AWS SSO

AWSにログインし、[AWS Single Sign-On] (AWSシングルサインオン) を選択します。

SSOダッシュボードで、[Configure SSO access to your cloud applications] (クラウドアプリケーションへのSSOアクセスを設定する) を選択します。

[Applications] (アプリケーション) メニューで、[Adda a new application] (新しいアプリケーションを追加) を選択します。

次に、Keeper Securityを選択して[Add] (追加) を選択します。

[Details] (詳細) セクションで[Display name] (表示名)と[Description] (説明) (任意) を入力します。

[AWS SSO metadata] (メタデータ) セクションで、[Download] (ダウンロード) ボタンを選択して、AWS SSO SAMLメタデータファイルをエクスポートします。このファイルは、設定画面の[SSO Connect IdPMetadata] (メタデータ)　セクションでインポートします。

このファイルをKeeper SSO Connectサーバーにコピーし、ファイルを参照するか、設定画面の[SAMLメタデータ]の箇所にドラッグアンドドロップしてKeeper SSO Connectインターフェースにアップロードします。

次に、Keeperのメタデータファイルをダウンロードし、AWSアプリケーションのメタデータファイルにアップロードします。Keeper SSO Connect Cloud™のプロビジョニングの表示画面に移動します。

[メタデータをエクスポート]ボタンをクリックして、config.xmlファイルをダウンロードします。

\

AWS SSOの[Application metadata] (アプリケーションメタデータ) セクションに戻って、[Browse...] (ファイルを参照) ボタンを選択し、上記の手順でダウンロードしたconfig.xmlを選択します。

[Save changes] (変更を保存) をクリックすると、「Configuration for Keeper Password Manager has been saved」 (Keeperパスワードマネージャの設定が保存されました) いうメッセージが表示されます。

• より小さいサイズのSSL証明書の生成、メタデータファイルの再エクスポートとインポート、AWS SSOの設定でACS URLとAudience URLを手動設定のいずれかを行なってください。

次に、AWS SSOにマッピングするKeeperの属性が正しいことを確かにします (デフォルトで設定されています)。[Attribute mappings] (属性マッピング) タブを選択します。 AWSの文字列値を${user:subject}に、形式を空白またはunspecified (未指定) にします。 Keeper属性を以下のように設定します。

この変更を行うには、AWS SSOページの[Connected Directory] (接続されたディレクトリ) へ移動します。

[Edit attribute mappings] (属性マッピングを編集) ボタンを選択します。

AWS SSOのemail (メール) 属性を${dir:windowsUpn}から${dir:email}に変更します。

[Assigned users] (割り当てられたユーザー) タブを選択してから、[Assign users] (ユーザーを割り当て) ボタンをクリックして、アプリケーションを割り当てるユーザーまたはグループを選択します。

[Assign users] (ユーザーを割り当て) ウィンドウで、以下の操作を行います。

• グループまたはユーザーを選択

• グループまたはユーザーの名前を入力

• [Search connected directory] (接続されたディレクトリを検索) を選択して、検索します。

ディレクトリ検索の結果は、検索ウィンドウの下に表示されます。

アプリケーションへのアクセスが必要なユーザーやグループを選択し、[Assign users] (ユーザーを割り当て) ボタンを選択します。

備考: Keeper SSO Connectは、SAMLレスポンスが署名されていることを想定しています。IDプロバイダがSAMLレスポンスに署名するように設定されていることをご確認ください。

これでKeeper SSO Connectの設定は完了です。

既存のユーザー/初期管理者をSSO認証に移行

ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

Keeper SSOコネクトは、100%クラウドベースのSAML 2.0サービスで、既存のSSOおよびパスワードレスソリューションとスムーズかつ速やかな連携を実現します。また、ゼロ知識のパスワード管理および暗号化技術によって支えられています。Okta、Microsoft Azure、Google Workspace、Centrify、Duo、OneLogin、Ping Identity、JumpCloudなどのSSO IdPプラットフォームに対応しています。

SSOプロバイダに加えて、SAML 2.0がサポートされているパスワードレス認証プラットフォームともスムーズに連携します。

製品ホームページ

IDプロバイダとの互換性

Keeper SSOコネクトはKeeperエンタープライズに含まれており、Office 365、Entra ID / Azure AD、ADFS、Google Workspace、Okta、Ping、JumpCloud、Centrify、OneLogin、F5 BIG-IP APM など、主要なSSO IdPプラットフォームに統合できます。

SSOプロバイダに加えて、Duo、HYPR、Trusona、Octopus、Traitware、Veridiumなど、SAML 2.0に対応した主要なパスワードレス認証プラットフォームとも統合できます。

Keeper SSOコネクトが選ばれる理由

ご利用のSSOソリューションをKeeperのパスワードマネージャと組み合わせることで、機能面とセキュリティ面でさまざまな利点があります。

Auth0 SSOの設定

Auth0ポータルの管理者セクションにログインします。

[Applications] (アプリケーション) タブを選択し、[Create Application] (アプリケーションを作成) をクリックします。[Regular Web Applications] (通常のウェブアプリケーション) を選択します。

次に、[Addons] (アドオン) タブに移動して、[SAML2 WEB APP] (SAML2ウェブアプリ) をクリックします。

次に表示される設定ページで、Keeper管理コンソールに表示された[Assertion Consumer Service（ACS）エンドポイント]が必要になります。

ACSエンドポイントの例: https://keepersecurity.com/api/rest/sso/saml/XXXXXXXX

この値は、以下のようにサービスプロバイダの情報の一部としてSSO Connect Cloudの設定で確認できます。

ACSエンドポイントをAuth0画面の[Application Callback URL] (アプリケーションコールバックURL) フィールドに貼り付けます。

次に、SAML2 Web App編集ウィンドウでサンプルのJSONを削除して以下に置き換えます。

「audience」の値は法人IDとなります。この値もサービスプロバイダ情報の一部として、SSO Connect Cloudの設定で確認できます。

法人IDを追加した後、[Debug] (デバッグ) ボタンをクリックして、設定に問題がないことをご確認ください。

次に、SAML2 Web Appウィンドウを一番下までスクロールして、[Save] (保存) をクリックします。

次に、[Usage] (使用) タブをクリックし、IDプロバイダのメタデータファイルをダウンロードします。

Keeper側でSSOの設定を編集し、[IDP タイプ]に[GENERIC] (汎用) を選択します。metadata.xmlファイルを参照するか設定画面にドラッグアンドドロップして、Keeper SSO Connectインターフェースにアップロードします。

既存のユーザー/初期管理者をSSO認証に移行

ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

概要

Keeperは、すべてのMicrosoft Azure AD / Entra ID環境と互換性があり、SAML 2.0認証および自動プロビジョニングに対応しています。

• Keeperアプリケーション (ウェブボルト、KeeperFill、Keeperデスクトップ、iOS/Android用Keeperなど) は、条件付きアクセスポリシーに完全対応しています。

• Keeperでは商用 (portal.azure.com) とAzure Governmentクラウド (portal.azure.us) の両方の環境がサポートされています。

Azureの設定

AzureにクラウドSSOコネクトを設定する手順の詳細については以下の動画をご覧ください。

以下の手順を実行します。

1. Keeper Enterpriseアプリケーションを追加

https://portal.azure.comからAzure Adminアカウントへ移動し、[Azure Active Directory] > [Enterprise Applications] (エンタープライズアプリケーション) をクリックします。SCIMプロビジョニング用にKeeperアプリケーションがすでに設定されている場合は、既存のアプリケーションを編集します。

1. [New Application] (新規のアプリケーション) をクリックし、Keeperを検索してKeeper Password Managerを選択します。

1. [Create] (作成) をクリックしてアプリケーションを作成します。

2. [Set up single sign on] (シングルサインオンの設定) をクリックしてから[SAML]をクリックします。

3. Keeper管理コンソールで、SAMLメタデータファイルをエクスポートします。

[表示] > [メタデータをエクスポート]へ移動します。

1. [Upload metadata file] (メタデータファイルのアップロード) ボタンを選択してKeeper管理コンソールからダウンロードしたばかりのファイルを選択します。

[Add] (追加) ボタンを押してAzureインターフェースにメタデータファイルをアップロードします。

1. AzureのSAML設定画面が表示されます。

エラーを修正するには、管理コンソールのクラウドSSOインスタンスの詳細]画面で[IDP起点のログインエンドポイント]のURLをコピーし、[Sign on URL] (サインオンURL) 蘭に貼り付けます。

シングルログアウトサービスエンドポイント (SLO)

KeeperのURLエンドポイントで、IDプロバイダからのログアウトリクエストの送信先となります。シングルログアウトは任意で、IDプロバイダ側で設定します。

IDプロバイダを使用したKeeper起点のシングルログアウトの制御については、こちらをご参照ください。

デフォルトでは、ログアウト後にKeeperが強制的にEntra/Azureからのログアウトセッションを行います。この動作が発生しないようにしたい場合は、AzureメタデータファイルをKeeper にアップロードする前に編集し、SingleLogoutServiceの行を削除します。セキュリティ上の理由から、この行はそのまま含めておくことを推奨します。

1. [Save] (保存) をクリックしてからSAML設定ウィンドウを閉じます。

1. 保存後、設定のテストを求められますがテストは行わなず、数秒待ってからウェブブラウザでAzureポータルページを更新します。これで、[SAML Signing Certificate] (署名証明書) の箇所に証明書の項目が表示されます。

[Federation Metadata XML] (フェデレーションメタデータXML) の箇所の[Download] (ダウンロード) をクリックします。

1. メタデータファイルをKeeper管理コンソールにアップロードします。

管理コンソールで、[IDPタイプ]にAzureを選択し、手順9で保存したフェデレーションメタデータファイルをインポートします。

1. [User Attributes & Claims] (ユーザー属性と要求) を編集します。

[User Attributes] (ユーザー属性) セクションでは、AzureがユーザーID、名、姓、メールに対する要求を自動的に作成します。

[Additional clams] (追加要求) セクションの4つの要求は不要ですので、削除してください。

ForceAuthnの設定

Keeper管理コンソールで、IDプロバイダとの新しいログインセッションを実施するオプションがご利用になれます。SAMLリクエストでForceAuthn="true" が設定されていると、ユーザーがすでに認証されている場合でもサービスプロバイダ (Keeper) から新しい認証済みセッションを強制しなければならない旨IDプロバイダに伝えます。セキュリティポリシーやエンドユーザー環境によっては望ましい動作となります。

証明書更新のリマインダ

Entra ID / Azure AD のSAML署名証明書は1年後に失効します。

証明書の更新手順については、こちらのページをご参照ください。

ユーザープロビジョニング

手動または自動のプロビジョニングを使用して、AzureポータルからKeeperにユーザーをプロビジョニングできます。

手動

Keeperパスワードマネージャに特定のユーザーまたはグループのみを割り当てる場合は、以下の設定を変更する必要があります。Azureコンソールで、[Azure Active Directory] > [Enterprise Applications] (エンタープライズアプリケーション) > Keeper Password Managerへ進み、[Properties] (プロパティ) を選択します。

[User assignment required] (ユーザーの割り当てが必要ですか) を[Yes] (はい) に変更して保存します。これにより、アプリケーションに割り当てられたユーザーとグループのみが使用できるようになります。

[Users and groups] (ユーザーおよびグループ) の箇所で、Keeperアプリケーションにプロビジョニングするユーザーやグループを選択します。

SCIMを使用した自動プロビジョニング

既存のユーザー/初期管理者をSSO認証に移行

ルートノード (最上位レベル) で作成されたユーザーについては、SSO連携が設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスするときにマスターパスワードの入力を求められます。

