Keeper SSO Connect CloudをMicrosoft Entra ID (旧Azure AD)に連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
Keeperは、すべてのMicrosoft Azure AD / Entra ID環境と互換性があり、SAML 2.0認証および自動プロビジョニングに対応しています。
Keeperアプリケーション (ウェブボルト、KeeperFill、Keeper Desktop、iOS/Android用Keeperなど) は、条件付きアクセスポリシーに完全対応しています。
Keeperでは商用 (portal.azure.com) とAzure Governmentクラウド (portal.azure.us) の両方の環境がサポートされています。
AzureにSSO Connect Cloudを設定する手順の詳細については以下の動画をご覧ください。
以下の手順を実行します。
(1) Keeper Enterpriseアプリケーションを追加
https://portal.azure.comからAzure Adminアカウントへ移動し、[Azure Active Directory] > [Enterprise Applications] (エンタープライズアプリケーション) をクリックします。SCIMプロビジョニング用にKeeperアプリケーションがすでに設定されている場合は、既存のアプリケーションを編集します。
米国の公的機関の場合はhttps://portal.azure.usへログインして同じ手順を実行します。
(2) [New Application] (新規のアプリケーション) をクリックし、Keeperを検索してKeeper Password Managerを選択します。
(3) [Create] (作成) をクリックしてアプリケーションを作成します。
(4) [Set up single sign on] (シングルサインオンの設定) をクリックしてから[SAML]をクリックします。
(5) Keeper管理コンソールで、SAMLメタデータファイルをエクスポートします。
[表示] > [メタデータをエクスポート]へ移動します。
(6) [Upload metadata file] (メタデータファイルのアップロード) ボタンを選択してKeeper管理コンソールからダウンロードしたばかりのファイルを選択します。
[Add] (追加) ボタンを押してAzureインターフェースにメタデータファイルをアップロードします。
(7) AzureのSAML設定画面が表示されます。
Sign on URL (サインオンURL) 蘭が空白なので赤いエラーが表示されます。
エラーを修正するには、管理コンソールのSSO Cloudインスタンスの[表示]画面で[IDP Initiated ログインエンドポイント]のURLをコピーし、[Sign on URL] (サインオンURL) 蘭に貼り付けます。
シングルログアウトサービスエンドポイント (SLO)
KeeperのURLエンドポイントで、アイデンティティプロバイダーからのログアウトリクエストの送信先となります。シングルログアウトは任意で、IDプロバイダ側で設定します。
IDプロバイダーを使用したKeeper起点のシングルログアウトの制御については、こちらをご参照ください。
デフォルトでは、ログアウト後にKeeperが強制的にEntra/Azureからのログアウトセッションを行います。この動作が発生しないようにしたい場合は、AzureメタデータファイルをKeeper にアップロードする前に編集し、SingleLogoutServiceの行を削除します。セキュリティ上の理由から、この行はそのまま含めておくことを推奨します。
(8) [Save] (保存) をクリックしてからSAML設定ウィンドウを閉じます。
(9) 保存後、設定のテストを求められますがテストは行わなず、数秒待ってからウェブブラウザでAzureポータルページを更新します。これで、SAML Signing Certificate (署名証明書) の箇所に証明書の項目が表示されます。
Federation Metadata XML (フェデレーションメタデータXML) の箇所の[Download] (ダウンロード) をクリックします。
(10) メタデータファイルをKeeper管理コンソールにアップロードします。
管理コンソールで、[IDPタイプ]にAzureを選択し、手順9で保存したフェデレーションメタデータファイルをインポートします。
(11) User Attributes & Claims (ユーザー属性と要求) を編集します。
User Attributes (ユーザー属性) セクションでは、AzureがユーザーID、名、姓、メールに対する要求を自動的に作成します。
Additional clams (追加要求) セクションの4つの要求は不要ですので、削除してください。
ご利用の環境で、user.userprincipalname (UPN) がユーザーの実際のメールアドレスと異なる場合は、メール要求を編集してメール属性の値をuser.mailに変更できます。
Keeper管理コンソールで、アイデンティティプロバイダとの新しいログインセッションを実施するオプションがご利用になれます。SAMLリクエストでForceAuthn="true" が設定されていると、ユーザーがすでに認証されている場合でもサービスプロバイダ (Keeper) から新しい認証済みセッションを強制しなければならない旨アイデンティティプロバイダに伝えます。セキュリティポリシーやエンドユーザー環境によっては望ましい動作となります。
手動または自動のプロビジョニングを使用して、AzureポータルからKeeperにユーザーをプロビジョニングできます。
Keeperパスワードマネージャに特定のユーザーまたはグループのみを割り当てる場合は、以下の設定を変更する必要があります。Azureコンソールで、[Azure Active Directory] > [Enterprise Applications] (エンタープライズアプリケーション) > Keeper Password Managerへ進み、[Properties] (プロパティ) を選択します。
[User assignment required] (ユーザーの割り当てが必要ですか) を[Yes] (はい) に変更して保存します。これにより、アプリケーションに割り当てられたユーザーとグループのみが使用できるようになります。
[Users and groups] (ユーザーおよびグループ) の箇所で、Keeperアプリケーションにプロビジョニングするユーザーやグループを選択します。
詳細についてはこちらををご参照ください。
ルートノード (最上位レベル) で作成されたユーザーについては、SSO連携が設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスするときにマスターパスワードの入力を求められます。
管理者はSSO対応ノードに自ら移動できません。移動するには、別の管理者が必要となります。
ジャストインタイムプロビジョニングが有効になっている予約済みドメインの場合、ボルトへのログイン画面でメールアドレスを入力するだけで正しいSSOプロバイダにルーティングされます。ここからボルトを作成するか、既存のボルトにログインできます。
ドメインが予約されていない場合、最初に[法人SSOログイン]を選択し、SSO統合で設定された法人ドメインを入力することでKeeperボルトへログインできます。ユーザーが最近非SSOノードからSSOノードに移動した場合、マスターパスワードの入力を求められる場合があります。
ユーザーがSSO認証されると、それ以後はメールアドレスを使用するだけでSSO認証を開始できます。
メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、KeeperのSSO設定でジャストインタイムプロビジョニングが有効になっていることを確認し、メールドメインがKeeperによって予約されていることを確かにします。ルーティングとドメイン予約の詳細については、こちらを参照してください。
Keeperは、AzureのIdP起点のログインをサポートしています。以下のURLからアプリケーションダッシュボードへ移動します。
https://myapplications.microsoft.com/ これにより、割り当てられたKeeperのアプリケーションがロードされ、アイコンをクリックできるようになります。