管理コンソールにKeeper SSO Connect Cloud™を設定
Keeper SSO Connect Cloud™の設定は非常に簡単で、これまでに他のサービスプロバイダにご利用のIdPを設定した経験があれば数分しかかかりません。以下の手順に従ってください。
1) Keeper管理コンソールからKeeper管理者としてログインします。 US: https://keepersecurity.com/console EU: https://keepersecurity.eu/console AU: https://keepersecurity.com.au/console CA: https://keepersecurity.ca/console JP: https://keepersecurity.jp/console US GovCloud: https://govcloud.keepersecurity.us/console
Cloud SSO連携は、ルートノードの下のノードにしか適用できません。以下の手順に従って、ユーザーとポリシーをプロビジョニングするためのノードを必ず作成してください。
2) ログイン後、[管理者]メニューをクリックして、[ノードを追加]を選択します。この新しく作成するノードでSSOユーザーにプロビジョニングします。
3) 新しいノードで[プロビジョニング]タブを選択し、[メソッドを追加]をクリックします。
4) [SSO Connect Cloudを使用したシングルサインオン]を選択して[次へ]を選択します。
5) 環境設定名と法人ドメインを入力します。 環境設定名はエンドユーザーには表示されませんので、複数の設定を管理できます。 法人ドメインはログインに使用されるため、一意で覚えやすい名前を選択することを推奨します。
環境設定名 内部でのみ使用され、ユーザーには表示されません。
法人ドメイン 特定のフローで認証する場合にユーザーが入力します。ドメイン名か任意の固有の文字列となります。
ジャストインタイムプロビジョニングを有効にする ユーザーがKeeper Enterpriseテナントに自らサインアップできるようにするには、ジャストインタイムプロビジョニング機能を有効にします。デフォルトでは有効になっています。ドメインが予約されている場合、ドメイン名を持つ新しいユーザーは、ジャストインタイムプロビジョニングによって自動的にSSOプロバイダにルーティングされるようになります。 ジャストインタイムSSOプロビジョニングの代わりにKeeper Bridgeを使用してユーザーをプロビジョニングする場合は、OFFにしてください。
6) [保存]をクリックして次の手順に進むと、設定の編集画面が自動的に開きます。
7) 設定の編集画面で、ご利用のIdP (または「汎用」) を選択してそのIDプロバイダからKeeperにメタデータファイルをアップロードし、3つの必須属性マッピングを設定します。なお、KeeperはあらゆるSAML 2.0準拠IDプロバイダと連携しています。
ここではさらに2つのオプションがご利用になれます。
IsPassiveを有効化: IdPから要求されない限り、オフのままにすることを推奨します。
ForceAuthn: Keeperボルトへログインする度に新しいSSOログインセッションを強制したい場合にオンにします。
アイデンティティプロバイダ 一般的なIDプロバイダの設定をご利用になれるようして手間を省くために、ドロップダウンの[IDPタイプ]から事前に定義された設定を選択できます。ご利用のIDプロバイダが一覧にない場合は、[GENERIC]を選択してください。
SAMLメタデータ IdPから取得したIdPメタデータファイルをKeeperの設定画面にドラッグアンドドロップします。 このファイルには、URLエンドポイントと署名付きアサーションを検証するためのデジタル証明書が含まれます。
アイデンティティプロバイダ属性マッピング 名前、苗字、メールアドレスの呼称がデフォルトで[First]、[Last]、[Email]となっていますが、変更は可能です。ご利用のIDプロバイダが、記載通りに(大文字と小文字を区別して)この画面のフィールド名にマッピングしていることを確かにしてください。
シングルサインオンエンドポイント環境設定 こちらは詳細設定で、デフォルトでは[HTTP POSTを優先]となっています。
8) IdPの設定の途中で、Keeperから法人IDやACS URLなどのパラメータを入力する必要があります。 この情報は、前の画面に戻って[表示]をクリッすると表示される設定表示画面で確認できます。
この画面に表示されているURLをメモしておいてください。これらURLをIDプロバイダ内に設定する必要がある場合があります。
エンティティID 「SPエンティティID (SP Entity ID)」または「発行者 (Issuer)」と表記される場合もあります。基本的には、固有の識別子で双方が認識されてている必要があります。多くの場合、エンティティIDはACS URLエンドポイントと同じです。
Assertion Consumer Serviceエンドポイント (ACS URL) ユーザーの認証後にIDプロバイダがアサーションを送信するKeeperのURLエンドポイントです。 Keeperに送信されるデータには、ユーザーがIDプロバイダに正常にサインインしたかどうかを示す署名付きアサーションが含まれます。このアサーションは、IDプロバイダの秘密鍵で署名されています。 Keeperで、IdPメタデータファイルに含まれるIDプロバイダの公開鍵を使用して署名が認証されます。
シングルログアウトエンドポイント (SLO) KeeperのURLエンドポイントで、IDプロバイダによるログアウトリクエストの送信先となります。シングルログアウトは任意でご利用になれ、IDプロバイダで設定します。
この情報は、Keeper XMLメタデータファイルでも確認できます。このファイルは、[メタデータをエクスポート]をクリックすることでダウンロードできます。必要に応じてこのメタデータファイルをIDプロバイダにアップロードしてください。
ジャストインタイムプロビジョニングを有効にすると、ボルトのログイン画面でユーザーがメールアドレスを入力して[次へ]をクリックした際に、ユーザーがIDプロバイダに自動的にルーティングされます。これは、ウェブボルト、デスクトップアプリ、ブラウザ拡張機能、iOSアプリ、Androidアプリなど、すべてのデバイスに適用されます。
Keeperではパーソナルドメインのリストを保持していますので、たとえば、gmail.comやyahoo.comなどを予約して、一般ユーザーが実在を確認済みのメールアドレスを使用してこれらのドメインのKeeperアカウントを作成することはできません。
企業テナント外で予約済みドメインを使用した個人アカウントまたは企業アカウントの作成をエンドユーザーに許可したい場合は、Keeperサポートチームにお問い合わせください。ご希望のドメインのロックを解除いたします。
管理コンソールでKeeper SSO Connect Cloudを設定した後は、IDプロバイダでアプリケーションを設定します。 SSO IDプロバイダのページをご参照ください。