管理者はSSO対応ノードに自ら移動できません。移動するには、別の管理者が必要となります。

メールでのボルトへのログイン

法人ドメインでボルトへのログイン

ドメインが予約されていない場合、最初に[法人SSOログイン]を選択し、SSO統合で設定された法人ドメインを入力することでKeeperボルトへログインできます。ユーザーが最近非SSOノードからSSOノードに移動した場合、マスターパスワードの入力を求められる場合があります。

ユーザーがSSO認証されると、それ以後はメールアドレスを使用するだけでSSO認証を開始できます。

メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、KeeperのSSO設定でジャストインタイムプロビジョニングが有効になっていることを確認し、メールドメインがKeeperによって予約されていることを確かにします。ルーティングとドメイン予約の詳細については、こちらを参照してください。

IdP起点のログイン

Keeperは、AzureのIdP起点のログインをサポートしています。以下のURLからアプリケーションダッシュボードへ移動します。

https://myapplications.microsoft.com/ これにより、割り当てられたKeeperのアプリケーションがロードされ、アイコンをクリックできるようになります。

CloudGate SSOの設定

1. CloudGate管理者コンソールへログインします。

[Admin Site]のタイルをクリックします。

1. 左側のメニューから[設定] > [サービスプロバイダー]を選択し、[サービスプロバイダー追加]をクリックします。

「サービスプロバイダー追加」ページの検索バーで「Keeper」を検索します。「Keeper SSO Connect Cloud」のアイコンを選択してクリックします。

1. 「一般設定」タブの「表示名」を「Keeper_SSO_Cloud_Connet」など任意の名前に設定します。

1. 「シングルサインオン設定」タブで、「エンティティID」などの情報が必要になりますので、Keeper管理コンソールを開いてコピーします。

コピーした「エンティティID」などの情報をCloudGateのシングルサインオン設定ページに貼り付けます。

1. 「追加属性」で[追加]をクリックし、「フィールド名」を「Email」に「値」を「${MAIL_ADDRESS}」に設定して保存します。

シングルログアウトを有効にする (任意)

CloudGateでシングルログアウト機能を有効にする場合は、「シングルサインオン設定」タブに移動して「ログアウトURL」を入力してから、Keeper管理コンソールから取得したSP証明書をアップロードします。

SP証明書をダウンロードするには、Keeper管理コンソールでSSO設定ページを表示し、[SP 認証エクスポート]ボタンをクリックします。

次に、「シングルログアウト (SLO) エンドポイント」情報をコピーして、CloudGateのシングルサインオン設定ページに貼り付けます。

1. 最後に、「シングルサインオン設定」タブの「SMAL 2.0 メタデータ」からメタデータをダウンロードして、KeeperクラウドSSOコネクトへインポートします。

Keeper管理コンソールへ戻り、作成したクラウドSSOコネクトによるSSO設定の編集画面に入ります。「IDPタイプ」を「GENERIC」に設定し、ファイルを「ここにファイルをドロップしてください」と書かれた箇所へドラッグアンドドロップします。

ユーザーの割り当て

CloudGateの左側のメニューの「アカウント管理」 > 「ユーザー」へ移動し、任意のユーザーをクリックします。「ユーザー管理」ページの「ユーザー設定」タブでユーザーを追加できるようになっています。

同じページの「ユーザーID」の下の[さらに表示する]をクリックして「メールアドレス」の値が入っていることを確認します。

[保存]をクリックして、KeeperクラウドSSOコネクトとCloudGateの設定を完了します。

CloudGate SCIMプロビジョニング

既存のユーザー/初期管理者をSSO認証に移行

ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

Duoのセットアップ

以下の手順では、Duoが正常に有効化され、認証ソース (Active DirectoryまたはIdP) が設定済みであることを前提としています。Duo SSO を有効にするには、Duo Admin Panel (管理パネル) にアクセスし、「Single Sign-On」 (シングル サインオン) セクションにアクセスします。

手順 1: DUO SSOの設定

DuoのAdmin Panel (管理パネル) にログインし、左側のナビゲーションバーの[Protect an Application] (アプリケーションの保護) をクリックします。Keeperを検索し、アプリケーションリストから、保護タイプが[2FA with SSO hosted by Duo (Single Sign-On)] (DuoがホストするSSOによる2FA (シングルサインオン)」のKeeper Securityを見つけて、[Protect] (保護) をクリックします。

手順 2: メタデータ

[Download] (ダウンロード) セクションで、ご利用のSSOプロビジョニングメソッドにアップロードするためのSAMLメタデータファイルをダウンロードします。

Keeper管理コンソールに戻り、DUOクラウドSSOコネクトのプロビジョニングメソッドを見つけて、[編集]を選択します。

[アイデンティティプロバイダ]セクションまで下にスクロールし、[IDP タイプ]を[DUO SSO]に設定して、[ファイルを参照]を選択し、先ほどダウンロードしたDUOメタデータファイルを選択します。

引き続き、Keeper管理コンソール内のDUOクラウドSSOコネクトのプロビジョニングメソッドで、編集ビューを終了して、[表示]を選択します。 サービスプロバイダセクション内に、[エンティティID]、[IDP起点ログインエンドポイント]、[アサーションコンシューマーサービス (ACS) エンドポイント]のメタデータの値が表示されます。

Duo Admin Panel (管理パネル) のアプリケーションページに戻り、Entity ID (エンティティID)、Login Enndpoint (ログインエンドポイント)、ACS Endpoint (ACSエンドポイント) をコピーして、Service Provider (サービスプロバイダ) セクションに貼り付けます。

手順 3: ユーザー属性をマッピング

SAML Response (SAMLレスポンス) セクション内で、Map attribute (属性をマッピング) まで下にスクロールして、以下の属性をマッピングします。

手順 4: ポリシー

Policy (ポリシー) セクションでは、ユーザーがこのアプリケーションにアクセスするときの認証のタイミングと方法を定義します。グローバルポリシーは常に適用されますが、そのルールはカスタムポリシーで上書きできます。

手順 5: グローバルポリシー

Global Policy (グローバルポリシー) セクションでは、DUOまたはKeeperの管理者に表示されるすべてのグローバルポリシーを閲覧、編集、確認できます。

トラブルシューティング

ご利用のDUO環境内へのKeeper Security EPM - Single Sign-Onの実装に関してサポートが必要でしたら、Keeperサポートチームまでお問い合わせください。

既存のユーザー/初期管理者をSSO認証に移行

ユーザーにDuoでログインしてもらいたい場合は、Keeper管理コンソールのルートノード (最上位) で作成されたユーザーをSSO対応ノードに移動する必要があります。管理者は自分自身をSSO対応ノードに移動できません。これには別の管理者が必要となります。

法人ドメインでオンボードするには、ユーザーは[法人SSOログイン]からKeeper管理コンソールで設定された法人ドメインを入力します。

ユーザーがSSOで認証されると、今後はメールアドレスを入力するだけSSO認証を開始できます。

Google WorkspaceとKeeperの連携では以下がサポートされています。

• SAML 2.0を使用したSSO認証

• Google Cloud APIとSCIMを使用した自動プロビジョニング (ユーザーとグループ)

• SCIMを使用した自動プロビジョニング (ユーザーのみ)

SSO、SSOとプロビジョニング、プロビジョニングのみのいずれかを設定できます。

Google Workspaceの設定

[Apps] (アプリ) > [Web and Mobile Apps] (ウェブアプリおよびモバイルアプリ)画面にアクセスします。

続いて、[Add App] (アプリを追加)、[Search for apps] (アプリを検索)の順に選択します。

[Enter app name] (アプリ名を入力)の箇所で「Keeper」を検索し、「Keeper Web (SAML)」を選択します。

Keeperアプリを設定

[Option1] (オプション1)を使用して、IdPのメタデータをダウンロードし、[CONTINUE] (続行) を選択します。

サービスプロバイダの詳細情報

[Service Provider Details] (サービスプロバイダの詳細情報) 画面には、入力フィールドがいくつかあります。ACS URLとEntity IDを、SSO Connect Cloudインスタンスで使用する値に置き換えます。

ACS URLとEntity IDを取得するには、Keeper管理コンソール内でSSO Connect Cloudプロビジョニングメソッドを見つけて、[表示]を選択します。

Service providerの箇所に、ACS URLとEntity IDの値が表示されます。

ACS URLとEntity IDをコピーして、Service provider details (サービスプロバイダの情報) に貼り付け、[Signed Response] (署名付きレスポンス) をチェックして、[CONTINUE] (続行)を選択します。

属性マッピング

Attributes (属性) 画面で、以下に表示されているとおり3つのマッピングがあることを確かにします。以下に表示されているように、マッピングフィールドをFirst Name (ファーストネーム) 、Last Name (ラストネーム) 、Primary Email (プライマリメール) に設定し、[Finish] (完了)を選択します。 これで、Google WorkspaceのKeeperへのSAML連携が完了しました。

Keeper SAMLアプリの詳細

設定が完了すると、Keeper SAMLアプリの詳細ページが表示され、SAML接続およびサービスの詳細を確認できます。SSOを有効にするには、[OFF for everyone] (すべてのユーザーに対してOFF) をクリックします。

全ユーザーでSSO Connectを有効にする

全ユーザーでKeeper SSO Connectを有効にするには、[ON for everyone] (すべてユーザーに対してON) を選択して、[SAVE] (保存)をクリックします。

グループのSSO Connectを有効にする

特定のグループでKeeper SSO Connectを有効にするには、[Service status] (サービスステータス) の左側にある[Groups] (グループ) を選択し、Keeper SSO Connectに関連付けたいグループを検索して選択し、ONをチェックして[SAVE] (保存) をクリックします。

Google Workspaceメタデータをインポート

Keeper管理コンソールに戻り、SSO Connect Cloudプロビジョニングメソッドを見つけて[編集]を選択します。

[Browse Files] (ファイルを参照) を選択し、以前にダウンロードしたGoogleメタデータファイルを選択します。

メタデータファイルがプロビジョニングメソッドに反映されると、成功したことになります。 これで、プロビジョニング設定を終了します。

Google Workspaceのシングルログアウト (SLO) 設定に関する注意

SSOの設定が完了しました。

これでKeeper SSO ConnectをGoogle Workspaceと連携させる設定は完了となります。以下の手順で、Googleアカウントを使用してKeeperにログインできるようになります。

1. Keeperボルトを開き、[法人SSOログイン]をクリックします。

2. SSOの設定時にKeeper管理コンソールに指定した法人ドメインを入力します。SSO Connectのステータス画面ではSSO Connectドメインという名前になっています。

3. [接続]をクリックし、Google Workspaceの認証情報でログインします。

ユーザーとチームのプロビジョニング

次に、Google Workspaceからユーザーとチームのプロビジョニングを設定する方法を解説します。 Google Workspaceと統合するには以下の2つの方法があります。

オプション 1 (推奨): ユーザーとグループのプロビジョニング

Google WorkspaceではSCIMグループがネイティブでサポートされていないため、Keeperではユーザーとグループのプロビジョニングを自動化するためにGoogle Workspaceと統合するGoogle Cloud Functionを開発しました。このサービスの設定手順については、以下をご参照ください。

オプション 2: ユーザーのみをプロビジョニングする

SCIM直接統合を使用して直接Google WorkspaceからKeeperへのユーザー (グループではなくユーザーのみ) をプロビジョニングする手順については、以下をご参照ください。

