利用になれるようして手間を省くために、ドロップダウンの[IDPタイプ]から事前に定義された設定を選択できます。ご利用のIDプロバイダが一覧にない場合は、[GENERIC]を選択してください。
SAMLメタデータ IdPから取得したIdPメタデータファイルをKeeperの設定画面にドラッグアンドドロップします。このファイルには、URLエンドポイントと署名付きアサーションを検証するためのデジタル証明書が含まれます。
アイデンティティプロバイダ属性マッピング 名前、苗字、メールアドレスの呼称がデフォルトで[First]、[Last]、[Email]となっていますが、変更は可能です。ご利用のIDプロバイダが、記載通りに（大文字と小文字を区別して）この画面のフィールド名にマッピングしていることを確かにしてください。
シングルサインオンエンドポイント環境設定 こちらは詳細設定で、デフォルトでは[HTTP POSTを優先]となっています。

8) IdPの設定の途中で、Keeperから法人IDやACS URLなどのパラメータを入力する必要があります。この情報は、前の画面に戻って[表示]をクリッすると表示される設定表示画面で確認できます。

この画面に表示されているURLをメモしておいてください。これらURLをIDプロバイダ内に設定する必要がある場合があります。

エンティティID 「SPエンティティID (SP Entity ID)」または「発行者 (Issuer)」と表記される場合もあります。基本的には、固有の識別子で双方が認識されてている必要があります。多くの場合、エンティティIDはACS URLエンドポイントと同じです。
Assertion Consumer Serviceエンドポイント (ACS URL) ユーザーの認証後にIDプロバイダがアサーションを送信するKeeperのURLエンドポイントです。 Keeperに送信されるデータには、ユーザーがIDプロバイダに正常にサインインしたかどうかを示す署名付きアサーションが含まれます。このアサーションは、IDプロバイダの秘密鍵で署名されています。 Keeperで、IdPメタデータファイルに含まれるIDプロバイダの公開鍵を使用して署名が認証されます。
シングルログアウトエンドポイント (SLO) KeeperのURLエンドポイントで、IDプロバイダによるログアウトリクエストの送信先となります。シングルログアウトは任意でご利用になれ、IDプロバイダで設定します。

この情報は、Keeper XMLメタデータファイルでも確認できます。このファイルは、[メタデータをエクスポート]をクリックすることでダウンロードできます。必要に応じてこのメタデータファイルをIDプロバイダにアップロードしてください。

ドメイン予約とジャストインタイムプロビジョニング

ジャストインタイムプロビジョニングを有効にすると、ボルトのログイン画面でユーザーがメールアドレスを入力して[次へ]をクリックした際に、ユーザーがIDプロバイダに自動的にルーティングされます。これは、ウェブボルト、デスクトップアプリ、ブラウザ拡張機能、iOSアプリ、Androidアプリなど、すべてのデバイスに適用されます。

Keeperではパーソナルドメインのリストを保持していますので、たとえば、gmail.comやyahoo.comなどを予約して、一般ユーザーが実在を確認済みのメールアドレスを使用してこれらのドメインのKeeperアカウントを作成することはできません。

企業テナント外で予約済みドメインを使用した個人アカウントまたは企業アカウントの作成をエンドユーザーに許可したい場合は、Keeperサポートチームにお問い合わせください。ご希望のドメインのロックを解除いたします。

管理コンソールでKeeper SSO Connect Cloudを設定した後は、IDプロバイダでアプリケーションを設定します。をご参照ください。

SSO IDプロバイダ

SSO Connect CloudでIDプロバイダを設定

SAML 2.0準拠IDプロバイダの設定の前に管理コンソールを設定してきます。個々のIDプロバイダの設定する際の助けとなるよう、以下にガイドをご用意しました。

Microsoft ADFS
Amazon AWS
Auth0
Entra ID (Azure AD)
Centrify
Duo SSO
F5
Google Workspace
JumpCloud
Okta
OneLogin
Ping Identity
PingOne
Rippling
RSA SecurID Access
SecureAuth
Shibboleth
HENNGE
その他のSAML 2.0プロバイダ

ご利用のIDプロバイダがこちらに記載されていなくても問題ありません。KeeperはすべてのSAML 2.0 SSO IDプロバイダとパスワードレス認証製品と互換性があります。上記のリストから類似のプロバイダがあれば、設定の流れはほぼ同じなので、その設定手順に従って設定してください。

(ご利用のIDプロバイダ用の設定ガイドを作成された場合、共有いただけましたらこちらに掲載させていただきます。)

Auth0

Keeper SSO Connect CloudをAuth0と連携させて、スムーズで安全なSAML 2.0認証を実現

最初にの手順を完了してください。

Auth0 SSOの設定

Auth0ポータルの管理者セクションにログインします。

[Applications] (アプリケーション) タブを選択し、[Create Application] (アプリケーションを作成) をクリックします。[Regular Web Applications] (通常のウェブアプリケーション) を選択します。

次に、[Addons] (アドオン) タブに移動して、[SAML2 WEB APP] (SAML2ウェブアプリ) をクリックします。

次に表示される設定ページで、Keeper管理コンソールに表示された[Assertion Consumer Service（ACS）エンドポイント]が必要になります。

ACSエンドポイントの例: https://keepersecurity.com/api/rest/sso/saml/XXXXXXXX

この値は、以下のようにサービスプロバイダの情報の一部としてSSO Connect Cloudの設定で確認できます。

ACSエンドポイントをAuth0画面の[Application Callback URL] (アプリケーションコールバックURL) フィールドに貼り付けます。

次に、SAML2 Web App編集ウィンドウでサンプルのJSONを削除して以下に置き換えます。

「audience」の値は法人IDとなります。この値もサービスプロバイダ情報の一部として、SSO Connect Cloudの設定で確認できます。

法人IDを追加した後、[Debug] (デバッグ) ボタンをクリックして、設定に問題がないことをご確認ください。

次に、SAML2 Web Appウィンドウを一番下までスクロールして、[Save] (保存) をクリックします。

次に、[Usage] (使用) タブをクリックし、IDプロバイダのメタデータファイルをダウンロードします。

Keeper側でSSOの設定を編集し、[IDP タイプ]に[GENERIC] (汎用) を選択します。metadata.xmlファイルを参照するか設定画面にドラッグアンドドロップして、Keeper SSO Connectインターフェースにアップロードします。

既存のユーザー/初期管理者をSSO認証に移行

ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。

管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。ルーティングとドメイン予約の詳細については、をご覧ください。

Centrify

Keeper SSO Connect CloudをCentrifyと連携させて、スムーズで安全なSAML 2.0認証を実現

最初にの手順を完了してください。

Centrify

クラウドログインを使用して、CentrifyのAdmin portal (管理者ポータル) にログインします。

プルダウンメニューからAdmin portal (管理者ポータル) に切り替えます。

Quick Start Wizard (クイックスタートウィザード) がポップアップ表示された場合は、閉じます。メニューから[Apps] (アプリ) を選択し、[Add Web Apps] (ウェブアプリ) を選択します。

Add Web Apps (ウェブアプリを追加) ウィンドウで、[Custom] (カスタム) タブを選択し、下にスクロールしてSAMLの横の[Add] (追加) を選択します。

Do you want to add this application? (このアプリケーションを追加しますか？) のプロンプトで[Yes] (はい) を選択します。

Add Web Apps (ウェブアプリを追加) ウィンドウを閉じます。

次に、KeeperのSSOメタデータをCentrifyにアップロードします。 Keeper管理コンソールで、SAMLメタデータファイルをエクスポートします。

[表示]をクリックして[メタデータをエクスポート]に移動します。

Centrifyの[SAML Application Settings] (SAMLアプリケーション設定) セクションで、[Upload SP Metadata] (SPメタデータをアップロード) を選択します。

[Upload SP Metadata from a file] (ファイルからSPメタデータをアップロード) を選択し、[Browse]をクリックしてKeeperSSOMetadata.xmlファイルを選択し、[OK]を選択します。

Identity Provider SAML Meta data (IDプロバイダのSAMLメタデータ) をダウンロードします。これをKeeper SSO Connectにアップロードします。

Description (説明) セクションで、Application Name (アプリケーション名) フィールドにKeeper SSO Connectと入力し、Category (カテゴリ) フィールドで[Security] (セキュリティ) を選択します。

Keeperのロゴをダウンロードします。 [Select Logo] (ロゴを選択) を選択して、Keeperのロゴ (keeper60x60.png) をアップロードします。

[User Access] (ユーザーアクセス) セクションで、Keeperにアクセスできるロールを選択します。

Account Mapping (アカウントマッピング) セクションで、「Use the following Directory Service field to supply the user name」 (以下のディレクトリサービスを仕様してユーザー名を供給する) を選択して「mail」と入力します。

Advanced (詳細設定) セクションで、以下のコードを含むスクリプトを追加します。

上記のスクリプトで、User Account (ユーザーアカウント) セクションから表示名を読み取ります。FirstName属性は、DisplayNameの最初の文字列から取得し、LastName属性は、DisplayNameの2番目の文字列から取得します。

[Save] (保存) を選択して設定を完了します。

ファイルを編集画面にドラッグアンドドロップして、Identity Provider Metadata (IDプロバイダのSAMLメタデータ) ファイルをKeeper SSO Connect Cloudインスタンスのインターフェースにアップロードします。

アップロードが完了すると、画面をひとつ戻ります。 SSO連携をテストする準備ができました。

CloudGate UNO

KeeperクラウドSSOコネクトをCloudGate UNOと連携させて、スムーズで安全なSAML 2.0認証を実現

最初に管理コンソールの設定の手順を完了してください。

CloudGate SSOの設定

CloudGate管理者コンソールへログインします。

[Admin Site]のタイルをクリックします。

左側のメニューから[設定] > [サービスプロバイダー]を選択し、[サービスプロバイダー追加]をクリックします。

「サービスプロバイダー追加」ページの検索バーで「Keeper」を検索します。「Keeper SSO Connect Cloud」のアイコンを選択してクリックします。

「一般設定」タブの「表示名」を「Keeper_SSO_Cloud_Connet」など任意の名前に設定します。

「シングルサインオン設定」タブで、「エンティティID」などの情報が必要になりますので、Keeper管理コンソールを開いてコピーします。

コピーした「エンティティID」などの情報をCloudGateのシングルサインオン設定ページに貼り付けます。

SSO IDは、SPエンティティIDの末尾にあります。

例: https://keepersecurity.com/api/rest/sso/saml/3534758084794

「追加属性」で[追加]をクリックし、「フィールド名」を「Email」に「値」を「${MAIL_ADDRESS}」に設定して保存します。

シングルログアウトを有効にする (任意)

CloudGateでシングルログアウト機能を有効にする場合は、「シングルサインオン設定」タブに移動して「ログアウトURL」を入力してから、Keeper管理コンソールから取得したSP証明書をアップロードします。

SP証明書をダウンロードするには、Keeper管理コンソールでSSO設定ページを表示し、[SP 認証エクスポート]ボタンをクリックします。

次に、「シングルログアウト (SLO) エンドポイント」情報をコピーして、CloudGateのシングルサインオン設定ページに貼り付けます。

最後に、「シングルサインオン設定」タブの「SMAL 2.0 メタデータ」からメタデータをダウンロードして、KeeperクラウドSSOコネクトへインポートします。

Keeper管理コンソールへ戻り、作成したクラウドSSOコネクトによるSSO設定の編集画面に入ります。「IDPタイプ」を「GENERIC」に設定し、ファイルを「ここにファイルをドロップしてください」と書かれた箇所へドラッグアンドドロップします。

ユーザーの割り当て

CloudGateの左側のメニューの「アカウント管理」 > 「ユーザー」へ移動し、任意のユーザーをクリックします。「ユーザー管理」ページの「ユーザー設定」タブでユーザーを追加できるようになっています。

同じページの「ユーザーID」の下の[さらに表示する]をクリックして「メールアドレス」の値が入っていることを確認します。

[保存]をクリックして、KeeperクラウドSSOコネクトとCloudGateの設定を完了します。

Keeper SSOコネクトの設定が完了しました！

CloudGate SCIMプロビジョニング

CloudGate SCIMユーザーとグループのプロビジョニングを有効にする方法については、Keeperエンタープライズガイドのをご参照ください。

既存のユーザー/初期管理者をSSO認証に移行

管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

DUO SSO

KeeperクラウドSSOコネクトをDUO SSOと連携させて、スムーズで安全なSAML 2.0認証を実現

最初に管理コンソールの設定の手順を完了してください。

Duoのセットアップ

以下の手順では、Duoが正常に有効化され、認証ソース (Active DirectoryまたはIdP) が設定済みであることを前提としています。Duo SSO を有効にするには、Duo Admin Panel (管理パネル) にアクセスし、「Single Sign-On」 (シングルサインオン) セクションにアクセスします。

手順 1: DUO SSOの設定

DuoのAdmin Panel (管理パネル) にログインし、左側のナビゲーションバーの[Protect an Application] (アプリケーションの保護) をクリックします。Keeperを検索し、アプリケーションリストから、保護タイプが[2FA with SSO hosted by Duo (Single Sign-On)] (DuoがホストするSSOによる2FA (シングルサインオン)」のKeeper Securityを見つけて、[Protect] (保護) をクリックします。

手順 2: メタデータ

[Download] (ダウンロード) セクションで、ご利用のSSOプロビジョニングメソッドにアップロードするためのSAMLメタデータファイルをダウンロードします。

Keeper管理コンソールに戻り、DUOクラウドSSOコネクトのプロビジョニングメソッドを見つけて、[編集]を選択します。

[アイデンティティプロバイダ]セクションまで下にスクロールし、[IDP タイプ]を[DUO SSO]に設定して、[ファイルを参照]を選択し、先ほどダウンロードしたDUOメタデータファイルを選択します。

