1 / 1

SCIMを使用したGoogle Workplaceユーザープロビジョニング

SCIMを直接Google Workplaceに統合してユーザープロビジョニング

本ページでは、SCIMの直接統合を使用してGoogle WorkspaceからKeeper にユーザーをプロビジョニングする手順について解説します。このメソッドでは、グループとグループ割り当てのプッシュがサポートされていません。グループプッシュとグループ割り当てが必要な場合は、「Cloud Serviceを使用したGoogle Workspaceユーザーとチームのプロビジョニング」のページをご参照ください。

概要

ユーザープロビジョニングには、以下のライフサイクルマネジメント向け機能が備わっています。

Google Workspaceに新しくユーザーを追加すると、そのユーザーにKeeperボルトセットアップの招待メールが届きます。
ユーザーは、ユーザーまたはチーム単位でKeeperに割り当てることができます。
ユーザーのプロビジョニングが解除されると、Keeperアカウントが自動的にロックされます。

Keeper管理コンソールから、Google Workspaceノードの[プロビジョニング]タブに移動し、[メソッドを追加]をクリックします。

SCIMを選択して[次へ]をクリックします。

[プロビジョニングトークンを作成]をクリックします。

次の画面に表示されるURLとトークンは、Google Workspace管理コンソールで必要となりますので、URLとトークンをファイルに一時的に保存してから[保存] をクリックします。

URLとトークンを必ず保存してから[保存] をクリックするようにします。これらのパラメータは次の手順で必要となります。

Google Workspace管理コンソールに戻って、Home (ホーム) > [Apps] (アプリ) > [SAML Apps] (SAMLアプリ) に移動し、セットアップしたKeeperの横の[Provisioning Available] (プロビジョニングが利用可能) というテキストをクリックします。

ページ下部にある[Configure auto-provisioning] (自動プロビジョニングの設定) を選択します。

手順 1: アプリケーションの認証

Keeper管理コンソールでSCIMプロビジョニングメソッドを作成したときに保存したアクセストークンを貼り付け、[CONTINUE] (続行) をクリックします。

手順 2: エンドポイントURL

Keeper 管理コンソールでSCIMプロビジョニングメソッドを作成したときに保存したエンドポイント URLを貼り付け、[CONTINUE] (続行) をクリックします。

手順 3: デフォルトの属性マッピング

デフォルトの属性マッピングのまま[CONTINUE] (続行) をクリックします。

手順 4: Provisioning Scope (プロビジョニングスコープ)

Keeper SSO Connectに割り当てられたすべてのユーザーをプロビジョニングする場合は、[CONTINUE] (続行) をクリックします。

手順 5: Deprovisioning (プロビジョニング解除)

Deprovisioning (プロビジョニング解除) 画面で、[FINISH] (完了)をクリックすると、ユーザーのプロビジョニング解除を自動化できます。

Auto-provisioning (自動プロビジョニング) を有効にする

自動プロビジョニングのセットアップが完了すると、Keeperの詳細画面に戻ります。自動プロビジョニングが非アクティブになっているのでアクティブに切り替えます。

切り替えた後、自動プロビジョニングをアクティブにする準備ができていることを確認するポップアウトウィンドウが表示されるので、[TURN ON]をクリックします。

Keeperの詳細画面に戻ると、自動プロビジョニングがアクティブになっています。

自動プロビジョニングの設定が完了しました。今後、Google WorkspaceでKeeperを使用するように設定され、プロビジョニングスコープの定義内にある新しいユーザーは、Keeperボルト使用の招待を受け取り、Google Workspaceの制御下に置かれます。

SSOを使用せずにSCIMでユーザーをプロビジョニング

Google Workspace SCIMプロビジョニングを介してKeeperにユーザーをプロビジョニングしつつSSOでユーザーを認証しない場合は、以下の手順を行います。

上記のSSO設定の場合と同じ手順に従い、サービスプロバイダの詳細画面でACS URLとEntity IDを、コントロール内のドメインを指し、通信可能なソースがないNULL値で置き換えます。例: Entity ID=https://null.yourdomain.com/sso-connect ACS URL=https://null.yourdomain.com/sso-connect/saml/sso
Google Workspaceで Keeper アプリケーションがセットアップされると、本ページで前述した通りに自動プロビジョニングメソッドを有効にします。

注: Googleは現在Keeperチームへのグループプロビジョニングに対応していません。

トラブルシューティング

「not_a_saml_app」というエラーが表示された場合は、SAML アプリケーションで「自動プロビジョニング」が「オン」になっていることを確かにしてください。

Google証明書の更新

SAMLアサーションへの署名用GoogleのIdP x.509証明書は5年後に期限が切れるように設定されています。Google Workspaceの[Manage Certificates] (証明書の管理) の箇所で有効期限をメモし、将来の機能停止を防ぐためにカレンダーのアラートを設定する必要があります。

証明書の有効期限が迫っている場合や証明書の有効期限が切れている場合は、以下の手順に従います。

Google Workspace管理コンソールにログインします。
[アプリ]をクリックしてから[ウェブアプリとモバイルアプリ]を選択します。
Keeperを選択します。
サービスプロバイダを開きます。
[証明書を管理]をクリックします。
[ADD CERTIFICATE] (証明書の追加) をクリックします。
[DOWNLOAD METADATA] (メタデータのダウンロード) をクリックします。　
メタデータファイルを保存します。これがIdPメタデータとなります。
Keeper管理コンソールへログインします。
[管理者] > SSOノード > プロビジョニングへ移動し、SSO Cloudプロビジョニングメソッドを編集します。
Google IdPメタデータをKeeperへアップロードします。

本件の詳細については、以下のGoogleサポートページをご参照ください。

https://support.google.com/a/answer/7394709

既存のユーザーや初期管理者をSSO認証に移行させる

ルートノード (最上位) で作成されたユーザーは、SSO統合が設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力が必要となります。

管理者は、SSOが有効になっているノードに自分自身を移動することはできません。この操作を実行するには別の管理者が必要となります。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンを選択し、SSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。