データ環境全体にわたるエンドツーエンドのパスワード保護

既存のIdPを通して認証するだけで、Keeperパスワード管理プラットフォームの全機能にアクセスできます。

• デバイスや搭載OSを問わずにアクセスできるデジタルボルト

• デバイスを問わず自動パスワード生成と自動入力

• あらゆるシステム、ブラウザ、アプリに対応

• ボルトデータのゼロ知識暗号化

このサービスは、どのようなオンプレミスサービスもクラウドサービスも必要とせず、マスターパスワードも使用しません。 設定は、アイデンティティプロバイダとKeeperの管理コンソールの間で直接行います。

ゼロ知識を維持するため、デバイスごとに楕円曲線暗号の公開鍵と秘密鍵のペアが生成されます。 デバイスの秘密鍵で、ユーザーのボルトが暗号化および復号化されます。新しいデバイスにサインインするには鍵交換が必要となりますが、その際にはKeeperプッシュ通知機能を使用するか指定された管理者が承認します。管理者による自動承認は、様々な方法で設定できます。

セットアップ手順

重要: SSOユーザーとプロビジョニングは、ルートノードではない専用ノードに存在する必要があります。これらの手順を始める前に、以下のように新しいノードを作成します。

Keeper SSO Connect Cloudは、以下の3つの手順で導入します。

1. Keeper管理コンソールのプロビジョニングでSSO Connect Cloudインスタンスを作成する

2. SAML IDプロバイダとメタデータを交換する

3. Keeperへの自動プロビジョニングのセットアップやユーザーの手動プロビジョニング

デバイス承認

メリット

管理者の観点から、コスト面、リスク面、労力面において以下のようなメリットがあります。

• セットアップが簡単で、Keeperの既存の管理コンソールの1か所ですべてを管理

• IdPと連携するためのホスト型ソフトウェアが不要

• 追加のサーバー費用が不要

• ソフトウェアへのパッチ適用が不要

• 単一障害点のリスクを排除

• Keeperの高可用性システムによる24時間365日稼働

Centrify

クラウドログインを使用して、CentrifyのAdmin portal (管理者ポータル) にログインします。

プルダウンメニューからAdmin portal (管理者ポータル) に切り替えます。

Quick Start Wizard (クイックスタートウィザード) がポップアップ表示された場合は、閉じます。メニューから[Apps] (アプリ) を選択し、[Add Web Apps] (ウェブアプリ) を選択します。

Add Web Apps (ウェブアプリを追加) ウィンドウで、[Custom] (カスタム) タブを選択し、下にスクロールしてSAMLの横の[Add] (追加) を選択します。

Do you want to add this application? (このアプリケーションを追加しますか？) のプロンプトで[Yes] (はい) を選択します。

Add Web Apps (ウェブアプリを追加) ウィンドウを閉じます。

次に、KeeperのSSOメタデータをCentrifyにアップロードします。 Keeper管理コンソールで、SAMLメタデータファイルをエクスポートします。

[表示]をクリックして[メタデータをエクスポート]に移動します。

Centrifyの[SAML Application Settings] (SAMLアプリケーション設定) セクションで、[Upload SP Metadata] (SPメタデータをアップロード) を選択します。

[Upload SP Metadata from a file] (ファイルからSPメタデータをアップロード) を選択し、[Browse]をクリックしてKeeperSSOMetadata.xmlファイルを選択し、[OK]を選択します。

Identity Provider SAML Meta data (IDプロバイダのSAMLメタデータ) をダウンロードします。これをKeeper SSO Connectにアップロードします。

Description (説明) セクションで、Application Name (アプリケーション名) フィールドにKeeper SSO Connectと入力し、Category (カテゴリ) フィールドで[Security] (セキュリティ) を選択します。

Keeperのロゴをダウンロードします。 [Select Logo] (ロゴを選択) を選択して、Keeperのロゴ (keeper60x60.png) をアップロードします。

[User Access] (ユーザーアクセス) セクションで、Keeperにアクセスできるロールを選択します。

Account Mapping (アカウントマッピング) セクションで、「Use the following Directory Service field to supply the user name」 (以下のディレクトリサービスを仕様してユーザー名を供給する) を選択して「mail」と入力します。

Advanced (詳細設定) セクションで、以下のコードを含むスクリプトを追加します。

• 上記のスクリプトで、User Account (ユーザーアカウント) セクションから表示名を読み取ります。FirstName属性は、DisplayNameの最初の文字列から取得し、LastName属性は、DisplayNameの2番目の文字列から取得します。

[Save] (保存) を選択して設定を完了します。

ファイルを編集画面にドラッグアンドドロップして、Identity Provider Metadata (IDプロバイダのSAMLメタデータ) ファイルをKeeper SSO Connect Cloudインスタンスのインターフェースにアップロードします。

アップロードが完了すると、画面をひとつ戻ります。 SSO連携をテストする準備ができました。

概要

ユーザー プロビジョニングには、以下のライフサイクルマネジメント向け機能が備わっています。

• Google Workspaceに新しくユーザーを追加すると、そのユーザーにKeeperボルトセットアップの招待メールが届きます。

• ユーザーは、ユーザーまたはチーム単位でKeeperに割り当てることができます。

• ユーザーのプロビジョニングが解除されると、Keeperアカウントが自動的にロックされます。

Keeper管理コンソールから、Google Workspaceノードの[プロビジョニング]タブに移動し、[メソッドを追加]をクリックします。

SCIMを選択して[次へ]をクリックします。

[プロビジョニングトークンを作成]をクリックします。

次の画面に表示されるURLとトークンは、Google Workspace管理コンソールで必要となりますので、URLとトークンをファイルに一時的に保存してから[保存] をクリックします。

Google Workspace管理コンソールに戻って、Home (ホーム) > [Apps] (アプリ) > [SAML Apps] (SAMLアプリ) に移動し、セットアップしたKeeperの横の[Provisioning Available] (プロビジョニングが利用可能) というテキストをクリックします。

ページ下部にある[Configure auto-provisioning] (自動プロビジョニングの設定) を選択します。

手順 1: アプリケーションの認証

Keeper管理コンソールでSCIMプロビジョニングメソッドを作成したときに保存したアクセストークンを貼り付け、[CONTINUE] (続行) をクリックします。

手順 2: エンドポイントURL

Keeper 管理コンソールでSCIMプロビジョニングメソッドを作成したときに保存したエンドポイント URLを貼り付け、[CONTINUE] (続行) をクリックします。

手順 3: デフォルトの属性マッピング

デフォルトの属性マッピングのまま[CONTINUE] (続行) をクリックします。

手順 4: Provisioning Scope (プロビジョニングスコープ)

Keeper SSO Connectに割り当てられたすべてのユーザーをプロビジョニングする場合は、[CONTINUE] (続行) をクリックします。

手順 5: Deprovisioning (プロビジョニング解除)

Deprovisioning (プロビジョニング解除) 画面で、[FINISH] (完了)をクリックすると、ユーザーのプロビジョニング解除を自動化できます。

Auto-provisioning (自動プロビジョニング) を有効にする

自動プロビジョニングのセットアップが完了すると、Keeperの詳細画面に戻ります。自動プロビジョニングが非アクティブになっているのでアクティブに切り替えます。

切り替えた後、自動プロビジョニングをアクティブにする準備ができていることを確認するポップアウトウィンドウが表示されるので、[TURN ON]をクリックします。

Keeperの詳細画面に戻ると、自動プロビジョニングがアクティブになっています。

自動プロビジョニングの設定が完了しました。今後、Google WorkspaceでKeeperを使用するように設定され、プロビジョニングスコープの定義内にある新しいユーザーは、Keeperボルト使用の招待を受け取り、Google Workspaceの制御下に置かれます。

SSOを使用せずにSCIMでユーザーをプロビジョニング

Google Workspace SCIMプロビジョニングを介してKeeperにユーザーをプロビジョニングしつつSSOでユーザーを認証しない場合は、以下の手順を行います。

1. 上記のSSO設定の場合と同じ手順に従い、サービスプロバイダの詳細画面でACS URLとEntity IDを、コントロール内のドメインを指し、通信可能なソースがないNULL値で置き換えます。 例: Entity ID=https://null.yourdomain.com/sso-connect ACS URL=https://null.yourdomain.com/sso-connect/saml/sso

2. Google Workspaceで Keeper アプリケーションがセットアップされると、本ページで前述した通りに自動プロビジョニングメソッドを有効にします。

トラブルシューティング

「not_a_saml_app」というエラーが表示された場合は、SAML アプリケーションで「自動プロビジョニング」が「オン」になっていることを確かにしてください。

Google証明書の更新

SAMLアサーションへの署名用GoogleのIdP x.509証明書は5年後に期限が切れるように設定されています。Google Workspaceの[Manage Certificates] (証明書の管理) の箇所で有効期限をメモし、将来の機能停止を防ぐためにカレンダーのアラートを設定する必要があります。

証明書の有効期限が迫っている場合や証明書の有効期限が切れている場合は、以下の手順に従います。

1. Google Workspace管理コンソールにログインします。

2. [アプリ]をクリックしてから[ウェブアプリとモバイルアプリ]を選択します。

3. Keeperを選択します。

4. サービスプロバイダを開きます。

5. [証明書を管理]をクリックします。

6. [ADD CERTIFICATE] (証明書の追加) をクリックします。

7. [DOWNLOAD METADATA] (メタデータのダウンロード) をクリックします。 　

8. メタデータファイルを保存します。これがIdPメタデータとなります。

9. Keeper管理コンソールへログインします。

10. [管理者] > SSOノード > プロビジョニングへ移動し、SSO Cloudプロビジョニングメソッドを編集します。

11. Google IdPメタデータをKeeperへアップロードします。

本件の詳細については、以下のGoogleサポートページをご参照ください。

https://support.google.com/a/answer/7394709

既存のユーザーや初期管理者をSSO認証に移行させる

ルートノード (最上位) で作成されたユーザーは、SSO統合が設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力が必要となります。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンを選択し、SSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

HENNGE SSO設定

1. HENNGE管理者コンソールへログインします。

メニューの[Administration] (管理) タイルをクリックします。

1. [Connected Services] (接続済みサービス) を選択し、[Add Service] (サービスを追加) をクリックします。

[Add New Service] (新規サービスを追加) ページの[Add Service for SSO]で、[Add Service Manually] (手動でサービスを追加) をクリックします。

1. サービス名を「Keeper Password Manager and Digital Vault」など任意の名前に設定し、「UsePrincipleName (UPN)」という値の属性Emailクレームを追加して[Submit]ボタンをクリックします。

これで、手順5のKeeper 側の設定に必要な値がすべて表示されます。右上の[X]をクリックして、このページから一旦離れます。

[Connected Services menu] (接続サービス) メニューで作成したサービス名をクリックし、[Upload Using Metadata] (メタデータを使用してアップロード) ボタンをクリックします。

1. メタデータをアップロードした後、HENNGE Connected Service設定ページに戻り、https://keepersecurity.com/api/rest/sso/ext_login/<SSOID>のようにログインURLを入力します。

ページの一番下までスクロールし、[Save Changes] (変更を保存) ボタンを選択して設定を完了します。

1. 最後に、このコネクタからメタデータをエクスポートしてKeeper SSO Connect Cloud™へインポートします。

[IDPタイプ]を[Generic]に設定し、このファイルを編集画面にドラッグアンドドロップしてKeeper SSO Connect Cloud™ プロビジョニングインターフェイスにアップロードします。

ユーザーの割り当て

HENNGEで、[User list] (ユーザーリスト) ページの [Access Policy] (アクセスポリシー) でユーザーを追加したり、[Access Policy Groups] (アクセスポリシーグループ) ページの[Allowed services] ( 許可されたサービス) の箇所でグループを追加したりできるようになりました。

既存のユーザー/初期管理者をSSO認証に移行

ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

Okta SSOの設定

Oktaポータルの管理者セクションにログインします。

左側のメニューから[Applications] (アプリケーション) を選択して、[Browse App Catalog] (アプリカタログを見る) をクリックします。

