全てのページ
GitBook提供
1 / 1

その他のSAML 2.0プロバイダ

KeeperクラウドSSOコネクトをSSO IDプロバイダと連携させて、スムーズで安全なSAML 2.0認証を実現

最初に管理コンソールの設定の手順を完了してください。

Keeperは、すべてのSAML 2.0 SSO IDプロバイダ (IdP) と互換性があります。ご利用のIDプロバイダがリストにない場合は、このガイドの手順に従って設定を完了してください。この設定において、Keeperはサービスプロバイダ (SP) です。

手順1. IDプロバイダを設定

KeeperクラウドSSOコネクトについて、以下のような情報をIDプロバイダのアプリケーションに提供する必要があります。

  • エンティティID

  • IdPが起点となるログインエンドポイント

  • ACS (Assertion Consumer Service) エンドポイント

  • シングルログアウト (SLO) サービスエンドポイント

  • SPメタデータファイルまたはKeeper SP証明書ファイル

この情報を取得するには、Keeper管理コンソール内でSSO Connect Cloudプロビジョニングメソッドを見つけて、表示 (View) を選択します。 そこから、Keeperメタデータファイル、サービスプロバイダ (SP) 証明書ファイル、およびダイレクトURLと設定情報をダウンロードできます (IDプロバイダアプリケーションがメタデータファイルのアップロードをサポートしていない場合)。

KeeperクラウドSSOコネクトのプロビジョニングメソッドを表示
KeeperクラウドSSOコネクトの設定情報

サービスプロバイダのメタデータをアップロードする方法、または必要なSAMLレスポンス設定フィールドに手動で入力する方法については、IDプロバイダのアプリケーション設定ガイドをご参照ください。

手順2. IdPメタデータを取得

IdPメタデータをKeeperにインポートするには、正しく書式設定されたメタデータファイルが必要です。 ご利用のSSO IDプロバイダのアプリケーションがメタデータファイルをエクスポートできる場合、これがKeeperクラウドSSOコネクトプロビジョニングメソッドにメタデータをインポートするための最も便利でお勧めの方法でしょう。

ご利用のIDプロバイダからメタデータファイルをエクスポート/ダウンロードできない場合は、正しく書式設定されたメタデータファイルを作成してください。 手順については、SSOアプリケーションの設定ガイドをご参照ください。

KeeperクラウドSSOコネクトに対応したIDプロバイダのシンプルなmetadata.xmlファイルの書式のサンプル/テンプレートを以下に示します。 このサンプル/テンプレートを使用して作成を開始する場合は、お好みの.xmlや.txt用のエディターで、ご利用のIdPの情報に従って、その他のフィールドをコピー、貼り付け、修正、追加してください。

この例に含まれているフィールドは、SSOアプリケーションをKeeperに接続するために最低限必要なものなので、どのフィールドも削除「しない」でください。

<?xml version="1.0" encoding="UTF-8"?>
<md:EntityDescriptor entityID="MySSOApp" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata">
    <md:IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" WantAuthnRequestsSigned="true">
        <md:KeyDescriptor use="signing">
            <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <ds:X509Data>
                    <ds:X509Certificate>MIIDpDCCAoygAwIBAgIGAW2r5jDoMA0GCSqGSIb3DQEBCwUAMIGSMQswCQYDVQQGEwJVUzETMBEG
                        A1UECAwKQ2FsaWZvcm5pYTEWMBQGA1UEBwwNU2FuIEZyYW5jaXNjbzENMAsGA1UECgwET2t0YTEU
                        MBIGA1UECwwLU1NPUHJvdmlkZXIxEzARBgNVBAMMCmRldi0zODk2MDgxHDAaBgkqhkiG9w0BCQEW
                        DWluZm9Ab2t0YS5jb20wHhcNMTkxMDA4MTUwMzEyWhcNMjkxMDA4MTUwNDEyWjCBkjELMAkGA1UE
                        BhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExFjAUBgNVBAcMDVNhbiqGcmFuY2lzY28xDTALBgNV
                        BAoMBE9rdGExFDASBgNVBAsMC1NTT1Byb3ZpZGVyMRMwEQYDVQQDDApkZXYtMzg5NjA4MRwwGgYJ
                        KoZIhvcNAQkBFg1pbmZvQG9rdGEuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA
                        hr4wSYmTB2MNFuXmbJkUy4wH3vs8b8MyDwPF0vCcjGLl57etUBA16oNnDUyHpsY+qrS7ekI5aVtv
                        a9BbUTeGv/G+AHyDdg2kNjZ8ThDjVQcqnJ/aQAI+TB1t8bTMfROj7sEbLRM6SRsB0XkV72Ijp3/s
                        laMDlY1TIruOK7+kHz3Zs+luIlbxYHcwooLrM8abN+utEYSY5fz/CXIVqYKAb5ZK9TuDWie8YNnt
                        7SxjDSL9/CPcj+5/kNWSeG7is8sxiJjXiU+vWhVdBhzkWo83M9n1/NRNTEeuMIAjuSHi5hsKag5t
                        TswbBrjIqV6H3eT0Sgtfi5qtP6zpMI6rxWna0QIDAQABMA0GCSqGSIb3DQEBCwUAA4IBAQBr4tMc
                        hJIFN2wn21oTiGiJfaxaSZq1/KLu2j4Utla9zLwXK5SR4049LMKOv9vibEtSo3dAZFAgd2+UgD3L
                        C4+oud/ljpsM66ZQtILUlKWmRJSTJ7lN61Fjghu9Hp+atVofhcGwQ/Tbr//rWkC35V3aoQRS6ed/
                        QKmy5Dnx8lc++cL+goLjFVr85PbDEt5bznfhnIqgoPpdGO1gpABs4p9PXgCHhvkZSJWo5LobYGMV
                        TMJ6/sHPkjZ+T4ex0njzwqqZphiD9jlVcMR39HPGZF+Y4TMbH1wsTxkAKOAvXt/Kp77jdj+slgGF
                        gRfaY7OsPTLYCyZpEOoVtAyd5i6x4z0c</ds:X509Certificate>
		             </ds:X509Data>
            </ds:KeyInfo>
	      </md:KeyDescriptor>
	      <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
        <md:SingleSignOnService Location="https://sso.mycompany.com/saml2/keepersecurity"
	            Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>
        <md:SingleSignOnService Location="https://sso.mycompany.com/saml2/keepersecurity"
	            Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>
    </md:IDPSSODescriptor>
</md:EntityDescriptor>
名前
説明