引き続き、Keeper管理コンソール内のDUOクラウドSSOコネクトのプロビジョニングメソッドで、編集ビューを終了して、[表示]を選択します。サービスプロバイダセクション内に、[エンティティID]、[IDP起点ログインエンドポイント]、[アサーションコンシューマーサービス (ACS) エンドポイント]のメタデータの値が表示されます。

[シングルログアウトサービスエンドポイント]はオプションです。

Duo Admin Panel (管理パネル) のアプリケーションページに戻り、Entity ID (エンティティID)、Login Enndpoint (ログインエンドポイント)、ACS Endpoint (ACSエンドポイント) をコピーして、Service Provider (サービスプロバイダ) セクションに貼り付けます。

手順 3: ユーザー属性をマッピング

SAML Response (SAMLレスポンス) セクション内で、Map attribute (属性をマッピング) まで下にスクロールして、以下の属性をマッピングします。

3つの属性 (First (名)、Last (姓)、Email (メール)) が上記のように正確なスペルで設定されていることをご確認ください。

手順 4: ポリシー

Policy (ポリシー) セクションでは、ユーザーがこのアプリケーションにアクセスするときの認証のタイミングと方法を定義します。グローバルポリシーは常に適用されますが、そのルールはカスタムポリシーで上書きできます。

手順 5: グローバルポリシー

Global Policy (グローバルポリシー) セクションでは、DUOまたはKeeperの管理者に表示されるすべてのグローバルポリシーを閲覧、編集、確認できます。

これでKeeper Security EPM - Single Sign-Onの設定が完了しました。

トラブルシューティング

ご利用のDUO環境内へのKeeper Security EPM - Single Sign-Onの実装に関してサポートが必要でしたら、Keeperサポートチームまでお問い合わせください。

既存のユーザー/初期管理者をSSO認証に移行

ユーザーにDuoでログインしてもらいたい場合は、Keeper管理コンソールのルートノード (最上位) で作成されたユーザーをSSO対応ノードに移動する必要があります。管理者は自分自身をSSO対応ノードに移動できません。これには別の管理者が必要となります。

ユーザーがSSO対応ノードに移動した後、メールアドレスを入力し[次へ]をクリックするだけでKeeperボルトにログインできるようになります。機能しない場合は、メールドメイン (例: company.com) がこと、ジャストインタイムプロビジョニングが有効になっていることを確認してください。

法人ドメインでオンボードするには、ユーザーは[法人SSOログイン]からKeeper管理コンソールで設定された法人ドメインを入力します。

ユーザーがSSOで認証されると、今後はメールアドレスを入力するだけSSO認証を開始できます。

メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。ルーティングとドメイン予約の詳細については、をご覧ください。

F5

Keeper SSO Connect CloudをF5 BIG-IP APMと連携させて、スムーズで安全なSAML 2.0認証を実現

最初に管理コンソールの設定の手順を完了してください。

F5

F5 BIG-IP APMで、Keeperプラットフォーム用の新しいSAML IdPサービスを設定します。 Access Policy (アクセスポリシー) -> SAML -> BIG-IP as IdP (IdPとしてのBIG-IP) -> Local IdP services (ローカルIdPサービス) に移動します。

[Access Policy] (アクセスポリシー) > SAML: BIG-IP as IdP (IdPとしてのBIG-IP) > Local IdP services (ローカルIdP サービス) へ移動します。該当するIdP接続ポイントを選択し、Export Metadata (メタデータをエクスポート) を選択します。

F5 BIG-IP APMから抽出したメタデータファイルをSSO Connect Cloudインスタンスにインポートし、IDPタイプにF5を選択します。

[保存]を選択して設定を保存し、すべての設定が正しいことを確認します。 [メタデータをエクスポート]をクリックして、Keeper SSO Connect Cloudメタデータファイルをエクスポートし、F5 BIG-IP APMの設定に使用します。

これでKeeper SSO Connectの設定は完了です。

SCIMを使用したGoogle Workplaceユーザープロビジョニング

SCIMを直接Google Workplaceに統合してユーザープロビジョニング

本ページでは、SCIMの直接統合を使用してGoogle WorkspaceからKeeper にユーザーをプロビジョニングする手順について解説します。このメソッドでは、グループとグループ割り当てのプッシュがサポートされていません。グループプッシュとグループ割り当てが必要な場合は、「Cloud Serviceを使用したGoogle Workspaceユーザーとチームのプロビジョニング」のページをご参照ください。

概要

ユーザープロビジョニングには、以下のライフサイクルマネジメント向け機能が備わっています。

Google Workspaceに新しくユーザーを追加すると、そのユーザーにKeeperボルトセットアップの招待メールが届きます。
ユーザーは、ユーザーまたはチーム単位でKeeperに割り当てることができます。
ユーザーのプロビジョニングが解除されると、Keeperアカウントが自動的にロックされます。

Keeper管理コンソールから、Google Workspaceノードの[プロビジョニング]タブに移動し、[メソッドを追加]をクリックします。

SCIMを選択して[次へ]をクリックします。

[プロビジョニングトークンを作成]をクリックします。

次の画面に表示されるURLとトークンは、Google Workspace管理コンソールで必要となりますので、URLとトークンをファイルに一時的に保存してから[保存] をクリックします。

URLとトークンを必ず保存してから[保存] をクリックするようにします。これらのパラメータは次の手順で必要となります。

Google Workspace管理コンソールに戻って、Home (ホーム) > [Apps] (アプリ) > [SAML Apps] (SAMLアプリ) に移動し、セットアップしたKeeperの横の[Provisioning Available] (プロビジョニングが利用可能) というテキストをクリックします。

ページ下部にある[Configure auto-provisioning] (自動プロビジョニングの設定) を選択します。

手順 1: アプリケーションの認証

Keeper管理コンソールでSCIMプロビジョニングメソッドを作成したときに保存したアクセストークンを貼り付け、[CONTINUE] (続行) をクリックします。

手順 2: エンドポイントURL

Keeper 管理コンソールでSCIMプロビジョニングメソッドを作成したときに保存したエンドポイント URLを貼り付け、[CONTINUE] (続行) をクリックします。

手順 3: デフォルトの属性マッピング

デフォルトの属性マッピングのまま[CONTINUE] (続行) をクリックします。

手順 4: Provisioning Scope (プロビジョニングスコープ)

Keeper SSO Connectに割り当てられたすべてのユーザーをプロビジョニングする場合は、[CONTINUE] (続行) をクリックします。

手順 5: Deprovisioning (プロビジョニング解除)

Deprovisioning (プロビジョニング解除) 画面で、[FINISH] (完了)をクリックすると、ユーザーのプロビジョニング解除を自動化できます。

Auto-provisioning (自動プロビジョニング) を有効にする

自動プロビジョニングのセットアップが完了すると、Keeperの詳細画面に戻ります。自動プロビジョニングが非アクティブになっているのでアクティブに切り替えます。

切り替えた後、自動プロビジョニングをアクティブにする準備ができていることを確認するポップアウトウィンドウが表示されるので、[TURN ON]をクリックします。

Keeperの詳細画面に戻ると、自動プロビジョニングがアクティブになっています。

自動プロビジョニングの設定が完了しました。今後、Google WorkspaceでKeeperを使用するように設定され、プロビジョニングスコープの定義内にある新しいユーザーは、Keeperボルト使用の招待を受け取り、Google Workspaceの制御下に置かれます。

SSOを使用せずにSCIMでユーザーをプロビジョニング

Google Workspace SCIMプロビジョニングを介してKeeperにユーザーをプロビジョニングしつつSSOでユーザーを認証しない場合は、以下の手順を行います。

上記のSSO設定の場合と同じ手順に従い、サービスプロバイダの詳細画面でACS URLとEntity IDを、コントロール内のドメインを指し、通信可能なソースがないNULL値で置き換えます。例: Entity ID= ACS URL=
Google Workspaceで Keeper アプリケーションがセットアップされると、本ページで前述した通りに自動プロビジョニングメソッドを有効にします。

注: Googleは現在Keeperチームへのグループプロビジョニングに対応していません。

トラブルシューティング

「not_a_saml_app」というエラーが表示された場合は、SAML アプリケーションで「自動プロビジョニング」が「オン」になっていることを確かにしてください。

Google証明書の更新

SAMLアサーションへの署名用GoogleのIdP x.509証明書は5年後に期限が切れるように設定されています。Google Workspaceの[Manage Certificates] (証明書の管理) の箇所で有効期限をメモし、将来の機能停止を防ぐためにカレンダーのアラートを設定する必要があります。

証明書の有効期限が迫っている場合や証明書の有効期限が切れている場合は、以下の手順に従います。

にログインします。
[アプリ]をクリックしてから[ウェブアプリとモバイルアプリ]を選択します。
Keeperを選択します。
サービスプロバイダを開きます。
[証明書を管理]をクリックします。
[ADD CERTIFICATE] (証明書の追加) をクリックします。
[DOWNLOAD METADATA] (メタデータのダウンロード) をクリックします。　
メタデータファイルを保存します。これがIdPメタデータとなります。
Keeper管理コンソールへログインします。
[管理者] > SSOノード > プロビジョニングへ移動し、SSO Cloudプロビジョニングメソッドを編集します。
Google IdPメタデータをKeeperへアップロードします。

本件の詳細については、以下のGoogleサポートページをご参照ください。

既存のユーザーや初期管理者をSSO認証に移行させる

ルートノード (最上位) で作成されたユーザーは、SSO統合が設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力が必要となります。

管理者は、SSOが有効になっているノードに自分自身を移動することはできません。この操作を実行するには別の管理者が必要となります。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンを選択し、SSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

メールアドレスを入力して[次へ]をクリックしてもユーザーが目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。ルーティングとドメイン予約の詳細については、をご覧ください。

HENNGE

KeeperクラウドSSOコネクトをHENNGEと連携させて、スムーズで安全なSAML 2.0認証を実現

最初に管理コンソールの設定の手順を完了してください。

HENNGE SSO設定

HENNGE管理者コンソールへログインします。

メニューの[Administration] (管理) タイルをクリックします。

[Connected Services] (接続済みサービス) を選択し、[Add Service] (サービスを追加) をクリックします。

[Add New Service] (新規サービスを追加) ページの[Add Service for SSO]で、[Add Service Manually] (手動でサービスを追加) をクリックします。

サービス名を「Keeper Password Manager and Digital Vault」など任意の名前に設定し、「UsePrincipleName (UPN)」という値の属性Emailクレームを追加して[Submit]ボタンをクリックします。

お使いの環境で、user.userprincipalname (UPN) がユーザーの実際のメールアドレスと異なる場合は、Emailクレームを編集して、Email属性の値をuser.mailに変更できます。

これで、手順5のKeeper 側の設定に必要な値がすべて表示されます。右上の[X]をクリックして、このページから一旦離れます。

[Connected Services menu] (接続サービス) メニューで作成したサービス名をクリックし、[Upload Using Metadata] (メタデータを使用してアップロード) ボタンをクリックします。

Keeper メタデータは管理コンソールで利用できます。プロビジョニングのメソッド -> [表示] -> [メタデータをエクスポート]に移動します。

メタデータをアップロードした後、HENNGE Connected Service設定ページに戻り、https://keepersecurity.com/api/rest/sso/ext_login/<SSOID>のようにログインURLを入力します。

SSO IDはSPエンティティIDの末尾にあります。例: https://keepersecurity.com/api/rest/sso/saml/3534758084794

ページの一番下までスクロールし、[Save Changes] (変更を保存) ボタンを選択して設定を完了します。

最後に、このコネクタからメタデータをエクスポートしてKeeper SSO Connect Cloud™へインポートします。

[IDPタイプ]を[Generic]に設定し、このファイルを編集画面にドラッグアンドドロップしてKeeper SSO Connect Cloud™ プロビジョニングインターフェイスにアップロードします。

ユーザーの割り当て

HENNGEで、[User list] (ユーザーリスト) ページの [Access Policy] (アクセスポリシー) でユーザーを追加したり、[Access Policy Groups] (アクセスポリシーグループ) ページの[Allowed services] ( 許可されたサービス) の箇所でグループを追加したりできるようになりました。

KeeperクラウドSSOコネクトのセットアップが完了しました。

既存のユーザー/初期管理者をSSO認証に移行

管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

Imprivata (英語)

只今本ページの日本語化を進めております。以下の英語版ページをご利用ください。

JumpCloud

KeeperクラウドSSOコネクトをJumpCloudと連携させて、スムーズで安全なSAML 2.0認証を実現

最初に管理コンソールの設定の手順を完了してください。

JumpCloud

JumpCloud管理者コンソールにログインします。

サイドメニューのSSOタブを選択します。

次に、左上隅の + アイコンを選択します。

「SSOアプリケーションを導入する (Get Started with SSO Application）」ページの検索バーで、Keeperを検索します。Keeperアプリケーションの設定 (Configure) を選択します。

次に、Keeperアプリケーションのコネクタページの一般情報 (General Info) セクションで、表示ラベル (Display Label) を設定します。 Keeper Securityパスワードマネージャ

シングルサインオン設定 (Single Sign-On Configuration) で、[メタデータをアップロード (Upload Metadata)] ボタンをクリックします。

Keeperのメタデータは管理コンソールで取得できます。プロビジョニングインスタンス -> 表示 (View) -> メタデータをエクスポート (Export Metadata) に移動します。

メタデータをアップロードしたら、JumpCloudのSSO設定ページに戻り、ログインURLをhttps://keepersecurity.com/api/rest/sso/ext_login/<ご利用のSSO IDをこちらに入力> のように入力します。

ご利用のSSO IDは、SPエンティティIDの最後に記載されています。例: https://keepersecurity.com/api/rest/sso/saml/459561502469

ページの一番下までスクロールして設定を完了し、[有効化 (activate)] ボタンを選択します。

最後の手順では、このコネクタからメタデータをエクスポートして、KeeperクラウドSSOコネクトにインポートします。

IDPタイプ (IDP Type) を汎用 (GENERIC) に設定し、このファイルを編集画面にドラッグアンドドロップして、KeeperクラウドSSOコネクトのプロビジョニングインターフェースにアップロードします。