Keeperパスワードマネージャー (Keeper Password Manager) を検索し、Keeperパスワードマネージャ&デジタルボルト (Keeper Password Manager and Digital Vault) アプリケーションの[追加] (Add) ボタンを選択します。

次に表示される全般設定 (General Settings) ページで、Keeper管理コンソールに表示された「Entity ID」が必要になります。

サーバーベースURLの例: https://keepersecurity.com/api/rest/sso/saml/XXXXXXXX

XXXXXXXXの値は、ユーザーの企業に関連付けられた特定のSSO Connectインスタンスを表し、以下に示すように、サービスプロバイダ情報の一部として管理コンソールのSSO設定で確認できます。

Okta画面のベースURL (Base URL) フィールドにエンティティIDを貼り付けます。

次に、サインオン (Sign On) タブを選択します。

SAML署名証明書の設定セクションまで下にスクロールし、アクション (Actions) > IdPメタデータを表示 (View IdP metadata) を選択します。

表示されたXMLファイルをコンピュータに保存します。Chrome、Edge、Firefoxで、ファイル (File) > 名前を付けてページを保存... (Save Page As...) を選択して、metadata.xmlファイルを保存します。

Keeper側でSSO設定を編集して、IDPタイプにOKTAを選択し、metadata.xmlファイルを参照するか、または設定画面にドラッグアンドドロップして、KeeperクラウドSSOコネクトインターフェースにアップロードします。

(オプション) シングルログアウトを有効化

Oktaでシングルログアウト機能を有効にしたい場合は、サインオン (Sign On) タブに移動して、編集 (Edit) をクリックします。 「シングルログアウトを有効化（Enable Single Logout）」チェックボックスをクリックし、Keeper管理コンソールに表示されたSP証明書をアップロードします。

まずSP証明書をダウンロードするために、KeeperでSSO設定を表示し、SP証明書をエクスポート (Export SP Cert) ボタンをクリックします。

SP証明書ファイルをアップロードし、[保存] (Save) を必ずクリックして、サインオン設定をOktaに保存してください。

[Actions]メニューから、[View IdP metadata]を選択します。

表示されたXMLファイルをコンピュータに保存します。Chrome、Edge、Firefoxで、ファイル (File) > 名前を付けてページを保存... (Save Page As...) を選択して、metadata.xmlファイルを保存します。

Keeper管理コンソール側でSSO設定を編集してから、新しいmetadata.xmlファイルを参照するか、セットアップ画面にドラッグアンドドロップして、Keeper SSO Connectインターフェースにアップロードします。

Okta SCIMのプロビジョニング

ユーザーの割り当て

既存のユーザー/初期管理者をSSO認証に移行

ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

JumpCloud

1. JumpCloud管理者コンソールにログインします。

サイドメニューのSSOタブを選択します。

1. 次に、左上隅の + アイコンを選択します。

「SSOアプリケーションを導入する (Get Started with SSO Application）」ページの検索バーで、Keeperを検索します。Keeperアプリケーションの設定 (Configure) を選択します。

1. 次に、Keeperアプリケーションのコネクタページの一般情報 (General Info) セクションで、表示ラベル (Display Label) を設定します。 Keeper Securityパスワードマネージャ

シングルサインオン設定 (Single Sign-On Configuration) で、[メタデータをアップロード (Upload Metadata)] ボタンをクリックします。

1. メタデータをアップロードしたら、JumpCloudのSSO設定ページに戻り、ログインURLをhttps://keepersecurity.com/api/rest/sso/ext_login/<ご利用のSSO IDをこちらに入力> のように入力します。

ページの一番下までスクロールして設定を完了し、[有効化 (activate)] ボタンを選択します。

1. 最後の手順では、このコネクタからメタデータをエクスポートして、KeeperクラウドSSOコネクトにインポートします。

IDPタイプ (IDP Type) を汎用 (GENERIC) に設定し、このファイルを編集画面にドラッグアンドドロップして、KeeperクラウドSSOコネクトのプロビジョニングインターフェースにアップロードします。

既存のユーザー/初期管理者をSSO認証に移行

ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

概要

Google Cloud Functionを使用してGoogle WorkspaceからKeeperにユーザーを自動的にプロビジョニングする方法について解説します。これには、ユーザー、グループ、ユーザー割り当てのプロビジョニングが含まれます。ユーザーとチームのプロビジョニングには、ライフサイクル管理のためのいくつかの機能が備わっています。

• どのGoogleグループやユーザーをKeeperにプロビジョニングするかを指定できます。

• Keeperに割り当てられたGoogleグループはKeeperチームとして作成されます。

• Keeperチームをボルト内の共有フォルダに割り当てられます。

• グループに追加された新しいユーザーは自動的にKeeperに招待されます。

• グループとユーザーの割り当ては同期のたびに適用されます。

• ユーザーのプロビジョニングが解除されると、Keeperカウントが自動的にロックされます。

本ページの設定手順で、Google Workspaceアカウントからユーザーとグループをプロビジョニングします。設定には以下のリソースにアクセスする必要があります。

• ​Google Cloud​

• ​Google Workspace​

• ​Keeper管理コンソール​

• ​Keeperボルト​

• ​Keeperシークレットマネージャー​

この実装ではKeeperシークレットマネージャーを使用して、最小限の権限でGoogleとKeeperを最も安全に統合します。Keeperシークレットマネージャーをご使用でない場合は、Keeperカスタマーサクセス チームにお問い合わせください。

手順 1. Google Cloudプロジェクトの作成

Google Cloudにログインし、プロジェクトを作成するか既存のプロジェクトを選択します。プロジェクト名は「Keeper SCIM Push」など任意の名前にします。

手順 2. Admin SDK APIを有効にする

• APIs & Servicesで、[+ ENABLE APIS AND SERVICES] (APIとサービスを有効にする) をクリックします。

• Search for APIs & Servicesで、Admin SDK APIを入力します。

• [ENABLE] (有効にする) をクリックします。

手順 3. サービスアカウントを作成

ここで作成したサービスアカウントは、Google Workspaceのユーザーとグループの情報にアクセスするために使用されます。

• IAM and Adminメニューで、Service accounts (サービスアカウント)を選択します。

• keeper-scimというサービスアカウント名で[+ CREATE SERVICE ACCOUNT]をクリックします。

新規作成のサービスアカウントの場合、Actionsの3つの点をクリックして[Manage keys] (キーの管理) を選択します。

[ADD KEYS] (鍵を追加) から[Create new Key] (新しい鍵を作成) をクリックし、鍵のタイプとして[JSON]を選択してから[CREATE] (作成) をクリックします。

サービスアカウントの認証情報が含まれたJSONファイルがコンピュータにダウンロードされます。

ファイル名をcredentials.jsonに変更し、上のセットアップ手順で作成したKeeper設定レコードに添付ファイルとして追加します。

手順 4. Client IDをコピー

サービスアカウントへと移動し、[DETAILS]タブから[Advanced Settings]へ進みます。

[Domain-wide delegation]でClient IDをコピーします。次の手順でこのClient IDにGoogle Workspace Directoryへのアクセスを付与します。

手順 5. Google Workspaceでサービスアカウントを承認

Google Workspace Panel (https://admin.google.com)で以下を行います。

• [Security] (セキュリティ) > [API controls] (API制御) へ進みます。

• Domain wide delegationの下の[MANAGE DOMAIN WIDE DELEGATION]をクリックします。

• API Clientsで[Add new]をクリックします。

• 前の手順でコピーしたClient IDを貼り付けます。

以下のテキストをOAuth scopes (comma-delimited)に貼り付けます。

https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.group.member.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly

[AUTHORIZE] (承認) をクリックします。これらのスコープにより、サービスアカウントにGoogle Workspaceディレクトリユーザー、グループ、メンバーシップへの読み取り専用アクセスが付与されます。

手順 6. Primary Emailを取得

• Google Workspace (https://admin.google.com) で[Account] (アカウント) > [Account settings] (アカウント設定) へ進みます。

• 次の手順で使うため、Primary adminメールアドレス (右上) をクリップボードにコピーします。

手順 7. Keeperボルトで共有フォルダを作成

Keeperボルトで、新しい共有フォルダを作成します。このフォルダーには「Google SCIM Push」などの任意の名前を付けます。ユーザー権限とレコード権限については、任意の権限を選択します。

STEP 8. シークレットマネージャを作成

アプリケーションに「Google SCIM Push」などの名前を付けて、[アクセストークンの作成]をクリックします。 このトークンは破棄され、このシナリオでは使用されません。

次に、一覧から「Google SCIM Push」を選択し、[編集]、[デバイスの追加]の順にクリックします。

設定タイプにはBase64を選択してコンピュータにダウンロードします。

ファイルをconfig.base64としてコンピュータに保存します。

手順 9. SCIMプロビジョニングメソッドを作成

Keeper管理コンソールから、Google Workspaceノードの[プロビジョニング]タブに移動し、[メソッドを追加]をクリックします。

SCIMを選択して[次へ]をクリックします。

[プロビジョニングトークンを作成]をクリックします。

URLとトークンが表示されるので、URLとトークンをファイルに一時的に保存してから、[保存] をクリックします。

手順 10. 共有フォルダでKeeperレコードを作成

手順7で作成した共有フォルダ内に、以下のフィールドを含むレコードを作成します。

指定したグループとそのユーザーがKeeperにプロビジョニングされます。

この時点で、Keeper側の設定は完了となります。残りの手順はGoogle CloudコンソールでのCloud Functionの設定となります。

手順 11. Google Cloud Functionを作成

Google CloudコンソールからCloud Functionsを開き、[関数を作成]をクリックします。

Basics:

• Environment (環境) に2nd gen (第2世代) を選択します。

• Function name (関数名) は「keeper-scim-push」にします。

• Region (地域) には任意の地域を選択してメモしておきます。

• TriggerのTrigger typeををHTTPSにします。

• Authentication (認証) を「Require authentication」 (認証が必要) にします。

Advanced -> Runtime:

• Memory allocated (メモリの割り当て) : 256MiB

• CPU: 0.333

• Timeout (タイムアウト) : 120秒

• Concurrency (同時実行) のコンテナあたりの最大リクエスト数: 1

• Autoscaling (自動スケーリング) のインスタンスの最小数 : 0

• Autoscaling (自動スケーリング) のインスタンスの最大数 : 1

• Runtime service account (ランタイムサービスアカウント) : 選択

• Runtime service account (ランタイムサービスアカウント) で, 「Default compute service account」を選択

以下は設定例です。

Runtime environment variables (ランタイム環境変数)

変数を2つ作成します。

• Name 1をKSM_CONFIG_BASE64、Value 1を手順8で生成したKSM設定ファイルの内容に設定します。

• Name 2をKSM_RECORD_UID、Value 2を手順10でボルトで作成したレコードUIDに設定します。

[CONNECTIONS] (接続) をクリックし、[Allow internal traffic only] (内部トラフィックのみ) を選択します。

下へスクロールして[NEXT] (次へ) をクリックし、Cloud Function Sourceをアップロードします。

手順 12. Cloud Function Sourceをアップロード

• Keeper Google SCIM Pushのリリースページへ移動します。 https://github.com/Keeper-Security/ksm-google-scim/releases

• source.zipファイルをダウンロードしてコンピュータに保存します。

• Runtime (ランタイム) は「Go 1.21」にします。

• Source code (ソースコード) にはZip Uploadを選択します。

• Entry point (エントリーポイント) にはGcpScimSyncHttpを入力します。

• Zip upload (Zipアップロード) のDestination bucketには、デフォルトバケット許可 (非公開) を用いて任意の名前のバケットを作成します。

