Entra ID (Azure AD)
KeeperクラウドSSOコネクトをMicrosoft Entra ID (旧Azure AD)に連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
概要
Keeperは、すべてのMicrosoft Azure AD / Entra ID環境と互換性があり、SAML 2.0認証および自動プロビジョニングに対応しています。
Keeperアプリケーション (ウェブボルト、KeeperFill、Keeperデスクトップ、iOS/Android用Keeperなど) は、条件付きアクセスポリシーに完全対応しています。
Keeperでは商用 (portal.azure.com) とAzure Governmentクラウド (portal.azure.us) の両方の環境がサポートされています。
Azureの設定
AzureにクラウドSSOコネクトを設定する手順の詳細については以下の動画をご覧ください。
以下の手順を実行します。
Keeper Enterpriseアプリケーションを追加
https://portal.azure.comからAzure Adminアカウントへ移動し、[Azure Active Directory] > [Enterprise Applications] (エンタープライズアプリケーション) をクリックします。SCIMプロビジョニング用にKeeperアプリケーションがすでに設定されている場合は、既存のアプリケーションを編集します。
[New Application] (新規のアプリケーション) をクリックし、Keeperを検索してKeeper Password Managerを選択します。
[Create] (作成) をクリックしてアプリケーションを作成します。
[Set up single sign on] (シングルサインオンの設定) をクリックしてから[SAML]をクリックします。
Keeper管理コンソールで、SAMLメタデータファイルをエクスポートします。
[表示] > [メタデータをエクスポート]へ移動します。
[Upload metadata file] (メタデータファイルのアップロード) ボタンを選択してKeeper管理コンソールからダウンロードしたばかりのファイルを選択します。
[Add] (追加) ボタンを押してAzureインターフェースにメタデータファイルをアップロードします。
AzureのSAML設定画面が表示されます。
エラーを修正するには、管理コンソールのクラウドSSOインスタンスの詳細]画面で[IDP起点のログインエンドポイント]のURLをコピーし、[Sign on URL] (サインオンURL) 蘭に貼り付けます。
シングルログアウトサービスエンドポイント (SLO)
KeeperのURLエンドポイントで、IDプロバイダからのログアウトリクエストの送信先となります。シングルログアウトは任意で、IDプロバイダ側で設定します。
IDプロバイダを使用したKeeper起点のシングルログアウトの制御については、こちらをご参照ください。
デフォルトでは、ログアウト後にKeeperが強制的にEntra/Azureからのログアウトセッションを行います。この動作が発生しないようにしたい場合は、AzureメタデータファイルをKeeper にアップロードする前に編集し、SingleLogoutServiceの行を削除します。セキュリティ上の理由から、この行はそのまま含めておくことを推奨します。
[Save] (保存) をクリックしてからSAML設定ウィンドウを閉じます。
保存後、設定のテストを求められますがテストは行わなず、数秒待ってからウェブブラウザでAzureポータルページを更新します。これで、[SAML Signing Certificate] (署名証明書) の箇所に証明書の項目が表示されます。
[Federation Metadata XML] (フェデレーションメタデータXML) の箇所の[Download] (ダウンロード) をクリックします。
メタデータファイルをKeeper管理コンソールにアップロードします。
管理コンソールで、[IDPタイプ]にAzureを選択し、手順9で保存したフェデレーションメタデータファイルをインポートします。
[User Attributes & Claims] (ユーザー属性と要求) を編集します。
[User Attributes] (ユーザー属性) セクションでは、AzureがユーザーID、名、姓、メールに対する要求を自動的に作成します。
[Additional clams] (追加要求) セクションの4つの要求は不要ですので、削除してください。
ForceAuthnの設定
Keeper管理コンソールで、IDプロバイダとの新しいログインセッションを実施するオプションがご利用になれます。SAMLリクエストでForceAuthn="true" が設定されていると、ユーザーがすでに認証されている場合でもサービスプロバイダ (Keeper) から新しい認証済みセッションを強制しなければならない旨IDプロバイダに伝えます。セキュリティポリシーやエンドユーザー環境によっては望ましい動作となります。
証明書更新のリマインダ
Entra ID / Azure AD のSAML署名証明書は1年後に失効します。
証明書の有効期限前に更新できるよう、カレンダーでリマインダを設定しておきましょう。更新が終わるまでKeeperユーザーはログインできなくなります。
証明書の更新手順については、こちらのページをご参照ください。
ユーザープロビジョニング
手動または自動のプロビジョニングを使用して、AzureポータルからKeeperにユーザーをプロビジョニングできます。
手動
Keeperパスワードマネージャに特定のユーザーまたはグループのみを割り当てる場合は、以下の設定を変更する必要があります。Azureコンソールで、[Azure Active Directory] > [Enterprise Applications] (エンタープライズアプリケーション) > Keeper Password Managerへ進み、[Properties] (プロパティ) を選択します。
[User assignment required] (ユーザーの割り当てが必要ですか) を[Yes] (はい) に変更して保存します。これにより、アプリケーションに割り当てられたユーザーとグループのみが使用できるようになります。
[Users and groups] (ユーザーおよびグループ) の箇所で、Keeperアプリケーションにプロビジョニングするユーザーやグループを選択します。
SCIMを使用した自動プロビジョニング
既存のユーザー/初期管理者をSSO認証に移行
ルートノード (最上位レベル) で作成されたユーザーについては、SSO連携が設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスするときにマスターパスワードの入力を求められます。
管理者はSSO対応ノードに自ら移動できません。移動するには、別の管理者が必要となります。
メールでのボルトへのログイン
ジャストインタイムプロビジョニングが有効になっている予約済みドメインの場合、ボルトへのログイン画面でメールアドレスを入力するだけで正しいSSOプロバイダにルーティングされます。ここからボルトを作成するか、既存のボルトにログインできます。
法人ドメインでボルトへのログイン
ドメインが予約されていない場合、最初に[法人SSOログイン]を選択し、SSO統合で設定された法人ドメインを入力することでKeeperボルトへログインできます。ユーザーが最近非SSOノードからSSOノードに移動した場合、マスターパスワードの入力を求められる場合があります。
ユーザーがSSO認証されると、それ以後はメールアドレスを使用するだけでSSO認証を開始できます。
メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、KeeperのSSO設定でジャストインタイムプロビジョニングが有効になっていることを確認し、メールドメインがKeeperによって予約されていることを確かにします。ルーティングとドメイン予約の詳細については、こちらを参照してください。
IdP起点のログイン
Keeperは、AzureのIdP起点のログインをサポートしています。以下のURLからアプリケーションダッシュボードへ移動します。
https://myapplications.microsoft.com/ これにより、割り当てられたKeeperのアプリケーションがロードされ、アイコンをクリックできるようになります。