KeeperクラウドSSOコネクトのセットアップが完了しました。

ユーザープロビジョニング SSO+SCIM

JumpCloud®はSCIM (System for Cross Domain Identity Management) によるユーザーおよびチームの自動プロビジョニングをサポートしており、JumpCloud®で変更が加えられると、Keeperユーザーアカウントを更新して無効化します。順を追った説明は、のページでご確認ください。

既存のユーザー/初期管理者をSSO認証に移行

管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

Okta

KeeperクラウドSSOコネクトをOktaと連携させて、スムーズで安全なSAML 2.0認証を実現

最初に管理コンソールの設定の手順を完了してください。

Okta SSOの設定

Oktaポータルの管理者セクションにログインします。

左側のメニューから[Applications] (アプリケーション) を選択して、[Browse App Catalog] (アプリカタログを見る) をクリックします。

Keeperパスワードマネージャー (Keeper Password Manager) を検索し、Keeperパスワードマネージャ&デジタルボルト (Keeper Password Manager and Digital Vault) アプリケーションの[追加] (Add) ボタンを選択します。

次に表示される全般設定 (General Settings) ページで、Keeper管理コンソールに表示された「Entity ID」が必要になります。

サーバーベースURLの例: https://keepersecurity.com/api/rest/sso/saml/XXXXXXXX

XXXXXXXXの値は、ユーザーの企業に関連付けられた特定のSSO Connectインスタンスを表し、以下に示すように、サービスプロバイダ情報の一部として管理コンソールのSSO設定で確認できます。

Okta画面のベースURL (Base URL) フィールドにエンティティIDを貼り付けます。

次に、サインオン (Sign On) タブを選択します。

SAML署名証明書の設定セクションまで下にスクロールし、アクション (Actions) > IdPメタデータを表示 (View IdP metadata) を選択します。

表示されたXMLファイルをコンピュータに保存します。Chrome、Edge、Firefoxで、ファイル (File) > 名前を付けてページを保存... (Save Page As...) を選択して、metadata.xmlファイルを保存します。

Keeper側でSSO設定を編集して、IDPタイプにOKTAを選択し、metadata.xmlファイルを参照するか、または設定画面にドラッグアンドドロップして、KeeperクラウドSSOコネクトインターフェースにアップロードします。

(オプション) シングルログアウトを有効化

Oktaでシングルログアウト機能を有効にしたい場合は、サインオン (Sign On) タブに移動して、編集 (Edit) をクリックします。 「シングルログアウトを有効化（Enable Single Logout）」チェックボックスをクリックし、Keeper管理コンソールに表示されたSP証明書をアップロードします。

まずSP証明書をダウンロードするために、KeeperでSSO設定を表示し、SP証明書をエクスポート (Export SP Cert) ボタンをクリックします。

SP証明書ファイルをアップロードし、[保存] (Save) を必ずクリックして、サインオン設定をOktaに保存してください。

シングルログアウト設定を変更した場合は、最新のOktaメタデータファイルをダウンロードし直し、SSOの編集画面で新しいmetadata.xmlファイルをKeeperにアップロードする必要があります。

[Actions]メニューから、[View IdP metadata]を選択します。

Keeper管理コンソール側でSSO設定を編集してから、新しいmetadata.xmlファイルを参照するか、セットアップ画面にドラッグアンドドロップして、Keeper SSO Connectインターフェースにアップロードします。

Okta SCIMのプロビジョニング

Okta SCIMのユーザーおよびグループのプロビジョニングを有効にするには、のエンタープライズガイドに記載されている手順に従ってください。

ユーザーの割り当て

Oktaから、割当 (Assignments) ページでユーザーまたはグループを追加できるようになりました。の手順に従ってSCIMプロビジョニングを有効化すると、ユーザーは即座にKeeperにプロビジョニングされます。

既存のユーザー/初期管理者をSSO認証に移行

管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

OneLogin

KeeperクラウドSSOコネクトをOneLoginと連携させて、スムーズで安全なSAML 2.0認証とSCIMプロビジョニングを実現

最初に管理コンソールの設定の手順を完了してください。

設定

OneLoginポータルにログインします。

管理 (Administration) を選択して、管理者セクションに移動します。

oneloginメニューから、アプリケーション (Applications)、アプリを追加 (Add App) の順に選択します。

検索フィールドでKeeperパスワードマネージャー (Keeper Password Manager) を検索し、検索結果から選択します。

Keeperパスワードマネージャーを追加 (Add Keeper Password Manager) 画面で、保存 (Save) をクリックします。

次の手順で、OneLoginからSAMLメタデータをダウンロードします。その他のアクション (MORE ACTIONS) ボタンの下矢印を選択して、SAMLメタデータ (SAML Metadata) を選択します。

Keeper管理コンソールのクラウドSSOコネクトを使用したシングルサインオン (Single Sign-On with SSO Connect™ Cloud) セクションのSAMLメタデータ (SAML Metadata) セクションに、この保存したファイルをドラッグアンドドロップするか、または参照して入力します。

Keeper管理コンソールで、ACSエンドポイント (Assertion Consumer Service (ACS) Endpoint) フィールドをコピーします。

OneLoginの設定 (Configuration) タブに戻り、Keeper SSO ConnectのACSエンドポイント (Assertion Consumer Service (ACS) Endpoint) フィールドに貼り付け、[保存] (Save) をクリックします。

SCIMを使用したい場合は、Keeperのプロビジョニング (Provisioning) タブに戻り、[メソッドを追加] (Add Method) をクリックして、SCIMを選択します。使用しない場合は、省略して手順12に進みます。

生成 (Generate) をクリックし、URLとトークンをコピーします。

「URL」をSCIMベースURL (SCIM Base URL) に、「トークン (Token）」をSCIMベアラートークン (SCIM Bearer Token) に貼り付けます。
Keeper管理コンソールで、SCIMトークンを必ず保存してください。

SCIMの詳細な設定については、のエンタープライズガイドのユーザーとチームのプロビジョニングセクションをご覧ください。

保存 (Save) をクリックして、連携を完了します。

既存のユーザー/初期管理者をSSO認証に移行

管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

Ping Identity

KeeperクラウドSSOコネクトをPing Identityと連携させて、スムーズで安全なSAML 2.0認証を実現

最初に管理コンソールの設定の手順を完了してください。

Ping Identityの設定

Ping Identityポータルにログインします。

Ping Identityのメニューから、アプリケーション (Applications) を選択します。

次に、アプリケーションを追加 (Add Application) を選択し、新規SAMLアプリケーション (New SAML Application) を選択します。

アプリケーションの詳細 (Application Details) ページで、以下のデータを追加します。

アプリケーション名 (Application Name): Keeperパスワードマネージャー (Keeper Password Manager) アプリケーションの詳細 (Application Detail): パスワードマネージャー&デジタルボルト (Password Manager and Digital Vault) カテゴリ (Category): コンプライアンス (Compliance)（またはその他）画像 (Graphic): Keeperの画像をアップロード[こちら]

続いて、次の手順に進む (Continue to Next Step) を選択します。

次の手順で、Ping IdentityからSAMLメタデータをダウンロードします。SAMLメタデータ (SAML Metadata) の隣のダウンロード (Download) リンクを選択します。

saml2-metadata-idp.xmlファイルがローカルコンピュータにダウンロードされます。 KeeperクラウドSSOコネクトのプロビジョニング編集 (Edit) 画面で、IDPタイプに汎用 (Generic) を選択し、saml2-metadata-idp.xmlファイルを参照するか、または設定画面にドラッグアンドドロップして、Keeper SSO Connectインターフェースにアップロードします。

設定画面

次に、Keeperのメタデータファイルをダウンロードし、Pingアプリケーションの設定にアップロードします。 KeeperクラウドSSOコネクトのプロビジョニングの表示画面に移動します。

「メタデータをエクスポート (Export Metadata）」ボタンをクリックして、config.xmlファイルをダウンロードします。

Ping Identityアプリケーションの設定に戻って、ファイルを選択 (Select File) ボタンを選択し、上記の手順でダウンロードしたconfig.xmlを選択します。

次の手順に進む (Continue to Next Step) を選択します。

次の手順で、属性をマッピングします。新規属性を追加 (Add new attribute) ボタンを選択します。

属性1では、アプリケーション属性 (Application Attribute) 列に「名 (First)」と入力し、IDブリッジ属性またはリテラル値 (Identity Bridge Attribute or Literal Value) 列でファーストネーム (First Name) を選択して、必須 (Required) ボタンをチェックします。新規属性を追加 (Add new attribute) ボタンを選択します。
属性2では、アプリケーション属性 (Application Attribute) 列に「姓 (Last)」と入力し、IDブリッジ属性またはリテラル値 (Identity Bridge Attribute or Literal Value) 列でラストネーム (Last Name) を選択して、必須 (Required) ボタンをチェックします。新規属性を追加 (Add new attribute) ボタンを選択します。\
属性3では、アプリケーション属性 (Application Attribute) 列に「メール (Email)」と入力し、IDブリッジ属性またはリテラル値 (Identity Bridge Attribute or Literal Value) 列でメール (Email) を選択して、必須 (Required) ボタンをチェックします。アプリケーション属性: 名、姓、メールは大文字で始まる必要があります。

Keeperアプリケーションへのアクセスが必要なグループを選択します。完了したら、「次の手順に進む (Continue to Next Step)」をクリックします。設定内容を確認してから、完了 (Finish) ボタンを選択します。

Ping Identity設定のアプリケーションの設定 (Application Configuration) セクションで、「署名 (Signing)」セクションの「署名レスポンス (Sign Response)」の署名アルゴリズムとして、「RSA_SHA 256」が選択されていることをご確認ください。

Keeperアプリケーションが追加されて、有効になっているはずです。

これでKeeper SSO Connectの設定は完了です。

既存のユーザー/初期管理者をSSO認証に移行

管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

PingOne

KeeperクラウドSSOコネクトをPingOneと連携させて、スムーズで安全なSAML 2.0認証を実現

最初にの手順を完了してください。PingOneを使用していない従来のPing Identityユーザーは、をご参照ください。

PingOne

PingOneポータル () にログインします。

PingOneのコンソールメニューから、接続 (Connections) > アプリケーションカタログ (Application Catalog) を選択します。

「Keeper」を検索し、+をクリックして、Keeperパスワードマネージャー (Keeper Password Manager) アプリケーションを追加します。

Keeper管理コンソールから、PingOne SSO Connect Cloudのエントリーを表示し、以下のスクリーンショットに示したKeeper SecurityドメインとKeeper Security識別子をメモします。

前の手順のKeeper Securityドメイン (Keeper Security Domain) とKeeper Security識別子 (Keeper Security Identifier) を入力し、次へ (Next) をクリックします。

デフォルトのマッピングを承諾して、次へ (Next) をクリックします。

PingOneユーザーグループをアプリケーションに追加することもできます。追加したいグループ (複数可) の隣の+をクリックし、保存 (Save) をクリックして、アプリケーションのセットアップウィザードを完了します。

PingOneユーザーは、デフォルトでKeeperパスワードマネージャにアクセスできるようになります。 Keeperパスワードマネージャにグループを割り当てることで、アクセスをそれらのグループだけに制限します。

メタデータをダウンロード (Download Metadata) をクリックします

Keeper SSO Connect Cloud™のプロビジョニングの編集 (Edit) 画面で、IDPタイプとして汎用 (Generic) を選択します。

前の手順でダウンロードしたSAMLメタデータファイルを参照するか、またはSAMLメタデータ (SAML Metadata) セクションにドラッグアンドドロップして、Keeper SSO Connectインターフェースにアップロードしてください。

これでPingOneのKeeper SSO Connect Cloud™エントリーの表示が有効 (Active) になります。

PingOne Keeper SSO Connect Cloud™の設定が完了しました。

既存のユーザー/初期管理者をSSO認証に移行

管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

Rippling

KeeperクラウドSSOコネクトをRipplingとさせて、スムーズで安全なSAML 2.0認証とSCIMプロビジョニングを実現

最初にの手順を完了してください。

Setup:

Rippling管理コンソールにログインします。

ログイン後、[Home] (ホーム)にカーソルを合わせて左下の[App Shop] (アプリショップ) をクリックします。

App Shopの左上の検索バーでKeeperを検索し、検索結果からKeeperを選択します。

Keeperをクリックして選択した後、[Connect Account] (アカウントを接続) をクリックししてSSO設定を始めます。

Rippling側のSSOセットアップガイドを進んでセットアップを行います。

以下のページまで進むと、SSOセットアップは完了となりますが、任意でSCIMプロビジョニングをセットアップできます。SCIMプロビジョニングをセットアップする場合は[Continue with API] (APIを続ける) を選択してガイドを進みます。SCIMプロビジョニングをセットアップしない場合は、[Skip for now, visit app] (スキップしてアプリを開く) をクリックします。

ここでユーザーを割り当てて、Ripling環境でどのユーザーがKeeperにアクセスできるかを指定できます。

SCIM設定の詳細についてはエンタープライズガイドのをご参照ください。

既存のユーザー/初期管理者をSSO認証に移行

管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

SecureAuth

KeeperクラウドSSOコネクトをSecureAuthと連携させて、スムーズで安全なSAML 2.0認証を実現

最初にの手順を完了してください。

SecureAuthは、セクションと同じ手順で設定できます。SecureAuth環境を設定するには、そのガイドに従ってください。

参考までに、こちらのSecureAuthガイドをご使用ください。

SecureAuthに関して注意すべきその他の重要事項:

接続の種類 (Connection Type) セクションで、「POST方式 (By Post）」が選択されていることを確認します。

「SAMLアサーションに署名 (Sign SAML Assertion）」と「SAMLメッセージに署名 (Sign SAML Message）」を必ず選択します。
IdPメタデータのエンティティIDがSecureAuthのSAMLレスポンスと一致することを確認します。