• Zip file (Zipファイル) : 前の手順で保存したsource.zipを アップロードします。

[DEPLOY] (デプロイ) をクリックしてクラウド関数を作成します。 数分後、関数が作成され、パブリッシュされます。

この関数はプライベートであり、認証を必要とするため、次の手順ではCloud Schedulerを作成します。

手順 13. Cloud Function URLをコピー

Cloud Function画面で、以下に見られるようにURLをコピーします。

手順 14. Cloud Schedulerを作成

Google Cloudコンソールで、Cloud Schedulerを検索して開きます。

• [SCHEDULE A JOB] (ジョブをスケジュール) をクリックします。

以下のようにスケジュールを定義します。

• 「Keeper SCIM Push for Google Workspace」など、任意の名前を付けます。

• 1時間に1回実行の場合0 * * * *など、頻度を設定します。

• ロケーションに応じてタイムゾーンを設定します。

• Target type (ターゲットタイプ) をHTTPにします。

• URLを手順13でコピーしたCloud Function URLに設定します。

• HTTP method (HTTPメソッド) をGETに設定します。

• Auth Header (Authヘッダ) をAdd OIDC tokenに設定します。

• ServiceアカウントをDefault compute service accountに設定します。

• [CONTINUE] (続行) 、[CREATE] (作成) の順にクリックします。

手順 15. Schedulerをテスト

Scheduler Jobs画面にジョブが表示されます。強制的に実行するには、右側のオーバーフロー メニューをクリックし、[Force run] (強制実行) を選択します。

即座にCloud Functionが実行されます。

成功すると、[Status of last execution] (最後の実行のステータス) に[Success] (成功) と表示されます。

Keeperが同期情報を受信したことを確認するには、Keeper管理コンソールにログインします。保留中および招待状態のユーザー、チーム、チーム割り当てのリストが表示されます。

手順 16. ローカルファイルを削除

プロセスが正常に動作すると、この過程で作成されたすべてのローカルファイルとシークレットを削除します。

破壊操作

デフォルトでは、Keeper管理コンソール内の管理されていないチームとチーム割り当てが同期処理中に削除されることはありません。ただし、管理されていないチームもチーム割り当てもすべて削除される同期方法をご希望の場合は、Keeperレコードにカスタムフィールドを作成して特定の値を入力します。

デバッグログ

Keeperレコードを変更することで、Google Cloud Functionログに詳細なログを作成できます。

同期について

• Keeperは、Cloud Functionプロビジョニングを実行する際に、グループ名またはグループのメールアドレスに対して厳密な文字列照合を実行します。グループ名とグループメールアドレスでは大文字と小文字が区別されます。

• 招待状態のユーザーは、ユーザーがボルトを作成し、Keeper管理者が管理コンソールにログインするまで、割り当てられたチームに追加されされることはありません。 ユーザーのチームへの参加も、チームの別のメンバーがボルトにログインする際に行われます。管理コンソールから[同期]をクリックすることでもチーム参加が行われます。

• チームの作成などの一部の操作は、Keeper管理コンソールへのログイン時、またはKeeper Automatorの実行時にのみ発生します。これは、暗号化キーを生成する必要があるためです。

• 大規模なデプロイの場合、Keeper Automatorを設定して、デバイスの承認、ユーザーの承認、チームの承認のプロセスを自動化することを推奨します。

• 新しいグループを追加する場合は、Keeperボルトのレコード内のリストにグループを追加します (手順10参照)。Keeperがターゲットを識別する際にはグループのメールアドレスまたはグループ名のいずれかを照会します。

• Google Workspaceでネストされたグループは、Keeperと同期する際にフラット化されます。 ネストされたグループのユーザーは、Keeper側の親グループに追加されます。

Cloud Function Sourceの更新

Cloud Functionの新しいバージョンが作成される際のコードのアップデートは簡単です。

• Githubリポジトリのksm-google-scimのリリースページから新しいsource.zipファイルをダウンロードします。

• Google CloudのCloud Functionsの箇所へ移動します。

• Cloud Functionの詳細をクリックし、[EDIT]をクリックしします。

• Codeをクリックします。

• Source codeで、[ZIP Upload]を選択します。

• コンピュータに保存したsource.zipファイルを選択します。

• [DEPLOY] (デプロイ) をクリックします。

• 新しい関数がデプロイされるまで数分間待ちます。

• Cloud Schedulerへ移動します。

• [Actions] > [Force Run]をクリックします。

Setup:

1. Rippling管理コンソールにログインします。

1. ログイン後、[Home] (ホーム)にカーソルを合わせて左下の[App Shop] (アプリショップ) をクリックします。

1. App Shopの左上の検索バーでKeeperを検索し、検索結果からKeeperを選択します。

1. Keeperをクリックして選択した後、[Connect Account] (アカウントを接続) をクリックししてSSO設定を始めます。

1. Rippling側のSSOセットアップガイドを進んでセットアップを行います。

1. 以下のページまで進むと、SSOセットアップは完了となりますが、任意でSCIMプロビジョニングをセットアップできます。SCIMプロビジョニングをセットアップする場合は[Continue with API] (APIを続ける) を選択してガイドを進みます。SCIMプロビジョニングをセットアップしない場合は、[Skip for now, visit app] (スキップしてアプリを開く) をクリックします。

ここでユーザーを割り当てて、Ripling環境でどのユーザーがKeeperにアクセスできるかを指定できます。

既存のユーザー/初期管理者をSSO認証に移行

ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

設定

1. OneLoginポータルにログインします。

1. 管理 (Administration) を選択して、管理者セクションに移動します。

1. oneloginメニューから、アプリケーション (Applications)、アプリを追加 (Add App) の順に選択します。

検索フィールドでKeeperパスワードマネージャー (Keeper Password Manager) を検索し、検索結果から選択します。

1. Keeperパスワードマネージャーを追加 (Add Keeper Password Manager) 画面で、保存 (Save) をクリックします。

1. 次の手順で、OneLoginからSAMLメタデータをダウンロードします。その他のアクション (MORE ACTIONS) ボタンの下矢印を選択して、SAMLメタデータ (SAML Metadata) を選択します。

Keeper管理コンソールのクラウドSSOコネクトを使用したシングルサインオン (Single Sign-On with SSO Connect™ Cloud) セクションのSAMLメタデータ (SAML Metadata) セクションに、この保存したファイルをドラッグアンドドロップするか、または参照して入力します。

1. Keeper管理コンソールで、ACSエンドポイント (Assertion Consumer Service (ACS) Endpoint) フィールドをコピーします。

1. OneLoginの設定 (Configuration) タブに戻り、Keeper SSO ConnectのACSエンドポイント (Assertion Consumer Service (ACS) Endpoint) フィールドに貼り付け、[保存] (Save) をクリックします。

1. SCIMを使用したい場合は、Keeperのプロビジョニング (Provisioning) タブに戻り、[メソッドを追加] (Add Method) をクリックして、SCIMを選択します。 使用しない場合は、省略して手順12に進みます。

1. 生成 (Generate) をクリックし、URLとトークンをコピーします。

1. 「URL」をSCIMベースURL (SCIM Base URL) に、「トークン (Token）」をSCIMベアラートークン (SCIM Bearer Token) に貼り付けます。

2. Keeper管理コンソールで、SCIMトークンを必ず保存してください。

1. 保存 (Save) をクリックして、連携を完了します。

既存のユーザー/初期管理者をSSO認証に移行

ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

参考までに、こちらのSecureAuthガイドをご使用ください。

SecureAuthに関して注意すべきその他の重要事項:

• 接続の種類 (Connection Type) セクションで、「POST方式 (By Post）」が選択されていることを確認します。

• 「SAMLアサーションに署名 (Sign SAML Assertion）」と「SAMLメッセージに署名 (Sign SAML Message）」を必ず選択します。

• IdPメタデータのエンティティIDがSecureAuthのSAMLレスポンスと一致することを確認します。

既存のユーザー/初期管理者をSSO認証に移行

ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

概要

バージョン17.0以降では以下の新機能がご利用になれます。

• チームの承認 (チーム作成)

• チームユーザーの承認 (ユーザーをチームに割り当てる)

• すべての設定が環境変数として構成可能

• 簡素化されたAzure Container App展開に対応

• 簡素化されたAWS ECSサービス展開に対応

• HTTPSセキュリティを向上させるHSTSが有効

• デバイス承認用とチーム承認用のIPアドレスフィルタリング

• すべてのAPIに対して任意でレート制限

• メールドメインによる任意のフィルタリング

• 任意で特定のネットワークIPへのバインド

チームユーザー承認

チームとユーザーは、SCIMを通じてプロビジョニングされ、チームに追加されたユーザーについては、管理者がコンソールにログインするのを待つことなくオートメーターサービスによって即座に処理できることを意味します。

この新機能を有効にするには以下を行います。

• オートメーターコンテナまたは.zipファイルを最新バージョンに更新します。

• Keeperコマンダーからautomator editコマンドを使用してデバイスの承認およびチームユーザーの承認を行います。

例

automator edit --skill=team --skill=team_for_user --skill=device "My Automator"
automator setup "My Automator"
automator init "My Automator"
automator enable "My Automator"

チームの承認

IDプロバイダからSCIMメッセージングでチームの作成がリクエストされた際、誰かが (ゼロ知識を保持するために) 暗号化キーを生成するまで、リクエストが完全に処理されることはありません。通常は、管理者がKeeper管理コンソールにログインするときに処理されます。

Keeperオートメーターサービスでチーム承認が有効化されている場合、チームに割り当てられたユーザーのいずれかがKeeperボルトに正常にログインすると、自動的にチームが作成されます。そのため少なくとも1人のユーザーがそのチームのボルトにログインするまでチームは表示されません。

すべての設定が環境変数として設定可能

これにより、設定ファイルへのアクセスが難しいAzureコンテナーまたは他のDockerのようなコンテナーにオートメーターをインストールする場合の構成が簡単になります。

docker-compose.yml ファイルを使用するDockerやAzureコンテナーなどの環境では、以下のようにdocker composeファイルに環境変数を設定できます。

services:
  automator:
    container_name: "az-autodock"
    environment:
      - AUTOMATOR_PORT=8090
      - AUTOMATOR_HOST=10.0.0.4
      - DISABLE_SNI_CHECK=true

docker-compose.ymlファイルの編集後に環境変数が変更されている場合、コンテナを再構築する必要があります。 コンテナを再起動しただけでは変更は反映されません。

その他の機能

オートメーターサービスの詳細については、こちらのページをご参照ください。

TraitwareとKeeperを連携させる

Keeper管理者としてKeeper管理コンソールへログインします。 https://keepersecurity.com/console (米国/グローバル) https://keepersecurity.eu/console (EUでホストされているお客様) https://keepersecurity.com.au/console (AUでホストされているお客様) https://govcloud.keepersecurity.us/console (GovCloudのお客様)

[管理者]タブをクリックし、[ノードを追加]をクリックします。

[プロビジョニング]タブで[メソッドを追加]をクリックします。

[SSO Connect® Cloud を使用したシングルサインオン]を選択して、[次へ]をクリックします。

[環境設定名]と[法人ドメイン]を入力して、[保存]をクリックします。後で法人SSOログインに使用するので、法人ドメインをメモしておきます。

Cloud SSO Connectを使用したSAML 2.0プロビジョニングメソッドが新規作成されて表示されます。メニューから[表示]を選択します。

TraitWare側の設定

https://api.traitware.com/console/loginからTraitWare管理コンソール (TCC) にログインします。

アプリケーションの鍵を生成

左側のメニューから[Signing Keys] (署名鍵) を選択します。[Generate new Key Pair] (鍵ペアを新規生成) ボタンをクリックします。鍵ペアの表示名を入力し、任意の[Lifetime in Years] (年単位の有効期間)、[Private Key Type] (秘密鍵の種類)、[Private Key Size] (秘密鍵のサイズ) を選択してから、[Generate Key] (鍵を生成)をクリックします。