EntityDescriptor

これはエンティティIDで、発行者 (Issuer) と表記される場合もあり、IdPアプリケーションに固有の名前です。

X509Certificate

これはX509証明書で、IDプロバイダから送信されたSAMLレスポンスの署名を検証するためにKeeperが使用します。

NameIDFormat

Keeperにログインするときに使用する名前識別子の形式を定義します。 Keeperは以下の種類の識別子をサポートしています。

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

または

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

SingleSignOnService "POST"

これは、Keeper からのリクエストに対するレスポンスとして使用されるIDプロバイダの「POST」バインディングです。

SingleSignOnService "Redirect"

これは、Keeper からのリクエストに対するレスポンスとして使用されるIDプロバイダの「Redirect」バインディングです。

手順3. ユーザー属性をマッピング

Keeperでは、認証中に送信される特定のユーザー属性をマッピングする必要があります。 KeeperクラウドSSOコネクトのデフォルトのユーザー属性は、以下の表に示したEmailFirstLastです。 IDプロバイダのユーザー属性がKeeperの属性と一致するようにしてください。 手順については、ご利用のIDプロバイダの設定ガイドをご参照ください。

IdPのユーザー属性
Keeperのユーザー属性

<Email Address>

Email

<First Name>

First

<Last Name>

Last

手順4. IdPメタデータをKeeperにアップロード

IDプロバイダのメタデータファイルの作成、またはIDプロバイダのメタデータファイルのダウンロードが完了したら、Keeper管理コンソールに戻り、SSO Connect Cloudプロビジョニングメソッドを見つけて、編集 (Edit) を選択します。

SSOプロビジョニングメソッドを編集

IDプロバイダ (Identity Provider) セクションまで下にスクロールし、IDPタイプ (IDP Type) を汎用 (GENERIC) に設定して、ファイルを参照 (Browse Files) を選択し、作成したメタデータファイルを選択します。

メタデータファイルをアップロード

引き続き、Keeper管理コンソール内のSSO Connect Cloudプロビジョニングメソッドで、編集 (Edit) ビューを終了して、表示 (View) を選択します。 IDプロバイダ (Identity Provider) セクション内のエンティティID (Entity ID)、シングルサインオンサービス (Single Sign On Service)シングルログアウトサービスエンドポイント (Single Logout Service Endpoint) のメタデータ値が入力されたことを確認できます。

SSOアプリケーションのメタデータ

グラフィックアセット

IDプロバイダがアプリケーションのアイコンやロゴファイルを必要とする場合は、グラフィックアセットページをご参照ください。

成功です。 これでKeeper Security SSO Cloudの設定が完了しました。 これで、SSOを使用してKeeperへのログインを試すことができます。

アプリケーションが機能していない場合は、IDプロバイダのアプリケーション設定を見直し、メタデータファイルとユーザー属性にエラーがないか確認してください。

確認が済んだら、手順4を繰り返します。

サポートが必要な場合は、enterprise.support@keepersecurity.comまでメールでご相談ください。

既存のユーザー/初期管理者をSSO認証に移動

ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。

管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

まず[法人SSOログイン]を選択

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます

法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、こちらをご覧ください。