既存のユーザー/初期管理者をSSO認証に移行

管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

Shibboleth

KeeperクラウドSSOコネクトとShibbolethでスムーズで安全なSAML 2.0認証とSCIMプロビジョニングを設定

最初に管理コンソールの設定の手順を完了してください。

手順 1. Keeperメタデータファイルをエクスポートして保存

Keeper管理コンソール内のSSO Connect Cloudプロビジョニングメソッドで[表示]を選択します。そこから、Keeperメタデータファイルをダウンロードして保存することができます。

手順 2. KeeperメタデータをShibbolethに追加

Shibbolethは、リライングパーティとしてのKeeperに関する基本情報を有している必要があります。その情報はSAMLメタデータで定義されていますので、Keeperメタデータファイルを IDP_HOME/metadata/ ディレクトリに追加します。

手順 3. 新規リライングパーティトラストをShibbolethに追加

IDP_HOME/conf/relying-party.xmlで新しいRelyingParty要素を定義することで、Keeperと通信する際にどのように動作するかをShibbolethに指示します。以下のコードをDefaultRelyingParty要素の直後に追加します。プロバイダ属性を法人IDに置き換えます (DefaultRelyingPartyで設定されているプロバイダを使用します)。

<RelyingParty id="keepersecurity.com"
        provider="https://keepersecurity.com/api/rest/sso/saml/264325172298110"
        defaultSigningCredentialRef="IdPCredential">
    <ProfileConfiguration xsi:type="saml:SAML2SSOProfile" encryptAssertions="never" encryptNameIds="never" />
</RelyingParty>

引き続きIDP_HOME/conf/relying-party.xmlファイルで、手順2で追加したKeeperメタデータファイルを使用する設定を行います。既存の設定済みプロバイダの隣に以下のMetadataProvider要素を追加します (ID値が「FSMD」であるはずです)。IDP_HOMEは実際のインストールパスに置き換えてください。

<!-- Keeper Metadata -->
<MetadataProvider id="KeeperMD" xsi:type="FilesystemMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata"
    metadataFile="IDP_HOME/metadata/keeper-metadata.xml" maintainExpiredMetadata="true" />

手順 4. 属性リゾルバーの設定

Keeperでは、認証中に特定のユーザー属性のマッピングが送信される必要があります。以下の表に見られるように、デフォルトのKeeper SSO Connect Cloudユーザー属性は、Email (メールアドレス)、First (名)、Last (姓)となります。IDP_HOME/conf/attribute-resolver.xmlを変更することで、Shibbolethの属性リゾルバーを設定してこのデータを利用できるようにします。

IdPのユーザー属性

Keeperのユーザー属性

<Email Address>

<First Name>

First

<Last Name>

Last

Shibboleth Identity Provider SAML属性を設定する際に、KeeperはNameIDFormatがemailAddressの形式で提供されることを想定しています。推奨されたNameIDFormatを使用するか、Keeperにユーザー名ログイン識別子としてユーザーのメールアドレスを与えるような環境に適した値を入力します。

手順 5. 属性フィルタの設定

最後に、principal属性 (NameIDとしてエンコード) をGoogleに解放するようにShibboleth属性フィルタリングエンジンを設定します。以下のコードを既存のポリシー要素とともに IDP_HOME/conf/attribute-filter.xmlに追加します。

<AttributeFilterPolicy>
    <PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="keepersecurity.com" />

    <AttributeRule attributeID="principal">
        <PermitValueRule xsi:type="basic:ANY" />
    </AttributeRule>
</AttributeFilterPolicy>

手順 6. ShibbolethからメタデータXMLファイルを取得

http://shibboleth.example.com/idp/shibbolethまたは <install_folder>/shibboleth-idp/metadataのShibbolethファイルシステムにあるShibbolethメタデータを見つけます。
Shibbolethメタデータを手動で変更し、すべてのユーザーエンドポイントのコメントが解除されていることを確かにします (例: SingleLogout)。
XMLファイルを保存します。

手順 7. IdPメタデータをKeeperにアップロード

Shibbolethメタデータファイルの準備ができると、Keeper管理コンソールに戻り、SSO Connectクラウドプロビジョニングメソッドで[編集]を選択します。

[アイデンティティプロバイダ]まで下にスクロールし、[IDP タイプ]を [GENERIC] に設定し、[ファイルの参照]を選択して Shibbolethメタデータファイルを選択します。

Keeper 管理コンソール内で編集ビューを終了し、SSO Connect Cloudプロビジョニングメソッドで[表示]を選択します。 [アイデンティティプロバイダ]セクション内に、現在設定されている法人ID、シングルサインオンサービス、シングルログアウトサービスエンドポイントのメタデータ値が表示されます。

グラフィックアセット

ShibbolethインスタンスでKeeperのアイコンやロゴファイルが必要な場合は、グラフィックアセットページをご参照ください。

KeeperクラウドSSOコネクトのセットアップはこれで完了です。SSOを使用してKeeperにログインしてみてください。

SSOが機能していない場合は、Shibbolethの設定、メタデータファイル、ユーザー属性にエラーがないか確認してください。

確認が完了後に手順4を繰り返します。

サポートが必要な場合は、[email protected]までメールでお問い合わせください。

既存のユーザー/初期管理者をSSO認証に移行

管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

パスワードレスプロバイダ

SSO Connect Cloudのパスワードレス設定

前述の管理コンソールの設定セクションは、すべてのSAML 2.0準拠パスワードレスプロバイダに適用されます。一般的なパスワードレスプロバイダの設定をサポートするために、次のセクションに参考になる画面をいくつか追加しました。

ご利用のパスワードレスプロバイダがこちらに記載されていなくても大丈夫です。 Keeperは、すべてのSAML 2.0 SSOパスワードレス認証製品と互換性があります。上記のリストにある同様のプロバイダの順を追った説明に従えばよいだけです。設定の流れはほぼ同じになります。

（ご利用のIDプロバイダの設定ガイドを作成された場合は、ぜひ共有をお願いします。こちらに掲載させていただきます）。

Traitware

KeeperクラウドSSOコネクトをTraitwareと連携させることで、Keeperにパスワードなしでログイン

TraitwareとKeeperを連携させる

Keeper管理者としてKeeper管理コンソールへログインします。 (米国/グローバル) (EUでホストされているお客様) (AUでホストされているお客様) (GovCloudのお客様)

パスワードレス連携は、管理コンソールで特定のノード (組織部門など) にのみ適用できます。

[管理者]タブをクリックし、[ノードを追加]をクリックします。

[プロビジョニング]タブで[メソッドを追加]をクリックします。

[SSO Connect® Cloud を使用したシングルサインオン]を選択して、[次へ]をクリックします。

[環境設定名]と[法人ドメイン]を入力して、[保存]をクリックします。後で法人SSOログインに使用するので、法人ドメインをメモしておきます。

Cloud SSO Connectを使用したSAML 2.0プロビジョニングメソッドが新規作成されて表示されます。メニューから[表示]を選択します。

法人IDとACSエンドポイント (Assertion Consumer Service Endpoint) をメモしておき、後ほどTraitWare側の設定で使用します。

TraitWare側の設定

からTraitWare管理コンソール (TCC) にログインします。

アプリケーションの鍵を生成

左側のメニューから[Signing Keys] (署名鍵) を選択します。[Generate new Key Pair] (鍵ペアを新規生成) ボタンをクリックします。鍵ペアの表示名を入力し、任意の[Lifetime in Years] (年単位の有効期間)、[Private Key Type] (秘密鍵の種類)、[Private Key Size] (秘密鍵のサイズ) を選択してから、[Generate Key] (鍵を生成)をクリックします。

Traitwareアプリケーションを作成

左側のメニューから[Applications] (アプリケーション) を選択し、[Add Application] (アプリケーションを追加) をクリックします。
SAML 2.0を選択します。
[Use a Template] (テンプレートを使用) をクリックして、Keeperを選択します。
前にメモしたKeeperの法人IDとACSエンドポイントを入力し、[Submit] (送信) をクリックします。

SAML 2.0連携を設定

Traitware管理コンソールの[Applications] (アプリケーション) タブからKeeperを選択します。
[Provider Credentials] (プロバイダクレデンシャル) タブを選択し、[Traitware IdP SAML Metadata (XML)] (Traitware IdP SAMLメタデータ (XML))のダウンロードアイコンをクリックします。
[Save Application] (アプリケーションを保存) をクリックします。
Keeper管理コンソールに戻ります。
SAML 2.0 with Cloud SSO Connect™のプロビジョニングメソッドを編集します。
手順2のファイルを[SAML メタデータ]フィールドにアップロードします。

ユーザーを作成し、Traitwareを介してKeeperボルトにログインできるようにする

Traitware管理コンソールの[Users] (ユーザー) タブで、[Create User] (ユーザーを作成) を選択します。
フォームにすべて入力し、[Save Changes] (変更を保存) をクリックします
新規作成したユーザーをクリックし、[Applications] (アプリケーション) タブを選択します
Keeperの[Application Access] (アプリケーションアクセス) をオンにします

同じメールアドレスを持つユーザーがKeeper管理コンソール内にも存在している必要があります。Keeperユーザーの作成の詳細については、エンタープライズガイドのをご参照ください。

すべてのTraitwareユーザーがTraitwareを介してKeeperボルトにログインできるようにする

Traitware管理コンソールの[Applications] (アプリケーション) タブからKeeperを選択します。
[Enable All User Access] (すべてのユーザーアクセスを有効にする) をクリックします。
操作を確認し、[Enable Access] (アクセスを有効にする) をクリックします。

エンドユーザーのログイン

法人ドメインまたはメールアドレスを使用してログインします。

メールアドレスを使用してログイン

Keeperボルトに移動します。
メールアドレスを入力して、[次へ]をクリックします。
スマートデバイスのTraitwareアプリで、ブラウザに表示されたQRコードをスキャンします。
Keeperボルトにログインします。

法人ドメインを使用してログイン

Keeperボルトに移動します。
[法人SSOログイン]のドロップダウンをクリックし、[法人ドメイン]を選択します。
本ページのKeeper側設定部分で指定した法人ドメイン名を入力して、[接続]をクリックします。
スマートデバイスのTraitwareアプリで、ブラウザに表示されたQRコードをスキャンします。
Keeperボルトにログインします。

Trusona

KeeperクラウドSSOコネクトをTrusonaと連携させることで、Keeperにパスワードなしでログイン

TrusonaとKeeperを連携させる

最初に管理コンソールの設定の手順を完了してください。

Keeper管理者としてKeeper管理コンソールへログインします。

https://keepersecurity.com/console (米国/グローバル) https://keepersecurity.eu/console (EUでホストされているお客様) https://keepersecurity.com.au/console (AUでホストされているお客様) https://govcloud.keepersecurity.us/console (GovCloudのお客様)

パスワードレス連携は、管理コンソールで特定のノード (組織部門など) にのみ適用できます。

[管理者]タブをクリックし、[ノードを追加]をクリックします。
ノードに名前を付け、[ノードを追加]をクリックします。

[プロビジョニング]タブで[メソッドを追加]をクリックします。
[SSO Connect® Cloud を使用したシングルサインオン]を選択して、[次へ]をクリックします。
[環境設定名]と[法人ドメイン]を入力して、[保存]をクリックします。後で法人SSOログインに使用するので、法人ドメインをメモしておきます。

Cloud SSO Connectを使用したSAML 2.0プロビジョニングメソッドが新規作成されて表示されます。メニューから[表示]を選択します。

これらは、後ほどTrusona側の設定に使用します。

法人ID、ACSエンドポイント、シングルログアウトサービスエンドポイントをメモしておきます。
[SP 認証エクスポート]をクリックします。

Trusona側の設定

iOSまたはAndroid用のTrusonaアプリを使用して、モバイル端末からQRコードをスキャンし、Trusonaのダッシュボード (https://dashboard.trusona.com/) にログインします。

TrusonaでKeeperとの連携を作成

Trusonaアカウントのダッシュボードで、左側のナビゲーションからKeeperを選択します。
[Create Keeper Integration] (Keeperとの連携を作成) をクリックします。
連携に名前を付け、[Save] (保存) をクリックします。
[Download XML] (XMLをダウンロード) をクリックして、Keeper管理コンソールで使用するXMLメタデータをダウンロードします。

左側のナビゲーションでKeeperを選択します。
[Actions] (操作) ドロップダウンメニューから[Edit] (編集) をクリックします。

Keeper管理コンソールで連携を作成する際に、前にメモした以下の情報を該当フィールドに貼り付けます。

ACSエンドポイント
IDPが起点となるログインエンドポイント
シングルログアウト (SLO) サービスエンドポイント

[Certificate] (証明書) で、Keeper管理コンソールからエクスポートしたSP証明書をアップロードして、[保存] (Save) をクリックします。

Keeper管理コンソールに戻ります。
任意でジャストインタイムプロビジョニングを有効にし、ユーザーがサインアップ時に法人ドメイン名を入力することでノードにアカウントを作成できるようにします。
[SAML メタデータ]にTrusonaのダッシュボードからダウンロードしたmetadata.xmlファイルをアップロードします。
[アイデンティティプロバイダ属性マッピング]で、以下のように入力します。

名前: 名
名字: 姓
メールアドレス: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

ユーザープロビジョニング

SSO Connect Cloudを使用してユーザーをプロビジョニングする方法についてはこちらのページをご覧ください。

エンドユーザーのログイン

法人ドメインまたはメールアドレスを使用してログインします。

メールアドレスを使用してログイン

Keeperボルトに移動します。
メールアドレスを入力して、[次へ]をクリックします。
スマートデバイスのTraitwareアプリで、ブラウザに表示されたQRコードをスキャンします。
Keeperボルトにログインします。