Traitwareアプリケーションを作成

1. 左側のメニューから[Applications] (アプリケーション) を選択し、[Add Application] (アプリケーションを追加) をクリックします。

2. SAML 2.0を選択します。

3. [Use a Template] (テンプレートを使用) をクリックして、Keeperを選択します。

4. 前にメモしたKeeperの法人IDとACSエンドポイントを入力し、[Submit] (送信) をクリックします。

SAML 2.0連携を設定

1. Traitware管理コンソールの[Applications] (アプリケーション) タブからKeeperを選択します。

2. [Provider Credentials] (プロバイダクレデンシャル) タブを選択し、[Traitware IdP SAML Metadata (XML)] (Traitware IdP SAMLメタデータ (XML))のダウンロードアイコンをクリックします。

3. [Save Application] (アプリケーションを保存) をクリックします。

4. Keeper管理コンソールに戻ります。

5. SAML 2.0 with Cloud SSO Connect™のプロビジョニングメソッドを編集します。

6. 手順2のファイルを[SAML メタデータ]フィールドにアップロードします。

ユーザーを作成し、Traitwareを介してKeeperボルトにログインできるようにする

1. Traitware管理コンソールの[Users] (ユーザー) タブで、[Create User] (ユーザーを作成) を選択します。

2. フォームにすべて入力し、[Save Changes] (変更を保存) をクリックします

3. 新規作成したユーザーをクリックし、[Applications] (アプリケーション) タブを選択します

4. Keeperの[Application Access] (アプリケーションアクセス) をオンにします

すべてのTraitwareユーザーがTraitwareを介してKeeperボルトにログインできるようにする

1. Traitware管理コンソールの[Applications] (アプリケーション) タブからKeeperを選択します。

2. [Enable All User Access] (すべてのユーザーアクセスを有効にする) をクリックします。

3. 操作を確認し、[Enable Access] (アクセスを有効にする) をクリックします。

エンドユーザーのログイン

法人ドメインまたはメールアドレスを使用してログインします。

メールアドレスを使用してログイン

1. Keeperボルトに移動します。

2. メールアドレスを入力して、[次へ]をクリックします。

3. スマートデバイスのTraitwareアプリで、ブラウザに表示されたQRコードをスキャンします。

4. Keeperボルトにログインします。

法人ドメインを使用してログイン

1. Keeperボルトに移動します。

2. [法人SSOログイン]のドロップダウンをクリックし、[法人ドメイン]を選択します。

3. 本ページのKeeper側設定部分で指定した法人ドメイン名を入力して、[接続]をクリックします。

4. スマートデバイスのTraitwareアプリで、ブラウザに表示されたQRコードをスキャンします。

5. Keeperボルトにログインします。

1. 新しいサービスプロバイダを追加

Veridiumインターフェースで、[Add Service Provider] (サービスプロバイダを追加) をクリックします。

1. Keeperメタデータをダウンロード

Keeper管理コンソールで、SAMLメタデータファイルをエクスポートします。

[表示]-> [メタデータをエクスポート]へ移動します。

1. Veridiumにメタデータをアップロード

[Service provider name] (サービスプロバイダ名) フィールドに「Keeper」と入力し、Keeperのメタデータファイルをアップロードして、NameID format (NameID形式) に「Email」 を選択します。

1. 属性をマッピング

firstname、lastname、mailの属性をマッピングして[Save] (保存) をクリックします。

これで連携は完了です。 以下はVeridiumのログインフローを示す動画となります。

TrusonaとKeeperを連携させる

Keeper管理者としてKeeper管理コンソールへログインします。

https://keepersecurity.com/console (米国/グローバル) https://keepersecurity.eu/console (EUでホストされているお客様) https://keepersecurity.com.au/console (AUでホストされているお客様) https://govcloud.keepersecurity.us/console (GovCloudのお客様)

1. [管理者]タブをクリックし、[ノードを追加]をクリックします。

2. ノードに名前を付け、[ノードを追加]をクリックします。

1. [プロビジョニング]タブで[メソッドを追加]をクリックします。

2. [SSO Connect® Cloud を使用したシングルサインオン]を選択して、[次へ]をクリックします。

3. [環境設定名]と[法人ドメイン]を入力して、[保存]をクリックします。後で法人SSOログインに使用するので、法人ドメインをメモしておきます。

1. Cloud SSO Connectを使用したSAML 2.0プロビジョニングメソッドが新規作成されて表示されます。メニューから[表示]を選択します。

1. 法人ID、ACSエンドポイント、シングルログアウトサービスエンドポイントをメモしておきます。

2. [SP 認証エクスポート]をクリックします。

Trusona側の設定

1. iOSまたはAndroid用のTrusonaアプリを使用して、モバイル端末からQRコードをスキャンし、Trusonaのダッシュボード (https://dashboard.trusona.com/) にログインします。

TrusonaでKeeperとの連携を作成

1. Trusonaアカウントのダッシュボードで、左側のナビゲーションからKeeperを選択します。

2. [Create Keeper Integration] (Keeperとの連携を作成) をクリックします。

3. 連携に名前を付け、[Save] (保存) をクリックします。

4. [Download XML] (XMLをダウンロード) をクリックして、Keeper管理コンソールで使用するXMLメタデータをダウンロードします。

1. 左側のナビゲーションでKeeperを選択します。

2. [Actions] (操作) ドロップダウンメニューから[Edit] (編集) をクリックします。

1. Keeper管理コンソールで連携を作成する際に、前にメモした以下の情報を該当フィールドに貼り付けます。

• ACSエンドポイント

• IDPが起点となるログインエンドポイント

• シングルログアウト (SLO) サービスエンドポイント

1. [Certificate] (証明書) で、Keeper管理コンソールからエクスポートしたSP証明書をアップロードして、[保存] (Save) をクリックします。

1. Keeper管理コンソールに戻ります。

2. 任意でジャストインタイムプロビジョニングを有効にし、ユーザーがサインアップ時に法人ドメイン名を入力することでノードにアカウントを作成できるようにします。

3. [SAML メタデータ]にTrusonaのダッシュボードからダウンロードしたmetadata.xmlファイルをアップロードします。

4. [アイデンティティプロバイダ属性マッピング]で、以下のように入力します。

• 名前: 名

• 名字: 姓

• メールアドレス: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

ユーザープロビジョニング

SSO Connect Cloudを使用してユーザーをプロビジョニングする方法についてはこちらのページをご覧ください。

エンドユーザーのログイン

法人ドメインまたはメールアドレスを使用してログインします。

メールアドレスを使用してログイン

1. Keeperボルトに移動します。

2. メールアドレスを入力して、[次へ]をクリックします。

3. スマートデバイスのTraitwareアプリで、ブラウザに表示されたQRコードをスキャンします。

4. Keeperボルトにログインします。

法人ドメインを使用してログイン

1. Keeperボルトに移動します。

2. [法人SSOログイン]のドロップダウンをクリックし、[法人ドメイン]を選択します。

3. 本ページのKeeper側設定部分で指定した法人ドメイン名を入力して、[接続]をクリックします。

4. スマートデバイスのTraitwareアプリで、ブラウザに表示されたQRコードをスキャンします。

5. Keeperボルトにログインします。

手順 1. Keeperメタデータファイルをエクスポートして保存

Keeper管理コンソール内のSSO Connect Cloudプロビジョニングメソッドで[表示]を選択します。そこから、Keeperメタデータファイルをダウンロードして保存することができます。

手順 2. KeeperメタデータをShibbolethに追加

Shibbolethは、リライングパーティとしてのKeeperに関する基本情報を有している必要があります。その情報はSAMLメタデータで定義されていますので、Keeperメタデータファイルを IDP_HOME/metadata/ ディレクトリに追加します。

手順 3. 新規リライングパーティトラストをShibbolethに追加

IDP_HOME/conf/relying-party.xmlで新しいRelyingParty要素を定義することで、Keeperと通信する際にどのように動作するかをShibbolethに指示します。以下のコードをDefaultRelyingParty要素の直後に追加します。プロバイダ属性を法人IDに置き換えます (DefaultRelyingPartyで設定されているプロバイダを使用します)。

<RelyingParty id="keepersecurity.com"
        provider="https://keepersecurity.com/api/rest/sso/saml/264325172298110"
        defaultSigningCredentialRef="IdPCredential">
    <ProfileConfiguration xsi:type="saml:SAML2SSOProfile" encryptAssertions="never" encryptNameIds="never" />
</RelyingParty>

引き続きIDP_HOME/conf/relying-party.xmlファイルで、手順2で追加したKeeperメタデータファイルを使用する設定を行います。既存の設定済みプロバイダの隣に以下のMetadataProvider要素を追加します (ID値が「FSMD」であるはずです)。IDP_HOMEは実際のインストールパスに置き換えてください。

<!-- Keeper Metadata -->
<MetadataProvider id="KeeperMD" xsi:type="FilesystemMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata"
    metadataFile="IDP_HOME/metadata/keeper-metadata.xml" maintainExpiredMetadata="true" />

手順 4. 属性リゾルバーの設定

Keeperでは、認証中に特定のユーザー属性のマッピングが送信される必要があります。以下の表に見られるように、デフォルトのKeeper SSO Connect Cloudユーザー属性は、Email (メールアドレス)、First (名)、Last (姓)となります。IDP_HOME/conf/attribute-resolver.xmlを変更することで、Shibbolethの属性リゾルバーを設定してこのデータを利用できるようにします。

手順 5. 属性フィルタの設定

最後に、principal属性 (NameIDとしてエンコード) をGoogleに解放するようにShibboleth属性フィルタリングエンジンを設定します。以下のコードを既存のポリシー要素とともに IDP_HOME/conf/attribute-filter.xmlに追加します。

<AttributeFilterPolicy>
    <PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="keepersecurity.com" />

    <AttributeRule attributeID="principal">
        <PermitValueRule xsi:type="basic:ANY" />
    </AttributeRule>
</AttributeFilterPolicy>

手順 6. ShibbolethからメタデータXMLファイルを取得

1. http://shibboleth.example.com/idp/shibbolethまたは <install_folder>/shibboleth-idp/metadataのShibbolethファイルシステムにあるShibbolethメタデータを見つけます。

2. Shibbolethメタデータを手動で変更し、すべてのユーザーエンドポイントのコメントが解除されていることを確かにします (例: SingleLogout)。

3. XMLファイルを保存します。

手順 7. IdPメタデータをKeeperにアップロード

Shibbolethメタデータ ファイルの準備ができると、Keeper管理コンソールに戻り、SSO Connectクラウドプロビジョニングメソッドで[編集]を選択します。

[アイデンティティプロバイダ]まで下にスクロールし、[IDP タイプ]を [GENERIC] に設定し、[ファイルの参照]を選択して Shibbolethメタデータファイルを選択します。

Keeper 管理コンソール内で編集ビューを終了し、SSO Connect Cloudプロビジョニングメソッドで[表示]を選択します。 [アイデンティティプロバイダ]セクション内に、現在設定されている法人ID、シングルサインオンサービス、シングルログアウトサービス エンドポイントのメタデータ値が表示されます。