法人ドメインを使用してログイン

Keeperボルトに移動します。
[法人SSOログイン]のドロップダウンをクリックし、[法人ドメイン]を選択します。
本ページのKeeper側設定部分で指定した法人ドメイン名を入力して、[接続]をクリックします。
スマートデバイスのTraitwareアプリで、ブラウザに表示されたQRコードをスキャンします。
Keeperボルトにログインします。

Veridium

KeeperクラウドSSOコネクトをVeridiumと連携させて、Keeperにパスワードなしでログイン

最初に管理コンソールの設定の手順を完了してください。

新しいサービスプロバイダを追加

Veridiumインターフェースで、[Add Service Provider] (サービスプロバイダを追加) をクリックします。

Keeperメタデータをダウンロード

Keeper管理コンソールで、SAMLメタデータファイルをエクスポートします。

[表示]-> [メタデータをエクスポート]へ移動します。

Veridiumにメタデータをアップロード

[Service provider name] (サービスプロバイダ名) フィールドに「Keeper」と入力し、Keeperのメタデータファイルをアップロードして、NameID format (NameID形式) に「Email」を選択します。

属性をマッピング

firstname、lastname、mailの属性をマッピングして[Save] (保存) をクリックします。

これで連携は完了です。以下はVeridiumのログインフローを示す動画となります。

デバイス承認

SSOクラウドのデバイス承認システム

概要

デバイス承認はSSO Connect Cloudプラットフォームで必須となる要素です。承認は、ユーザーまたは管理者が実行することも、Keeperオートメーターサービスを使用して自動的に実行することもできます。

KeeperクラウドSSOコネクトで認証するカスタマーの場合、デバイスの承認によりキー転送が実行され、ユーザーの暗号化されたデータキーがデバイスに届けられてから楕円曲線秘密キーを使用してローカルで復号化されます。

技術的詳細

KeeperクラウドSSOコネクトでは、どのSAML 2.0IDプロバイダを使用しても簡潔なログイン処理を維持しつつゼロ知識暗号化を実現できます。

過去に使用したことのないデバイスでログインしようとすると、楕円曲線暗号の秘密鍵と公開鍵のペアが新しいデバイスで生成されます。 IDプロバイダの認証に成功すると、ユーザーが新しいデバイスでボルトを復号化できるように鍵交換を実行する必要があります。これを「デバイス承認」と呼びます。

ブラウザでゲストモード、プライベートモード、またはシークレットモードを使用すると、ブラウザを起動するたびに新しいデバイスとしてKeeperに識別されるため、デバイス承認が新たに必要になります。

ゼロ知識を維持し、Keeperのサーバーが暗号鍵に一切アクセスできないようにするために、ユーザーまたは指定された管理者が実行できるプッシュ通知による承認方式を開発しました。また、Keeperを使用するとデバイス承認と鍵交換を自動的に実行するサービスをホストできるため、ユーザーの操作は一切不要となります。

承認方式

デバイス承認方式には以下が含まれます。

既存のユーザーデバイスへ (プッシュ通知)
管理コンソールからの
を使用した自動承認 (推奨)
を介した半自動の管理者承認

バージョン17.0の概要

オートメーターをv17.0にアップグレードする手順

概要

バージョン17.0以降では以下の新機能がご利用になれます。

チームの承認 (チーム作成)
チームユーザーの承認 (ユーザーをチームに割り当てる)
すべての設定が環境変数として構成可能
簡素化された展開に対応
簡素化された展開に対応
HTTPSセキュリティを向上させるHSTSが有効
デバイス承認用とチーム承認用のIPアドレスフィルタリング
すべてのAPIに対して任意でレート制限
メールドメインによる任意のフィルタリング
任意で特定のネットワークIPへのバインド

チームユーザー承認

チームとユーザーは、SCIMを通じてプロビジョニングされ、チームに追加されたユーザーについては、管理者がコンソールにログインするのを待つことなくオートメーターサービスによって即座に処理できることを意味します。

この新機能を有効にするには以下を行います。

オートメーターコンテナまたは.zipファイルを最新バージョンに更新します。
Keeperコマンダーからautomator editコマンドを使用してデバイスの承認およびチームユーザーの承認を行います。

例

スキルを有効にした状態では、ユーザーがボルトにログインする際にオートメーターが発動してチームユーザーが承認されます。

チームの承認

IDプロバイダからSCIMメッセージングでチームの作成がリクエストされた際、誰かが (ゼロ知識を保持するために) 暗号化キーを生成するまで、リクエストが完全に処理されることはありません。通常は、管理者がKeeper管理コンソールにログインするときに処理されます。

Keeperオートメーターサービスでチーム承認が有効化されている場合、チームに割り当てられたユーザーのいずれかがKeeperボルトに正常にログインすると、自動的にチームが作成されます。そのため少なくとも1人のユーザーがそのチームのボルトにログインするまでチームは表示されません。

チームは、チームのユーザー少なくとも1人がボルトにログインするまで環境には表示されません。

すべての設定が環境変数として設定可能

これにより、設定ファイルへのアクセスが難しいAzureコンテナーまたは他のDockerのようなコンテナーにオートメーターをインストールする場合の構成が簡単になります。

docker-compose.yml ファイルを使用するDockerやAzureコンテナーなどの環境では、以下のようにdocker composeファイルに環境変数を設定できます。

docker-compose.ymlファイルの編集後に環境変数が変更されている場合、コンテナを再構築する必要があります。コンテナを再起動しただけでは変更は反映されません。

その他の機能

オートメーターサービスの詳細については、のページをご参照ください。

イングレス要件

Keeperオートメーター向けイングレス設定

Keeperオートメーターは、オンプレミス、クラウド、サーバーレスなど、さまざまな方法で導入できます。

データフロー

ネットワークファイアウォールのセットアップ

ファイアウォールの受信トラフィックルールで以下のいずれかのルールセットを設定します。

USデータセンターをご利用のお客様

54.208.20.102/32からインバウンドTCPポート443
34.203.159.189/32からインバウンドTCPポート443

US / GovCloudデータセンターをご利用のお客様

18.252.135.74/32からインバウンドTCPポート443
18.253.212.59/32からインバウンドTCPポート443

EU / ダブリンデータセンターをご利用のお客様

52.210.163.45/32からインバウンドTCPポート443
54.246.185.95/32からインバウンドTCPポート443

AU / シドニーデータセンターをご利用のお客様

3.106.40.41/32からインバウンドTCPポート443
54.206.208.132/32からインバウンドTCPポート443

CA / カナダデータセンターをご利用のお客様

35.182.216.11/32からインバウンドTCPポート443
15.223.136.134/32からインバウンドTCPポート443

JP / 東京データセンターをご利用のお客様

54.150.11.204/32からインバウンドTCPポート443
52.68.53.105/32からインバウンドTCPポート443

加えて、テストやヘルスチェックの目的でオフィスネットワークからのトラフィックを許可しても良いでしょう。

Keeperのデータセンター地域に基づいて、記載のIPアドレスごとにルールを作成してください。

トラブルシューティング

オートメーターサービスによくある問題とトラブルシューティング

リモートのオートメーターサービスと通信できない

Keeperコマンダーがオートメーターサービスと通信できない理由はいくつかあります。

オートメーターサービスがKeeperのIPアドレスに対して解放されていることを確かにします。解放が必要なIPのリストについては、イングレス要件のページをご参照くださす。接続の問題が発生した場合に解決できるよう、ご自身のIPアドレスも追加することを推奨します。
カスタムSSL証明書をご使用の場合は、SSL証明書がロードされていることを確かにします。オートメーターのログファイルを確認すれば、サービスの再起動によって証明書がロードされたかどうかが確認できます。そのIPアドレスにアクセスできる場合は、以下のようにコマンドラインでcurlを使用することで正常性チェックを実行できます。 curl https://automator.mycompany.com/health
証明書のサブジェクト名がFQDNと一致することを確認します。
SSL証明書にCA中間証明書チェーンが含まれていることを確認します。中間証明書チェーンが欠落している場合、Keeperはオートメーターへの接続を拒否します。以下のようにopensslコマンドを使用してご確認ください。

openssl s_client -showcerts -servername automator.company.com -connect automator.company.com

このコマンドで、チェーン内の証明書の数が表示されます。証明書が1つしか表示されない場合は、証明書チェーンがすべてはロードされていないということになります。この問題を解決するには、証明書作成の手順ページの手順4をご参照ください。

ヘルスチェックでの400エラー

当エラーは、ヘルスチェックのリクエストURIがSSL証明書ドメインと一致しない場合に発生する可能性があります。ヘルスチェックを完了させるにはサービスでSNIチェックを無効にする必要がありますので、オートメーター設定でdisable_sni_check=trueを設定するか、環境変数 DISABLE_SNI_CHECKにtrueの値を渡します。

ログアウト設定

KeeperとIdP間のシングルログアウト (SLO) の設定オプション

ユーザーがKeeperボルトからの「ログアウト」をクリックしたときにどのような動作を期待するかは、顧客によって異なる場合があります。以下の2つの選択肢があります。

オプション1. IdPからはログアウトしない

Keeperボルトの「ログアウト (Logout）」をクリックすると、ボルトが閉じるだけで、IDプロバイダとのログイン状態を維持します。
Keeperボルトへの再ログインは、IDプロバイダのログインロジックに従います。たとえば、Oktaには設定変更可能なサインオン規則があり、アプリケーションを開く前に、ユーザーにMFAコードの入力を求めることができます。ご利用のIDプロバイダのサインオンロジックを確認して、ユーザーにとって最適な運用を決定してください。

オプション2. IdPからもログアウトする

Keeperボルトの「ログアウト (Logout）」をクリックすると、IDプロバイダからもユーザーがログアウトされます。
これにより、ユーザーはIdPと接続されたサービスからもログアウトするため、ユーザーの不満を招くおそれがあります。
G Suiteやその他の一部のIDプロバイダは、この問題にうまく対処できていません。
この動作を好ましくないと考える場合は、「ログアウト」をクリックするのではなく、単にボルトを閉じるようにユーザーに指示する必要があります。

シングルログアウト (SLO) を有効化する方法

IDプロバイダに「シングルログアウト」オプションがある場合は、IDプロバイダの設定画面からこの機能をONにできます。たとえば、Oktaには「シングルログアウト」チェックボックスがあり、「Keeper SP証明書」のアップロードを求められます。この設定を変更すると、IdPからメタデータをエクスポートして、Keeper SSOの設定画面に再度インポートする必要があります。

シングルログアウト (SLO) を無効化する方法

IDプロバイダに「シングルログアウト」オプションがある場合は、IDプロバイダの設定画面からこの機能をOFFにして、新しいメタデータファイルをKeeperにアップロードしてください。
IdPのユーザーインターフェースに設定画面がない場合は、IdPのメタデータファイル (以下のスクリーンショット) を手動で編集すればよいだけです。テキストエディターまたはvimで、SLO値を表す以下の強調表示された行を削除します。次にこのファイルを保存して、Keeper SSOの設定画面にメタデータをアップロードします。

システムアーキテクチャ

KeeperクラウドSSOコネクトのシステムアーキテクチャ

オンプレミスからの移行

KeeperオンプレミスSSOコネクトからクラウドSSOコネクトに移行する方法

以下の手順をご参照ください。

グラフィックアセット

IdP設定用のKeeperパスワードマネージャーのグラフィックアセット

このページでは、必要に応じてIDプロバイダで使用できるKeeperのアイコンとロゴのグラフィックアセットをご用意しました。

Zipファイル (様々なサイズのアイコンとロゴ)

512 x 512 PNG正方形アイコン

256 x 256 PNG正方形アイコン

128 x 128 PNG正方形アイコン

Keeperロゴ-JPG白背景

Keeperロゴ-PNG透明背景

Keeperロゴ-JPG黒地に白

リンクとリソース

Cloud Serviceを使用したGoogle Workplaceのユーザーとチームのプロビジョニング

Cloud Functionを使用してGoogle Workspaceからユーザーとグループを自動的にプロビジョニングする方法

概要

Google Cloud Functionを使用してGoogle WorkspaceからKeeperにユーザーを自動的にプロビジョニングする方法について解説します。これには、ユーザー、グループ、ユーザー割り当てのプロビジョニングが含まれます。ユーザーとチームのプロビジョニングには、ライフサイクル管理のためのいくつかの機能が備わっています。

どのGoogleグループやユーザーをKeeperにプロビジョニングするかを指定できます。
Keeperに割り当てられたGoogleグループはKeeperチームとして作成されます。
Keeperチームをボルト内の共有フォルダに割り当てられます。
グループに追加された新しいユーザーは自動的にKeeperに招待されます。
グループとユーザーの割り当ては同期のたびに適用されます。
ユーザーのプロビジョニングが解除されると、Keeperカウントが自動的にロックされます。

本ページの設定手順で、Google Workspaceアカウントからユーザーとグループをプロビジョニングします。設定には以下のリソースにアクセスする必要があります。

この実装ではKeeperシークレットマネージャーを使用して、最小限の権限でGoogleとKeeperを最も安全に統合します。Keeperシークレットマネージャーをご使用でない場合は、Keeperカスタマーサクセスチームにお問い合わせください。

手順 1. Google Cloudプロジェクトの作成

Google Cloudにログインし、プロジェクトを作成するか既存のプロジェクトを選択します。プロジェクト名は「Keeper SCIM Push」など任意の名前にします。

手順 2. Admin SDK APIを有効にする

APIs & Servicesで、[+ ENABLE APIS AND SERVICES] (APIとサービスを有効にする) をクリックします。
Search for APIs & Servicesで、Admin SDK APIを入力します。
[ENABLE] (有効にする) をクリックします。

手順 3. サービスアカウントを作成

ここで作成したサービスアカウントは、Google Workspaceのユーザーとグループの情報にアクセスするために使用されます。

IAM and Adminメニューで、Service accounts (サービスアカウント)を選択します。
keeper-scimというサービスアカウント名で[+ CREATE SERVICE ACCOUNT]をクリックします。

新規作成のサービスアカウントの場合、Actionsの3つの点をクリックして[Manage keys] (キーの管理) を選択します。

[ADD KEYS] (鍵を追加) から[Create new Key] (新しい鍵を作成) をクリックし、鍵のタイプとして[JSON]を選択してから[CREATE] (作成) をクリックします。

サービスアカウントの認証情報が含まれたJSONファイルがコンピュータにダウンロードされます。

ファイル名をcredentials.jsonに変更し、上のセットアップ手順で作成したKeeper設定レコードに添付ファイルとして追加します。

手順 4. Client IDをコピー

サービスアカウントへと移動し、[DETAILS]タブから[Advanced Settings]へ進みます。

[Domain-wide delegation]でClient IDをコピーします。次の手順でこのClient IDにGoogle Workspace Directoryへのアクセスを付与します。

手順 5. Google Workspaceでサービスアカウントを承認

Google Workspace Panel (https://admin.google.com)で以下を行います。

[Security] (セキュリティ) > [API controls] (API制御) へ進みます。
Domain wide delegationの下の[MANAGE DOMAIN WIDE DELEGATION]をクリックします。
API Clientsで[Add new]をクリックします。
前の手順でコピーしたClient IDを貼り付けます。

以下のテキストをOAuth scopes (comma-delimited)に貼り付けます。

https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.group.member.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly

[AUTHORIZE] (承認) をクリックします。これらのスコープにより、サービスアカウントにGoogle Workspaceディレクトリユーザー、グループ、メンバーシップへの読み取り専用アクセスが付与されます。

手順 6. Primary Emailを取得

Google Workspace (https://admin.google.com) で[Account] (アカウント) > [Account settings] (アカウント設定) へ進みます。
次の手順で使うため、Primary adminメールアドレス (右上) をクリップボードにコピーします。

手順 7. Keeperボルトで共有フォルダを作成

Keeperボルトで、新しい共有フォルダを作成します。このフォルダーには「Google SCIM Push」などの任意の名前を付けます。ユーザー権限とレコード権限については、任意の権限を選択します。

STEP 8. シークレットマネージャを作成

ボルトでを有効にしてから、左側のメニューから[シークレットマネージャー]をクリックし、[アプリケーションの作成]を選択します。

アプリケーションに「Google SCIM Push」などの名前を付けて、[アクセストークンの作成]をクリックします。このトークンは破棄され、このシナリオでは使用されません。

次に、一覧から「Google SCIM Push」を選択し、[編集]、[デバイスの追加]の順にクリックします。

設定タイプにはBase64を選択してコンピュータにダウンロードします。

ファイルをconfig.base64としてコンピュータに保存します。

手順 9. SCIMプロビジョニングメソッドを作成

Keeper管理コンソールから、Google Workspaceノードの[プロビジョニング]タブに移動し、[メソッドを追加]をクリックします。

SCIMを選択して[次へ]をクリックします。

[プロビジョニングトークンを作成]をクリックします。

URLとトークンが表示されるので、URLとトークンをファイルに一時的に保存してから、[保存] をクリックします。

URLとトークンを必ず保存してから[保存] をクリックするようにします。これらのパラメータは次の手順で必要となります。

手順 10. 共有フォルダでKeeperレコードを作成

手順7で作成した共有フォルダ内に、以下のフィールドを含むレコードを作成します。

フィールド

値

ログイン

Google Workspace admin email

パスワード

手順9で生成したSCIMトークン

ウェブサイトアドレス

手順9で生成したSCIM URL

credentials.json

手順3のGoogle Serviceアカウント認証情報の添付ファイル

SCIM Group

プロビジョニングされるすべてのグループのリストを含む複数行のカスタムテキストフィールド。名前はグループメールかグループ名のいずれかとなります。

指定したグループとそのユーザーがKeeperにプロビジョニングされます。

グループのリストには、グループのメールアドレスかグループ名のいずれかを指定できます。Keeperがいずれかの値を照合し、関連するすべてのユーザーとグループをプロビジョニングします。

この時点で、Keeper側の設定は完了となります。残りの手順はGoogle CloudコンソールでのCloud Functionの設定となります。

手順 11. Google Cloud Functionを作成

Google CloudコンソールからCloud Functionsを開き、[関数を作成]をクリックします。

Basics:

Environment (環境) に2nd gen (第2世代) を選択します。
Function name (関数名) は「keeper-scim-push」にします。
Region (地域) には任意の地域を選択してメモしておきます。
TriggerのTrigger typeををHTTPSにします。
Authentication (認証) を「Require authentication」 (認証が必要) にします。

Advanced -> Runtime:

Memory allocated (メモリの割り当て) : 256MiB
CPU: 0.333
Timeout (タイムアウト) : 120秒
Concurrency (同時実行) のコンテナあたりの最大リクエスト数: 1
Autoscaling (自動スケーリング) のインスタンスの最小数 : 0
Autoscaling (自動スケーリング) のインスタンスの最大数 : 1
Runtime service account (ランタイムサービスアカウント) : 選択
Runtime service account (ランタイムサービスアカウント) で, 「Default compute service account」を選択

Default compute service accountがまだ存在しない場合は、一時的に別のアカウントを選択し保存してから戻ってサービスアカウントを編集します。

以下は設定例です。

Runtime environment variables (ランタイム環境変数)

変数を2つ作成します。

Name 1をKSM_CONFIG_BASE64、Value 1を手順8で生成したKSM設定ファイルの内容に設定します。
Name 2をKSM_RECORD_UID、Value 2を手順10でボルトで作成したレコードUIDに設定します。

Keeperボルトのレコードで情報アイコンをクリックすると、レコードUIDを確認できます。レコードUIDをクリックして値をコピーします。

[CONNECTIONS] (接続) をクリックし、[Allow internal traffic only] (内部トラフィックのみ) を選択します。

下へスクロールして[NEXT] (次へ) をクリックし、Cloud Function Sourceをアップロードします。

手順 12. Cloud Function Sourceをアップロード

Keeper Google SCIM Pushのリリースページへ移動します。 https://github.com/Keeper-Security/ksm-google-scim/releases
source.zipファイルをダウンロードしてコンピュータに保存します。

Runtime (ランタイム) は「Go 1.21」にします。
Source code (ソースコード) にはZip Uploadを選択します。
Entry point (エントリーポイント) にはGcpScimSyncHttpを入力します。
Zip upload (Zipアップロード) のDestination bucketには、デフォルトバケット許可 (非公開) を用いて任意の名前のバケットを作成します。
Zip file (Zipファイル) : 前の手順で保存したsource.zipをアップロードします。

[DEPLOY] (デプロイ) をクリックしてクラウド関数を作成します。数分後、関数が作成され、パブリッシュされます。

この関数はプライベートであり、認証を必要とするため、次の手順ではCloud Schedulerを作成します。

手順 13. Cloud Function URLをコピー

Cloud Function画面で、以下に見られるようにURLをコピーします。

手順 14. Cloud Schedulerを作成

Google Cloudコンソールで、Cloud Schedulerを検索して開きます。

[SCHEDULE A JOB] (ジョブをスケジュール) をクリックします。

以下のようにスケジュールを定義します。

「Keeper SCIM Push for Google Workspace」など、任意の名前を付けます。
1時間に1回実行の場合0 * * * *など、頻度を設定します。
ロケーションに応じてタイムゾーンを設定します。
Target type (ターゲットタイプ) をHTTPにします。
URLを手順13でコピーしたCloud Function URLに設定します。
HTTP method (HTTPメソッド) をGETに設定します。
Auth Header (Authヘッダ) をAdd OIDC tokenに設定します。
ServiceアカウントをDefault compute service accountに設定します。
[CONTINUE] (続行) 、[CREATE] (作成) の順にクリックします。

手順 15. Schedulerをテスト

Scheduler Jobs画面にジョブが表示されます。強制的に実行するには、右側のオーバーフローメニューをクリックし、[Force run] (強制実行) を選択します。

即座にCloud Functionが実行されます。

成功すると、[Status of last execution] (最後の実行のステータス) に[Success] (成功) と表示されます。

Keeperが同期情報を受信したことを確認するには、Keeper管理コンソールにログインします。保留中および招待状態のユーザー、チーム、チーム割り当てのリストが表示されます。

手順 16. ローカルファイルを削除

プロセスが正常に動作すると、この過程で作成されたすべてのローカルファイルとシークレットを削除します。

重要: 以下のような、コンピュータにあるローカルファイルや一時ファイルをすべて削除します。

config.base64ファイル
credentials.jsonファイル
SCIMトークン
その他スクリーンショットやローカルファイル

破壊操作

デフォルトでは、Keeper管理コンソール内の管理されていないチームとチーム割り当てが同期処理中に削除されることはありません。ただし、管理されていないチームもチーム割り当てもすべて削除される同期方法をご希望の場合は、Keeperレコードにカスタムフィールドを作成して特定の値を入力します。

Destructiveフィールドの値

説明

-1

同期中Keeper側では何も削除されません

0 (デフォルト)

同期中、SCIM で制御されているグループとメンバーシップのみが削除されます (デフォルト設定)

同期中、手動で作成されたグループやメンバーシップとSCIMで制御されたグループやメンバーシップが削除されます。

デバッグログ

Keeperレコードを変更することで、Google Cloud Functionログに詳細なログを作成できます。

Verboseフィールドの値

説明

0 (デフォルト)

ログなし

詳細ログが有効

同期について

Keeperは、Cloud Functionプロビジョニングを実行する際に、グループ名またはグループのメールアドレスに対して厳密な文字列照合を実行します。グループ名とグループメールアドレスでは大文字と小文字が区別されます。
招待状態のユーザーは、ユーザーがボルトを作成し、Keeper管理者が管理コンソールにログインするまで、割り当てられたチームに追加されされることはありません。ユーザーのチームへの参加も、チームの別のメンバーがボルトにログインする際に行われます。管理コンソールから[同期]をクリックすることでもチーム参加が行われます。
チームの作成などの一部の操作は、Keeper管理コンソールへのログイン時、またはKeeper Automatorの実行時にのみ発生します。これは、暗号化キーを生成する必要があるためです。
大規模なデプロイの場合、Keeper Automatorを設定して、デバイスの承認、ユーザーの承認、チームの承認のプロセスを自動化することを推奨します。
新しいグループを追加する場合は、Keeperボルトのレコード内のリストにグループを追加します (手順10参照)。Keeperがターゲットを識別する際にはグループのメールアドレスまたはグループ名のいずれかを照会します。
Google Workspaceでネストされたグループは、Keeperと同期する際にフラット化されます。ネストされたグループのユーザーは、Keeper側の親グループに追加されます。

Cloud Function Sourceの更新

Cloud Functionの新しいバージョンが作成される際のコードのアップデートは簡単です。

Githubリポジトリのksm-google-scimのリリースページから新しいsource.zipファイルをダウンロードします。
Google CloudのCloud Functionsの箇所へ移動します。
Cloud Functionの詳細をクリックし、[EDIT]をクリックしします。
Codeをクリックします。
Source codeで、[ZIP Upload]を選択します。
コンピュータに保存したsource.zipファイルを選択します。
[DEPLOY] (デプロイ) をクリックします。
新しい関数がデプロイされるまで数分間待ちます。
Cloud Schedulerへ移動します。
[Actions] > [Force Run]をクリックします。

AWS Elastic Containerサービス

AWS ECS (Fargate)サービスでKeeperオートメーターを使う

概要

この例では、必要最小限の依存関係で最も簡単な方法でAmazon ECSでKeeperオートメーターサービスを起動する方法について解説します。

要件

AWSを介したマネージドSSL証明書

1. Automator Configキーの作成

オペレーティングシステムに応じて以下のいずれかの方法を使用してURL エンコード形式で256ビットAESキーを生成します。

Mac/Linux

openssl rand -base64 32

Windows

[Byte[]]$key = New-Object Byte[] 32; [System.Security.Cryptography.RNGCryptoServiceProvider]::Create().GetBytes($key); [System.Convert]::ToBase64String($key)

タスク定義に設定された環境変数としてこの値を保存します。

2. VPCの作成

VPCが存在しない場合は、複数のサブネット、ルートテーブル、インターネットゲートウェイを持つ基本的なVPCをセットアップする必要があります。こちらの例では、以下のリソースマップに見られるようにインターネットゲートウェイを備えたVPC内に3つのサブネットがあります。

3. CloudWatchロググループの作成

ログをキャプチャしたい場合 (推奨)、[CloudWatch] > [ロググループの作成]に移動します。

ロググループにautomator-logsという名前を付けます。

4. タスク実行IAMロールの作成

[IAM] > [ロールの作成]へ行きます。

[AWSサービス]を選択します。

次に、Elastic Container Serviceを検索して選択します。

[Elastic Container Serviceタスク]を選択し、[次へ]をクリックします。

[AmazonECSTaskExecution]ポリシーをロールに追加し、[次へ]をクリックします。

ECSTaskWritetoLogsという名前を割り当てて、ロールを作成します。

次の手順で使用するため、このロールのARNをメモしておきます。

本事例ではarn:aws:iam::373699066757:role/ECSTaskWritetoLogsとなります。

5. ECSのセキュリティグループを作成

[EC2] > [セキュリティグループ]に移動し、[セキュリティグループの作成]をクリックします。

Keeperテナントがホストされている地域に応じて、Keeperクラウドからのhttpsポート443を許可する受信ルールを作成する必要があります。各テナントの場所のIPのリストについては以下をご覧ください。以下の例では米国データセンターとなります。