グラフィックアセット

ShibbolethインスタンスでKeeperのアイコンやロゴファイルが必要な場合は、グラフィックアセットページをご参照ください。

SSOが機能していない場合は、Shibbolethの設定、メタデータファイル、ユーザー属性にエラーがないか確認してください。

確認が完了後に手順4を繰り返します。

サポートが必要な場合は、enterprise.support@keepersecurity.comまでメールでお問い合わせください。

既存のユーザー/初期管理者をSSO認証に移行

ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。

SAML 2.0準拠IDプロバイダの設定の前に管理コンソールを設定してきます。個々のIDプロバイダの設定する際の助けとなるよう、以下にガイドをご用意しました。

• Microsoft ADFS

• Amazon AWS

• Auth0

• Entra ID (Azure AD)

• Centrify

• Duo SSO

• F5

• Google Workspace

• JumpCloud

• Okta

• OneLogin

• Ping Identity

• PingOne

• Rippling

• RSA SecurID Access

• SecureAuth

• Shibboleth

• HENNGE

• その他のSAML 2.0プロバイダ

ご利用のIDプロバイダがこちらに記載されていなくても問題ありません。KeeperはすべてのSAML 2.0 SSO IDプロバイダとパスワードレス認証製品と互換性があります。上記のリストから類似のプロバイダがあれば、設定の流れはほぼ同じなので、その設定手順に従って設定してください。

(ご利用のIDプロバイダ用の設定ガイドを作成された場合、共有いただけましたらこちらに掲載させていただきます。)

Keeper SSO Connect Cloud™の設定は非常に簡単で、これまでに他のサービスプロバイダにご利用のIdPを設定した経験があれば数分しかかかりません。以下の手順に従ってください。

1) Keeper管理コンソールからKeeper管理者としてログインします。 US: https://keepersecurity.com/console EU: https://keepersecurity.eu/console AU: https://keepersecurity.com.au/console CA: https://keepersecurity.ca/console JP: https://keepersecurity.jp/console US GovCloud: https://govcloud.keepersecurity.us/console

2) ログイン後、[管理者]メニューをクリックして、[ノードを追加]を選択します。この新しく作成するノードでSSOユーザーにプロビジョニングします。

3) 新しいノードで[プロビジョニング]タブを選択し、[メソッドを追加]をクリックします。

4) [SSO Connect Cloudを使用したシングルサインオン]を選択して[次へ]を選択します。

5) 環境設定名と法人ドメインを入力します。 環境設定名はエンドユーザーには表示されませんので、複数の設定を管理できます。 法人ドメインはログインに使用されるため、一意で覚えやすい名前を選択することを推奨します。

• 環境設定名 内部でのみ使用され、ユーザーには表示されません。

• 法人ドメイン 特定のフローで認証する場合にユーザーが入力します。ドメイン名か任意の固有の文字列となります。

• ジャストインタイムプロビジョニングを有効にする ユーザーがKeeper Enterpriseテナントに自らサインアップできるようにするには、ジャストインタイムプロビジョニング機能を有効にします。デフォルトでは有効になっています。ドメインが予約されている場合、ドメイン名を持つ新しいユーザーは、ジャストインタイムプロビジョニングによって自動的にSSOプロバイダにルーティングされるようになります。 ジャストインタイムSSOプロビジョニングの代わりにKeeper Bridgeを使用してユーザーをプロビジョニングする場合は、OFFにしてください。

6) [保存]をクリックして次の手順に進むと、設定の編集画面が自動的に開きます。

7) 設定の編集画面で、ご利用のIdP (または「汎用」) を選択してそのIDプロバイダからKeeperにメタデータファイルをアップロードし、3つの必須属性マッピングを設定します。なお、KeeperはあらゆるSAML 2.0準拠IDプロバイダと連携しています。

ここではさらに2つのオプションがご利用になれます。

• IsPassiveを有効化: IdPから要求されない限り、オフのままにすることを推奨します。

• ForceAuthn: Keeperボルトへログインする度に新しいSSOログインセッションを強制したい場合にオンにします。

• アイデンティティプロバイダ 一般的なIDプロバイダの設定をご利用になれるようして手間を省くために、ドロップダウンの[IDPタイプ]から事前に定義された設定を選択できます。ご利用のIDプロバイダが一覧にない場合は、[GENERIC]を選択してください。

• SAMLメタデータ IdPから取得したIdPメタデータファイルをKeeperの設定画面にドラッグアンドドロップします。 このファイルには、URLエンドポイントと署名付きアサーションを検証するためのデジタル証明書が含まれます。

• アイデンティティプロバイダ属性マッピング 名前、苗字、メールアドレスの呼称がデフォルトで[First]、[Last]、[Email]となっていますが、変更は可能です。ご利用のIDプロバイダが、記載通りに（大文字と小文字を区別して）この画面のフィールド名にマッピングしていることを確かにしてください。

• シングルサインオンエンドポイント環境設定 こちらは詳細設定で、デフォルトでは[HTTP POSTを優先]となっています。

8) IdPの設定の途中で、Keeperから法人IDやACS URLなどのパラメータを入力する必要があります。 この情報は、前の画面に戻って[表示]をクリッすると表示される設定表示画面で確認できます。

この画面に表示されているURLをメモしておいてください。これらURLをIDプロバイダ内に設定する必要がある場合があります。

• エンティティID 「SPエンティティID (SP Entity ID)」または「発行者 (Issuer)」と表記される場合もあります。基本的には、固有の識別子で双方が認識されてている必要があります。多くの場合、エンティティIDはACS URLエンドポイントと同じです。

• Assertion Consumer Serviceエンドポイント (ACS URL) ユーザーの認証後にIDプロバイダがアサーションを送信するKeeperのURLエンドポイントです。 Keeperに送信されるデータには、ユーザーがIDプロバイダに正常にサインインしたかどうかを示す署名付きアサーションが含まれます。このアサーションは、IDプロバイダの秘密鍵で署名されています。 Keeperで、IdPメタデータファイルに含まれるIDプロバイダの公開鍵を使用して署名が認証されます。

• シングルログアウトエンドポイント (SLO) KeeperのURLエンドポイントで、IDプロバイダによるログアウトリクエストの送信先となります。シングルログアウトは任意でご利用になれ、IDプロバイダで設定します。

この情報は、Keeper XMLメタデータファイルでも確認できます。このファイルは、[メタデータをエクスポート]をクリックすることでダウンロードできます。必要に応じてこのメタデータファイルをIDプロバイダにアップロードしてください。

ドメイン予約とジャストインタイムプロビジョニング

ジャストインタイムプロビジョニングを有効にすると、ボルトのログイン画面でユーザーがメールアドレスを入力して[次へ]をクリックした際に、ユーザーがIDプロバイダに自動的にルーティングされます。これは、ウェブボルト、デスクトップアプリ、ブラウザ拡張機能、iOSアプリ、Androidアプリなど、すべてのデバイスに適用されます。

Keeperではパーソナルドメインのリストを保持していますので、たとえば、gmail.comやyahoo.comなどを予約して、一般ユーザーが実在を確認済みのメールアドレスを使用してこれらのドメインのKeeperアカウントを作成することはできません。

企業テナント外で予約済みドメインを使用した個人アカウントまたは企業アカウントの作成をエンドユーザーに許可したい場合は、Keeperサポートチームにお問い合わせください。ご希望のドメインのロックを解除いたします。

概要

Keeperオートメーターは任意で選択できるサービスで、SSO IDプロバイダーからのログイン成功時に即時デバイスの承認、チームの承認、およびチーム ユーザーの割り当てを実行します。

オートメーターが実行されると、ユーザーはIDプロバイダーによる認証に成功した後それ以上の承認手順を踏まずに、新しい (まだ承認されていない) デバイス上のKeeperにそのままアクセスできます。

オートメーターサービスが設定されていない場合でも、ユーザーと管理者はプッシュ承認を通じてデバイスの承認実行できます。

Keeperオートメーターは、さまざまな方法でクラウドまたはオンプレミス環境に展開できる軽量のサービスです。

オートメーターが必要とされる理由

KeeperクラウドSSOコネクトは、IDプロバイダを使用してKeeperボルトへそのまま認証します。通常、新しいデバイスはユーザー自身が承認するか、管理者がユーザーの代わりに新しいデバイスを承認する必要があります。オートメーターサービスはデバイスの承認に関連する煩わしい操作をすべて解消したいと考える管理者のために作成された任意で選択できるサービスとなります。

ゼロ知識を維持し、暗号化されたデータキー (EDK) のユーザーデバイスへの転送を自動化するには、サービスをKeeper側でホストするのではなく、 企業側で運用するサービスとして実行する必要があります。このサービスには様々な実行方法があり、クラウドでもセルフホストでも実行可能です。

SSOコネクトの暗号化モデルの詳細な説明については、こちらのページをご参照ください。

インストール方法

ご利用の環境に応じて以下のインストール方法からお選びください。Azure Container App、Azure App Services、AWS Elastic Containerサービス、Google Cloud (GCP Cloud Run)は、これらのクラウドサービスをご利用の場合に最適です。

Azure Container App

手順を表示

Azure App Service

手順を表示

Azure App Gateway

手順を表示

AWS Elastic Containerサービス

手順を表示

KSMを使用したAWS Elastic Containerサービス

手順を表示

Google Cloud (GCP Cloud Run)

手順を表示

スタンドアロンJava

手順を表示

Docker

手順を表示

Docker Compose

手順を表示

Kubernatesサービス

手順を表示

Windowsサービス

手順を表示

オートメーターのセキュリティ

オートメーターサービスを使用するとユーザー体験は向上しますが、IDプロバイダは完全に保護されている必要があります。

概要

ユーザーは以前に承認されたデバイスを使用して追加のデバイスを承認できます。たとえば、すでにコンピュータでウェブボルトにログインしている状態で初めて携帯電話アプリにログインする場合、ウェブボルトにデバイス承認プロンプトが表示され、その携帯デバイスを承認したり拒否したりできます。デバイス承認により暗号化キーの交換を実行して新しいデバイスでボルトを復号化できるようにします。

Keeperプッシュ通知方式

Keeperプッシュ通知は、ユーザーが自ら処理する承認方式です。[Keeper プッシュ通知]を選択すると、ユーザーの承認済みデバイスに通知が送信されます。携帯アプリおよびデスクトップアプリの場合、プッシュ通知はポップアップとして表示され、簡単にデバイスを承認できます。

以下は、携帯電話を承認用デバイスとして使用したKeeperプッシュ通知承認の例となります。

手順

1. [Keeperプッシュ通知]を選択します。

1. ログイン済みのデバイスにプッシュ通知による承認が表示されるのを待ちます。

1. ユーザーが通知を受信するには、以前に承認済みの別のデバイスにすでにログインしている状態でなければなりません。

KeeperをBeyond Identityと連携させる

1. [管理者]タブをクリックし、[ノードを追加]をクリックします。

2. ノードに名前を付け、[ノードを追加]をクリックします。

1. [プロビジョニング]タブで[メソッドを追加]をクリックします。

2. [SSO Connect® Cloud を使用したシングルサインオン]を選択して、[次へ]をクリックします。

3. [環境設定名]と[法人ドメイン]を入力して、[保存]をクリックします。後で法人SSOログインに使用するので、法人ドメインをメモしておきます。

1. Cloud SSO Connectを使用したSAML 2.0プロビジョニングメソッドが新規作成されて表示されます。メニューから[表示]を選択します。

1. 法人ID、ACSエンドポイント、シングルログアウトサービスエンドポイントをメモしておきます。

2. [SP 認証エクスポート]をクリックします。

Beyond Identity側の設定

Beyond IdentityでKeeperとの連携を作成

1. Beyond Identityの管理コンソールで、左側のナビゲーションから[Integrations] (連携) を選択します。

2. SAMLタブをクリックします。

3. [Add SAML Connection] (SAML接続を追加)をクリックします。

4. [Edit SAML Connection] (SAML接続を編集) ダイアログで、以下の表を参考にして入力します。

1. [Attribute Statements] (属性ステートメント) セクションで、以下の2つの属性を追加します。

1. [Save Changes] (変更を保存) をクリックします。

1. [Download Metadata] (メタデータをダウンロード) アイコン</>をクリックして、Keeper管理コンソールで使用するXMLメタデータをダウンロードします。

1. Keeper管理コンソールに戻ります。

2. Beyond Identityのプロビジョニングメソッドで[編集]をクリックして設定を表示します。

1. 任意でジャストインタイムプロビジョニングを有効にし、ユーザーがサインアップ時に法人ドメイン名を入力して、ノードにアカウントを作成できるようにします。

2. [SAML メタデータ]にBeyond Identityの管理コンソールからダウンロードしたmetadata.xmlファイルをアップロードします。

ユーザープロビジョニング

エンドユーザーのログイン

法人ドメインまたはメールアドレスを使用してログインします。

Beyond Identity Authenticatorがインストールされたデスクトップでメールアドレスを使用してログイン

1. Keeperボルトに移動します

2. メールアドレスを入力して、[次へ]をクリックします。

3. Keeperボルトにログインします。

Beyond Identity Authenticatorがインストールされたデスクトップで法人ドメインを使用してログイン

1. Keeperボルトに移動します

2. [法人SSOログイン]のドロップダウンをクリックし、[法人ドメイン]を選択します。

3. 本ページのKeeper側設定部分で指定した法人ドメイン名を入力して、[接続]をクリックします。

4. Keeperボルトにログインします。

iOSまたはAndroid用のBeyond Identityをインストールし、法人ドメインを使用してログイン

1. Keeperボルトに移動します

2. [法人 SSO ログインを使用]ドロップダウンをタップします

3. 本ページのKeeper側設定部分で指定した法人ドメイン名を入力して、[接続]をタップします

4. Beyond Identityアプリからのプッシュ通知を承諾します。

5. Keeperボルトにログインします。

iOSまたはAndroid用のBeyond Identityをインストールし、メールアドレスを使用してログイン

1. Keeperアプリを開きます

2. メールアドレスを入力して、[次へ]をクリックします。

3. Beyond Identityアプリからのプッシュ通知を承諾します。

4. Keeperボルトにログインします。

概要

本ページでは、Azure App Services内でKeeperオートメーターをウェブアプリとしてインスタンス化する手順を解説します。GCC HighやDoDなどの環境では、オートメーターをホストするのにこのサービスを利用いただけます。

1. オートメーターConfigキーを作成

コマンドラインを開き、オペレーティングシステムに応じて次のいずれかの方法を使用してURLエンコード形式で256ビットAESキーを生成します。

キーの作成

このコマンドによって生成される値を手順 6のために保存します。

2. App Servicesウェブアプリを作成

Azureポータルから、検索バーで「App Services」を選択し、「+Create」から「+ Web App」を選択して新しいウェブアプリを作成します。

• 新しい「Resource Group」を作成します。

• 「Instance」に名前を付けます。

• Publishに「Docker Container」を選択します。

• Operating Systemに「Linux」を選択します。

• サービスをホストする地域を選択します。

• ご利用のLinux Planを選択するか新しいプランを作成します。最も低価格の料金プランは「Premium V3 P0V3」ですが、エンドユーザー環境にもよります。

• Docker の箇所へ進みます。

3. Dockerコンテナの詳細をセットアップ

Dockerでは以下のように設定します。

• Options: Single Container

• Image Service: Docker Hub

• Access Type: Public

• Image and tag: keeper/automator:latest

• Monitoringの箇所へ進みます。

4. WebAppモニタリングをセットアップ

• 「Enable Application Insights」には「Yes」を選択します。

• 「Application Insights」を選択するか、新規で作成します。

• 「Review + create」の箇所へ進みます。

5. WebAppを作成

「Review + Create」、「Create」の順にクリックします。

数分後、WebAppが作成され、自動的に起動します。

「Go to Resource」をクリックしてコンテナ環境へ移動します。

デフォルトのドメイン値をメモしておきます。これはオートメーターサービスのセットアップと初期化の際に必要になります。

6. WebAppを構成

Configurationへ移動し、「New application setting」を選択します。

環境変数の設定は、以下のように左側メニューの「Environment variables」の箇所で行う場合があります。

以下のアプリケーション設定を追加します。

• 以下の環境変数を作成し、それぞれの値に設定します。

  • AUTOMATOR_CONFIG_KEY: 手順1からの値

  • AUTOMATOR_PORT: 8089

  • SSL_MODE: none

  • WEBSITES_PORT: 8089

• [Apply]をクリックします。

7. Diagnosticsをセットアップ

[Diagnostic settings]を選択し、「+ Add diagnostic setting」をクリックします。

• 診断設定に名前を付けます。

• [App Service Console logs]を選択します。

• [App Service Application logs]を選択します。

• [Send to Log Analytics workspace]を選択します。

  • Log Analyticsを選択するか、新規で作成します。

8. ログをセットアップ

メイン メニューから[Logs]を選択します。[X]をクリックしてクエリウィンドウを閉じます。

以下は、Dockerデプロイメントと起動ログを見る手順となります。

AppServicePlatformLogs

以下は、アプリケーションエラーログを見る手順となります。

AppServiceConsoleLogs

9. App Serviceログのセットアップ

メインメニューの「Monitoring」の箇所から[App Service Logs]を選択します。次に、「Application logging」の[File System]を選択し、任意の保持期間を設定します。

[Save]をクリックします。

10. Log Streamを見る

メインメニューの「Overview」から[Log Stream]を選択し、オートメーターサービスが接続され、正しくログが記録されていることを確認します。

11. Health Checkの構成

メイン メニューの「Monitoring」から[Health check]を選択します。次に、ヘルス チェック機能を有効にし、パスの値を「/health」に設定します。[Save]をクリックして設定を保存し、もう一度[Save] をクリックして変更を確定します。

12. アクセス制限を構成

Networkingの箇所で簡単なアクセスルールを設定したり、Azure Front Doorを構成したりできます。 メインメニューか[Networking]を選択し、[Enable with no access restrictions] (アクセス制限なしで有効にする) をクリックします。

[Access Restrictions]で、[Enabled from select virtual networks and IP addresses] (選択した仮想ネットワークとIPアドレスを有効にする) を選択し、[Unmatched rule action] (一致しないルールアクション)を[Allow]にします。[+ Add]をクリックして、受信アクセスルールを追加します。

「Add rule」 (ルールの追加) で、受信ファイアウォールルールを追加します。以下のページをご参照の上、それぞれの地域で「Network Firewall Setup」 (ネットワークファイアウォールのセットアップ) となっているKeeper公開IPアドレスへのトラフィックを制限する必要があります。

[Add rule]をクリックします。

[Save]をクリックして構成を保存します。

13. Keeperコマンダーへログイン

インストール後、Keeperコマンダーを起動するか、既存のターミナルからkeeper shellと入力してセッションを開き、loginコマンドを使用してログインします。オートメーターを設定するには、Keeper管理者またはSSOノードを管理できる管理者としてログインする必要があります。

14. オートメーターを作成

automator createから始まる一連のコマンドを使用してオートメーターを作成します。

ノード名 (この場合は「Azure Cloud」) は、以下のように管理コンソールUIから取得します。

コマンドを実行すると、IDプロバイダからのメタデータを含むオートメーター設定が表示されます。

以下のように、「automator edit」コマンドを実行します。これにより、URL が設定され、スキル (team、team_for_user、device) も設定されます。

次に、キーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーが オートメーターに提供されます。

新しい構成でオートメーターを初期化します。

サービスを有効にします。

この時点で構成は完了となります。

外部のヘルスチェックについては以下のURLをご使用ください。

https://<server>/health

以下は curl コマンドの例となります。

ユーザー体験のテスト

Keeperオートメーターがデプロイされましたので、ユーザー体験をテストできます。ユーザーが SSO IDプロバイダで認証した後は、承認を求めるプロンプトが表示されなくなります。

最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されません。

概要

本ページでは、KeeperオートメーターをAzure Container Appsサービスに公開するための手順を解説します。これにより、オートメーターサービスを簡単にクラウドでホストしていただけます。

1. オートメーターConfigキーの作成

コマンドラインを開き、オペレーティングシステムに応じて次のいずれかの方法を使用してURLエンコード形式で256ビットAESキーを生成します。

キーの生成

このコマンドによって生成される値を手順 3のために保存します。

2. コンテナーアプリの作成

Azureから新しいコンテナーアプリを作成します。

• 新しいリソースグループを選択または作成します。

• コンテナアプリ名を「keeperautator」または任意の名前に設定します。

• デプロイメントソースとして「コンテナイメージ」を選択します。

• サービスをホストしたい地域を選択します。

• 新しいアプリ環境を作成するか、既存の環境を選択します。

• [次へ]: [コンテナ] >をクリックします。

3. コンテナの詳細のセットアップ

「コンテナ」の手順では以下のように設定します。

• [クイックスタートイメージを使用する]のチェックを外します

• [Docker Hub または他のレジストリ]を選択します

• [パブリック]を選択します

• レジストリログインサーバーにdocker.ioを選択します

• イメージを設定し、keeper/automator:latestとしてタグを付けます

• 「Container resource allocation (コンテナリソース割り当て)」 に進みます

• CPUとメモリについては、0.5 CPUコアと1Gi メモリで十分ですが、新しいデバイスのログイン量に基づいて変更できます

• 上記の手順1の値を使用してAUTOMATOR_CONFIG_KEYという環境変数を作成します

• 8089の値を使用してAUTOMATOR_PORTという環境変数を作成します

• noneの値でSSL_MODEという環境変数を作成します

• [次へ]: イングレス > をクリックします

4. イングレスのセットアップ

イングレスセットアップ画面で以下を選択します。

• イングレスを有効 (Enable)にします

• イングレスのトラフィックをAccepting traffic from anywhere にします（後ほど変更します）

• イングレスタイプをHTTPにします

• ターゲットポートを8089に設定します

5. コンテナアプリの作成

[Review + Create]をクリックしてから[Create]をクリックします。

数分後、コンテナアプリが作成され自動的に起動します。

[Go to Resource (リソースに移動)]をクリックするとコンテナ環境に移動します。

6. イングレス設定のカスタマイズ

Keeperオートメーターサービスへの通信を制限するには、画面左側の[設定]セクションにある[Ingress]のリンクをクリックします。

• [Ingress]をクリックします。

• [Allow traffic from IPs configured below, deny all other traffic]を選択します。

• [Save]をクリックします。

7. スケーリング、ヘルスプローブ、ボリュームマウントのセットアップ

Azureがゼロインスタンスにダウンスケールしないようにするには、インスタンスの最小数を1に設定することが重要となります。

[Application]の下の[コンテナー]セクションへ進みます。

上部の[Scale]セクションをクリックし、「Min replicas」と「Max replicas」を1に設定します。

• [Container]タブをクリックします。

• 下部の「keeperautomator」リンクをクリックします。

[Liveness probes]の箇所で以下のように設定します。

• Enable liveness probesをチェック

• Transport: HTTP

• Path: /health

• Port: 8089

• Initial delay seconds: 5

• Period seconds: 30

[Startup probes]の箇所で以下のように設定します。

• Enable startup probesをチェック

• Transport: HTTP

• Path: /health

• Port: 8089

• Initial delay seconds: 5

• Period seconds: 30

[Volume Mounts]のタブで以下のように設定します。