また、テストとトラブルシューティングのためにワークステーションの外部IPアドレスを追加することを推奨します。

MyAutomatorServiceなどの名前を割り当て、[作成]をクリックします。

Keeperテナント地域

IP1

IP2

54.208.20.102/32

34.203.159.189/32

US GovCloud

18.252.135.74/32

18.253.212.59/32

52.210.163.45/32

54.246.185.95/32

3.106.40.41/32

54.206.208.132/32

35.182.216.11/32

15.223.136.134/32

54.150.11.204/32

52.68.53.105/32

以下のURLから見つけられるご自身のIPを忘れずに追加してください。

https://checkip.amazonaws.com

6. セキュリティグループをインバウンドルールのリストに追加

セキュリティグループを保存した後、受信ルールを再度編集します。今回は以下の内容を追加します。

ソースがセキュリティグループに設定された状態のHTTPポート8089 を追加します。これにより、ALBからネットワーク内のコンテナへのトラフィックとヘルスチェック処理が可能となります。

7. Elastic Container Serviceクラスターの作成

Amazon Elastic Container Serviceへ進みます。

[クラスターの作成]を選択し、クラスター名とVPCを割り当てます。こちらの例では、デフォルトの[AWS Fargate (サーバーレス)]インフラストラクチャを使用しています。

デフォルトの名前空間はautomatorで問題ありません
[インフラストラクチャ]は AWS Fargate (サーバーレス) に設定します
[作成]をクリックします

8. ECSタスク定義の作成

任意のテキストエディタで、以下のJSONタスク定義ファイルをコピーして保存します。

重要 JSONファイルに以下の変更を加えます。

24行目の XXX (REPLACE THIS) XXX を上記の手順1で作成した秘密キーに変更します。
37行～39行を手順3のロググループの名前と場所に置き換えます。
44行目のXXXをAWSロールに固有のロールIDに変更します（手順4の373699066757）。

{
    "family": "automator",
    "containerDefinitions": [
        {
            "name": "automator",
            "image": "keeper/automator:latest",
            "cpu": 1024,
            "portMappings": [
                {
                    "containerPort": 8089,
                    "hostPort": 8089,
                    "protocol": "tcp",
                    "appProtocol": "http"
                }
            ],
            "essential": true,
            "environment": [
                {
                    "name": "SSL_MODE",
                    "value": "none"
                },
                {
                    "name": "AUTOMATOR_CONFIG_KEY",
                    "value": "XXX (REPLACE THIS) XXX"
                },
                {
                    "name": "AUTOMATOR_PORT",
                    "value": "8089"
                }
            ],
            "mountPoints": [],
            "volumesFrom": [],
            "readonlyRootFilesystem": false,
            "logConfiguration": {
                "logDriver": "awslogs",
                "options": {
                    "awslogs-group": "automator-logs",
                    "awslogs-region": "eu-west-1",
                    "awslogs-stream-prefix": "container-2"
                }
            }
        }
    ],
    "executionRoleArn": "arn:aws:iam::XXX:role/ecsTaskExecutionRole",
    "networkMode": "awsvpc",
    "requiresCompatibilities": [
        "FARGATE"
    ],
    "cpu": "1024",
    "memory": "3072",
    "runtimePlatform": {
        "cpuArchitecture": "X86_64",
        "operatingSystemFamily": "LINUX"
    }
}

次に、[Elastic Container Service] > [タスク定義] > [JSONからタスクを作成]に移動します。

既存のJSONを削除し、変更したJSONファイルをボックスにコピーして貼り付け、[作成] をクリックします。

このタスク定義は、インスタンスのCPU/メモリ要件に応じて変更できます。

9. SSL証明書をAWS Certificate Managerにアップロード

AWSのアプリケーションロードバランサーがオートメーターのクエストに対応するには、SSL証明書が AWS Certificate Managerによって管理されている必要があります。AWSが管理する証明書をインポートするか作成します。

AWSコンソールから[Certificate Manager]を開きます。
[リクエスト]をクリックします。
パブリック証明書をリクエストし、[次へ]をクリックします。
automator.lurey.comなど、オートメーターサービスのドメイン名を入力します。
任意の検証方式とキーアルゴリズムを選択します。
[リクエスト]をクリックします。
証明書の一覧から証明書リクエストをクリックします。

Route53を使用してドメインを管理している場合は証明書をクリックし、[Route53でレコードを作成]を選択するとドメインが即座に検証され証明書が作成されます。別のDNSプロバイダーを使用する場合は、画面に見られるようにCNAMEレコードを作成する必要があります。

CNAMEレコードを作成すると、ドメインは数分以内に有効となります。

この証明書は、手順11でアプリケーションロードバランサーを作成する際に参照されます。

10. ターゲットグループの作成

[EC2] > [ターゲットグループ]に移動し、[ターゲットグループの作成] をクリックします。

ターゲットの種類として[IPアドレス]を選択します。
ターゲットグループ名にautomatortargetgroupまたは任意の名前を入力します。
ポート8089のHTTPプロトコルを選択します。
ECSクラスターを含むVPCを選択します。
HTTP1を選択します。
[ヘルスチェック] で、ヘルスチェックプロトコルとして[HTTP]を選択します。
ヘルスチェックのパスとして/healthと入力します。
[ヘルスチェックの詳細設定]を展開します。
[オーバーライド]を選択し、ポート8089を入力します。
[次へ]をクリックします。
まだターゲットを選択せずに[ターゲットグループの作成]をクリックします。

11. アプリケーションロードバランサー (ALB) の作成

[EC2] > [ロードバランサー] > [ロードバランサーの作成]に移動します。

[Application Load Balancer] > [作成]を選択します。

automarnalbなどの任意の名前を割り当てます。
スキームはInternet-facingとなります。
IPアドレスの種類: IPv4
[ネットワークマッピング]の箇所で、ECSサービスをホストするVPCとサブネットを選択します。
セキュリティグループで、手順4で作成したMyAutomatorServiceを選択します。
[リスナーとルーティング]の箇所でHTTPSポート443を選択し、ターゲットグループで前の手順で作成したターゲットグループ (automatortargetgroup) を選択します。
[セキュアリスナー設定]で、手順9でAWS Certificate ManagerにアップロードしたACMからのSSL証明書を選択します。
[ロードバランサーの作成]をクリックします。

12. ECSサービスの作成

[Elastic Container Service] > [タスク定義] > 手順8で作成したタスクを選択します。

このタスク定義から、[デプロイ] > [サービスの作成]をクリックします。

automatorの既存のクラスターを選択します。
サービス名にautomatorserviceまたは任意の名前を割り当てます。
必要なタスクの数については、とりあえず1に設定します。設定が完了後に実行したいタスクの数を増やせます。
[ネットワーク]でVPCとサブネットを選択し、既存のセキュリティグループを手順4で作成した ECSセキュリティグループに置き換えます。この場合はMyAutomatorServiceとなります。
パブリックIPをONにします。
[ロードバランシング]で、ロードバランサーの種類として[Application Load Balancer]を選択します。
既存のロードバランサーを使用し、手順11で作成したautomatralbを選択します。
既存のリスナーを使用し、443:HTTPSリスナーを選択します。
既存のターゲットグループを使用し、手順10のターゲットグループを選択します。
ヘルスチェックのパスを/healthに設定します。
ヘルスチェックプロトコルをHTTPに設定します。
[作成]をクリックします。

数分後にサービスが起動します。

13. DNSの更新

DNS名がRoute53によってホストおよび管理されていると仮定します。

Route53 > レコードの作成または編集に移動します。

Aレコードを作成します。
エイリアスとして設定します。
トラフィックを[アプリケーションおよびクラシックロードバランサーへのエイリアス]にルーティングします。
AWS地域を選択します。
automaticalbアプリケーションロードバランサーを選択します
[シンプルルーティング]を選択します。
[保存]を選択します。

次の手順では、タスクを1件だけ実行した状態でKeeperコマンダーを使用してオートメーターを設定します。

14. Keeperコマンダーのインストール

この時点ではサービスは実行されていますが、まだKeeperと通信できない状態です。

ご利用のワークステーション、サーバー、コンピューターのどれかにKeeperコマンダーCLIをインストールします。初期設定にのみ使用します。バイナリインストーラーを含むインストール手順についてはをご覧ください。

コマンダーをインストールした後、keeper shellと入力してセッションを開いてからloginコマンドを使用してログインします。オートメーターをセットアップするには、Keeper管理者またはSSOノードを管理する権限を持つ管理者としてログインする必要があります。

$ keeper shell

My Vault> login [email protected]
.
.
My Vault>

15. コマンダーでの初期設定

にログインし、automator createで始まる一連のコマンドを使用してオートメーターを有効にします。

My Vault> automator create --name="My Automator" --node="Azure Cloud"

ノード名 (この場合はAzure Cloud) は、以下のように管理コンソールUIから取得します。

コマンドの出力には、IDプロバイダからのメタデータを含むオートメーター設定が表示されます。

                    Automator ID: 1477468749950
                            Name: My Automator
                             URL: 
                         Enabled: No
                     Initialized: No
                          Skills: Device Approval

以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます (team、 team_for_user、device）。

automator edit --url https://<application URL> --skill=team --skill=team_for_user --skill=device "My Automator"

次にキーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。

automator setup "My Automator"

新しい設定でオートメーターを初期化します。

automator init "My Automator"

サービスを有効にします。

automator enable "My Automator"

この時点で設定は完了となります。

自動ヘルスチェックには以下のURLをご使用になれます。

https://<server>/health

以下はcurlコマンドを使用した例です。

$ curl https://automator.lurey.com/health
OK

本セットアップ例では、ロードバランサーはHTTP ポート8089経由でターゲットインスタンスにヘルスチェックを転送します。

16. ユーザー体験のテスト

Keeperオートメーターが1件のタスクを実行した状態でデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。

最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。

承認が機能しましたので、実行するタスクの数を増やせます。

17. タスク定義の更新 (任意)

Keeperオートメーターサービスは、処理するリクエストの数が少ないため単一のコンテナ上で問題なく快適に実行できます。ただし、複数のコンテナを実行したい場合は以下の手順に従ってください。

ECSサービス画面からautomatorserviceをクリックします。
[サービスを更新]をクリックします。
[新規デプロイメントを強制]するのチェックボックスを選択します。
最新のタスクリビジョンが選択されていることを確かにします。
[必要なタスク]を実行したいコンテナの数に設定します。
[更新]をクリックします。
数分後、新しいコンテナがデプロイされます。すべてのコンテナがアクティブになるまで待ちます。
Keeperコマンダーを起動します (あるいはまだ開いたままである可能性があります）。

各コンテナーに対して、オートメーターセットアップ、初期化、有効化を実行する必要があります。

以下は3つのコンテナが実行されている場合となります。

automator setup "My Automator"
automator setup "My Automator"
automator setup "My Automator"

automator init "My Automator"
automator init "My Automator"
automator init "My Automator"

automator enable "My Automator"
automator enable "My Automator"
automator enable "My Automator"

ログとモニター

オートメーターログは、ECSサービスの[ログ]タブまたはCloudWatchで検索およびモニターできます。

KSMを使用したAWS Elastic Container サービス (高度な設定)

ECS (Fargate)サービスを使用してKeeperオートメーターを実行し、機密情報のストレージとして Keeperシークレットマネージャーを実行

概要

本ガイドでは、Fargateを使用してAmazon ECSでKeeperオートメーターサービスを起動する方法について解説しながら、公開されたDockerコンテナのシークレット設定を取得するためにKeeperシークレットマネージャーを使用する方法を解説します。

Keeperのセットアップ

本デプロイでは、Keeperシークレットマネージャーを使用する必要があるため、オートメーターサービスを公開するためにKeeperボルトおよびSSL証明書を設定するために必要な手順を確認します。

1. SSL証明書

こちらのページの説明に従ってSSL証明書を作成します。

この手順が完了すると、ssl-certificate.pfxとssl-certificate-password.txtの2つのファイルが作成されます。

2. 共有フォルダの作成

ボルト内に共有フォルダを作成します。このフォルダーは、シークレットマネージャーアプリケーション以外の誰にも共有されません。

3. 添付ファイルの追加

共有フォルダにレコードを作成し、レコードUIDをメモします。SSL証明書とSSL証明書パスワードファイルを共有フォルダのレコードにアップロードします。

4. オートメータープロパティファイルの追加

以下の内容のkeeper.propertiesという新しいファイルをアップロードします。

ssl_mode=certificate
ssl_certificate_file=/config/ssl-certificate.pfx
ssl_certificate_file_password=
ssl_certificate_key_password=
automator_host=localhost
automator_port=443
disable_sni_check=true
persist_state=true

disable_sni_check=trueは、マネージドロードバランサーでオートメーターサービスを実行する場合に必要になります。

共有フォルダとレコードは以下のようになります。

5. KSMアプリケーションの作成

コンテナー内にKeeperシークレットマネージャー (KSM) アプリケーションを作成します。シークレットマネージャーをご使用でない場合は、のガイドをご参照ください。アプリケーションの名前はオートメーターですが問題ありません。

6. KSMアプリケーションを共有フォルダに添付

共有フォルダを編集し、オートメーターアプリケーションをこのフォルダに追加します。

7. KSMデバイス設定の作成

シークレットマネージャーアプリケーションを開き、[デバイス]タブをクリックして、[デバイスの追加]をクリックします。Base64設定を選択します。この設定をダウンロードして保存し、ECSタスク定義で使用できるようにします。

AWSのセットアップ

1. VPCの作成

VPCが存在しない場合は、複数のサブネット、ルートテーブル、インターネットゲートウェイを持つ基本的なVPCをセットアップする必要があります。こちらの例では、以下のリソースマップに見られるように、インターネットゲートウェイを備えたVPC内に3つのサブネットが含まれています。

2. CloudWatchロググループの作成

[CloudWatch] > [ロググループの作成]に移動します。

ロググループをautomator-logsと名付けます。

3. タスク実行IAMロールの作成

[IAM] > [ロールの作成]へ行きます。

[AWSサービス]を選択します。

次に、Elastic Container Serviceを検索して選択します。

[Elastic Container Serviceタスク]を選択し、[次へ]をクリックします。

[AmazonECSTaskExecution]ポリシーをロールに追加し、[次へ]をクリックします。

ECSTaskWritetoLogsという名前を割り当てて、ロールを作成します。

このロールのARNをメモして次の手順で使用できるようにします。

本事例ではarn:aws:iam::373699066757:role/ECSTaskWritetoLogsとなります。

4. ECSのセキュリティグループを作成

[EC2] > [セキュリティグループ]に移動し、[セキュリティグループの作成]をクリックします。

また、テストとトラブルシューティングのためにご使用のワークステーションの外部IPアドレスを追加することを推奨します。

MyAutomatorServiceなどの名前を割り当て、[作成]をクリックします。

Keeperテナント地域

IP1

IP2

54.208.20.102/32

34.203.159.189/32

US GovCloud

18.252.135.74/32

18.253.212.59/32

52.210.163.45/32

54.246.185.95/32

3.106.40.41/32

54.206.208.132/32

35.182.216.11/32

15.223.136.134/32

54.150.11.204/32

52.68.53.105/32

セキュリティグループを保存した後、受信ルールを再度編集します。今回はHTTPSポート443を追加し、ドロップダウンでセキュリティグループを選択します。これにより、ロードバランサーは状況を監視してトラフィックを分散できるようになります。

5. EFS用セキュリティグループの作成

クラスターからEFSへのNFSアクセスを制御する別のセキュリティグループを作成します。

[EC2] > [セキュリティグループ]に移動し、[セキュリティグループの作成]をクリックします。

MyAutomatorEFSのように名前を設定します。

NFSのタイプを選択してカスタムを選択してから、ECSクラスターの前の手順で作成したセキュリティグループを選択します。

[セキュリティグループの作成]をクリックします。

次の手順のためにセキュリティグループIDをメモしておきます。この場合はsgr-089fea5e4738f3898となります。

6. 2つのElastic File Systemボリュームを作成

現在、オートメーターサービスは2つの異なるフォルダにアクセスする必要があります。本セットアップ例では、SSL証明書とSSLパスフレーズファイルを保存するために1つのボリュームを作成しています。2つ目のボリュームには、オートメーターサービスのプロパティファイルが保存されます。これら3つのファイルはKeeperのレコードに含まれています。

[AWS] > [Elastic File System]に移動し、[ファイルシステムの作成]をクリックします。

automator_configと名付けて、[作成]をクリックします。

再び[Elastic File System]に移動し、[Create file system]をクリックします。automator_settingsと名付けて[作成]をクリックします。

表示されるファイルシステムID (fs-xxxなど) は、ECSタスク定義で使用されます。

1 分後、2 つのファイルシステムが使用可能になります。それぞれをクリックしてから[ネットワーク]タブを選択し、[管理]をクリックします。

各サブネットのセキュリティグループを上記の手順で作成したもの (MyAutomatorEFSなど) に変更し、[保存]をクリックします。作成された両方のファイルシステムに同じネットワーク変更を加えます。

7. Elastic Container Serviceクラスターの作成

Amazon Elastic Container Serviceへ進みます。

[クラスターの作成]を選択し、クラスター名とVPCを割り当てます。こちらの例では、デフォルトの[AWS Fargate (サーバーレス）]インフラストラクチャを使用しています。

デフォルトの名前空間はautomatorで問題ありません
[インフラストラクチャ]は AWS Fargate (サーバーレス) に設定します
[作成]をクリックします

8. ECSタスク定義の作成

任意のテキストエディタで、以下のJSONタスク定義ファイルをコピーして保存します。

JSONファイルに以下の変更を加えます。

本ガイドの冒頭で作成したKeeperシークレットマネージャーのXXXCONFIGXXX値をBase64設定に変更します。
3箇所あるXXXXXを、KSMがアクセスしているボルトの共有フォルダ内のSSL証明書、SSL証明書パスワード、設定ファイルが含間れるレコードUIDに変更します。
2つのファイルシステム ID (fs-XXX) を、上記の手順からのものに変更します。
ロールIDのXXXをAWSロールに固有のものに変更します。
2箇所のeu-west-1値を、ECSサービスの地域に変更します。

{
    "family": "automator",
    "containerDefinitions": [
        {
            "name": "init",
            "image": "keeper/keeper-secrets-manager-writer:latest",
            "cpu": 1024,
            "memory": 1024,
            "portMappings": [],
            "essential": false,
            "environment": [
                {
                    "name": "KSM_CONFIG",
                    "value": "XXXCONFIGXXX"
                },
                {
                    "name": "SECRETS",
                    "value": "XXXXX/file/ssl-certificate.pfx > file:/usr/mybin/config/ssl-certificate.pfx\nXXXXX/file/ssl-certificate-password.txt > file:/usr/mybin/config/ssl-certificate-password.txt\nXXXXX/file/keeper.properties > file:/usr/mybin/settings/keeper.properties"
                }
            ],
            "mountPoints": [
                {
                    "sourceVolume": "automatorconfig",
                    "containerPath": "/usr/mybin/config"
                },
                {
                    "sourceVolume": "automatorsettings",
                    "containerPath": "/usr/mybin/settings"
                }
            ],
            "volumesFrom": [],
            "logConfiguration": {
                "logDriver": "awslogs",
                "options": {
                    "awslogs-group": "automator-logs",
                    "awslogs-region": "eu-west-1",
                    "awslogs-stream-prefix": "container-1"
                }
            }
        },
        {
            "name": "main",
            "image": "keeper/automator:latest",
            "cpu": 1024,
            "memory": 4096,
            "portMappings": [
                {
                    "containerPort": 443,
                    "hostPort": 443,
                    "protocol": "tcp"
                }
            ],
            "essential": true,
            "environment": [],
            "mountPoints": [
                {
                    "sourceVolume": "automatorconfig",
                    "containerPath": "/usr/mybin/config"
                },
                {
                    "sourceVolume": "automatorsettings",
                    "containerPath": "/usr/mybin/settings"
                }
            ],
            "volumesFrom": [],
            "dependsOn": [
                {
                    "containerName": "init",
                    "condition": "SUCCESS"
                }
            ],
            "logConfiguration": {
                "logDriver": "awslogs",
                "options": {
                    "awslogs-group": "automator-logs",
                    "awslogs-region": "eu-west-1",
                    "awslogs-stream-prefix": "container-2"
                }
            }
        }
    ],
    "executionRoleArn": "arn:aws:iam::XXX:role/ECSTaskWritetoLogs",
    "networkMode": "awsvpc",
    "volumes": [
        {
            "name": "automatorconfig",
            "efsVolumeConfiguration": {
                "fileSystemId": "fs-XXX",
                "rootDirectory": "/",
                "transitEncryption": "ENABLED"
            }
        },
        {
            "name": "automatorsettings",
            "efsVolumeConfiguration": {
                "fileSystemId": "fs-XXX",
                "rootDirectory": "/",
                "transitEncryption": "ENABLED"
            }
        }
    ],
    "requiresCompatibilities": [
        "FARGATE"
    ],
    "cpu": "2048",
    "memory": "5120"
}

次に、[Elastic Container Service] > [タスク定義] > [JSONからタスクを作成]に移動します。

既存のJSONを削除し、変更したJSONファイルをボックスにコピーして貼り付けてから[作成]をクリックします。

このタスク定義は、インスタンスのCPU/メモリ要件に応じて変更できます。

9. SSL証明書をAWS Certificate Managerにアップロード

AWSのアプリケーションロードバランサーがオートメーターのリクエストに対応するには、SSL証明書が AWS Certificate Managerによって管理されている必要があります。

AWS Certificate Managerへ移動し、[インポート]をクリックします。

ご利用のワークステーション上でSSL証明書 (.pfx) ファイルを、 PEMエンコードされた証明書本体、PEMエンコードされた秘密キー、PEMエンコードされた証明書チェーンに変換する必要があります。

.pfxファイルはすでに存在するので以下のopensslコマンドを使用します。ssl-certificate.pfxファイルと証明書パスワードをワークステーションへダウンロードし、以下のコマンドを入力します。

PEMエンコードされた証明書本体の生成

openssl pkcs12 -in ssl-certificate.pfx -out automator-certificate.pem -nodes
openssl x509 -in automator-certificate.pem -out certificate_body.crt

PEMエンコードされた秘密キーの生成

openssl pkey -in automator-certificate.pem -out private_key.key

PEMエンコードされた証明書チェーンの生成

openssl crl2pkcs7 -nocrl -certfile automator-certificate.pem | openssl pkcs7 -print_certs -out certificate_chain.crt

3つのファイルの内容を画面へコピーします。

cat certificate_body.crt | pbcopy
   (証明書本体の箇所へ貼り付け)
   
cat private_key.key | pbcopy
   (証明書秘密キーの箇所へ貼り付け)
   
cat certificate_chain.crt | pbcopy
   (証明書チェーンの箇所へ貼り付け)

10. ターゲットグループの作成

[EC2] > [ターゲットグループ]に移動し、[ターゲットグループの作成] をクリックします。

ターゲットの種類として[IPアドレス]を選択します。
ターゲットグループ名にautomatortargetgroupまたは任意の名前を入力します。
ポート443のHTTPプロトコルを選択します。
ECSクラスターを含むVPC を選択します。
HTTP1を選択します。
[ヘルスチェック] で、ヘルスチェックプロトコルとして[HTTPS]を選択します。
ヘルスチェックのパスとして/healthと入力します。
[次へ]をクリックします。
まだターゲットを選択せずに[ターゲットグループの作成]をクリックします。

11. アプリケーションロードバランサー (ALB) の作成

[EC2] > [ロードバランサー] > [ロードバランサーの作成]に移動します。

[Application Load Balancer] > [作成]を選択します。

automarnalbなどの任意の名前を割り当てます。
スキームはInternet-facingとなります。
IPアドレスの種類: IPv4
[ネットワークマッピング]の箇所で、ECSサービスをホストするVPCとサブネットを選択します。
セキュリティグループで、手順4で作成したMyAutomatorServiceを選択します。
[リスナーとルーティング]の箇所でHTTPSポート443を選択し、ターゲットグループで前の手順で作成したターゲットグループ (automatortargetgroup) を選択します。
[セキュアリスナー設定]で、手順9でAWS Certificate ManagerにアップロードしたACMからのSSL証明書を選択します。
[ロードバランサーの作成]をクリックします。

12. ECSサービスの作成

[Elastic Container Service] > [タスク定義] > 手順8で作成したタスクを選択します。

このタスク定義から、[デプロイ] > [サービスの作成]をクリックします。

automatorの既存のクラスターを選択します。
サービス名にautomatorserviceまたは任意の名前を割り当てます。
必要なタスクの数については、とりあえず1に設定します。設定が完了後に実行したいタスクの数を増やせます。
[ネットワーク]でVPCとサブネットを選択し、既存のセキュリティグループを手順4で作成した ECSセキュリティグループに置き換えます。この場合はMyAutomatorServiceとなります。
パブリックIPはONにします。
[ロードバランシング]で、ロードバランサーの種類として[Application Load Balancer]を選択します。
既存のロードバランサーを使用し、手順11で作成したautomatralbを選択します。
既存のリスナーを使用し、443:HTTPSリスナーを選択します。
既存のターゲットグループを使用し、手順10のターゲットグループを選択します。
[作成]をクリックします。

数分後にサービスが起動します。

13. DNSの更新

DNS名がRoute53によってホストおよび管理されていると仮定します。

Route53 > レコードの作成または編集に移動します。

Aレコードを作成します。
エイリアスとして設定します。
トラフィックを[アプリケーションおよびクラシックロードバランサーへのエイリアス]にルーティングします。
AWS地域を選択します。
automaticalbアプリケーションロードバランサーを選択します。
[シンプルルーティング]を選択します。
[保存]を選択します。

次の手順では、タスクを1件だけ実行した状態でKeeperコマンダーを使用してオートメーターを設定します。

14. Keeperコマンダーのインストール

この時点ではサービスは実行されていますが、まだKeeperと通信できない状態です。

ご利用のワークステーション、サーバー、コンピューターのどれかにKeeperコマンダーCLIをインストールします。初期設定にのみ使用します。バイナリインストーラーを含むインストール手順についてはをご覧ください。コマンダーをインストールした後、keeper shellと入力してセッションを開いてからloginコマンドを使用してログインします。オートメーターをセットアップするには、Keeper管理者またはSSOノードを管理する権限を持つ管理者としてログインする必要があります。

$ keeper shell

My Vault> login [email protected]
.
.
My Vault>

15. コマンダーでの初期設定

にログインし、automator createで始まる一連のコマンドを使用してオートメーターを有効にします。

My Vault> automator create --name="My Automator" --node="Azure Cloud"

ノード名 (この場合はAzure Cloud) は、以下のように管理コンソールUIから取得します。

コマンドの出力には、IDプロバイダからのメタデータを含むオートメーター設定が表示されます。

                    Automator ID: 1477468749950
                            Name: My Automator
                             URL: 
                         Enabled: No
                     Initialized: No
                          Skills: Device Approval

以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます (team、 team_for_user、device）。

automator edit --url https://<application URL> --skill=team --skill=team_for_user --skill=device "My Automator"

次にキーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。

automator setup "My Automator"

新しい設定でオートメーターを初期化します。

automator init "My Automator"

サービスを有効にします。

automator enable "My Automator"

この時点で設定は完了となります。

自動ヘルスチェックには以下のURLをご使用になれます。

https://<server>/health

以下はcurlコマンドを使用した例です。

$ curl https://automator.lurey.com/health
OK

本セットアップ例では、ロードバランサーがターゲットインスタンスにヘルスチェックを転送します。

16. ユーザー体験のテスト

Keeperオートメーターが1件のタスクを実行した状態でデプロイされましたので、エンドユーザーの体験をテストできます。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。

承認が機能しましたので、実行するタスクの数を増やせます。

17. タスク定義の更新

ECS画面からオートメーターサービスを開き、[サービスの更新]をクリックします。次に、実行するタスクの数を設定します。

ログとモニター

オートメーターログは、ECSサービスの[ログ]タブまたはCloudWatchで検索およびモニターできます。