KeeperクラウドSSOコネクトをSSO IDプロバイダと連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
Keeperは、すべてのSAML 2.0 SSO IDプロバイダ (IdP) と互換性があります。ご利用のIDプロバイダがリストにない場合は、このガイドの手順に従って設定を完了してください。この設定において、Keeperはサービスプロバイダ (SP) です。
KeeperクラウドSSOコネクトについて、以下のような情報をIDプロバイダのアプリケーションに提供する必要があります。
エンティティID
IdPが起点となるログインエンドポイント
ACS (Assertion Consumer Service) エンドポイント
シングルログアウト (SLO) サービスエンドポイント
SPメタデータファイルまたはKeeper SP証明書ファイル
この情報を取得するには、Keeper管理コンソール内でSSO Connect Cloudプロビジョニングメソッドを見つけて、表示 (View) を選択します。 そこから、Keeperメタデータファイル、サービスプロバイダ (SP) 証明書ファイル、およびダイレクトURLと設定情報をダウンロードできます (IDプロバイダアプリケーションがメタデータファイルのアップロードをサポートしていない場合)。
サービスプロバイダのメタデータをアップロードする方法、または必要なSAMLレスポンス設定フィールドに手動で入力する方法については、IDプロバイダのアプリケーション設定ガイドをご参照ください。
IdPメタデータをKeeperにインポートするには、正しく書式設定されたメタデータファイルが必要です。 ご利用のSSO IDプロバイダのアプリケーションがメタデータファイルをエクスポートできる場合、これがKeeperクラウドSSOコネクトプロビジョニングメソッドにメタデータをインポートするための最も便利でお勧めの方法でしょう。
ご利用のIDプロバイダからメタデータファイルをエクスポート/ダウンロードできない場合は、正しく書式設定されたメタデータファイルを作成してください。 手順については、SSOアプリケーションの設定ガイドをご参照ください。
KeeperクラウドSSOコネクトに対応したIDプロバイダのシンプルなmetadata.xmlファイルの書式のサンプル/テンプレートを以下に示します。 このサンプル/テンプレートを使用して作成を開始する場合は、お好みの.xmlや.txt用のエディターで、ご利用のIdPの情報に従って、その他のフィールドをコピー、貼り付け、修正、追加してください。
この例に含まれているフィールドは、SSOアプリケーションをKeeperに接続するために最低限必要なものなので、どのフィールドも削除「しない」でください。
EntityDescriptor
これはエンティティIDで、発行者 (Issuer) と表記される場合もあり、IdPアプリケーションに固有の名前です。
X509Certificate
これはX509証明書で、IDプロバイダから送信されたSAMLレスポンスの署名を検証するためにKeeperが使用します。
NameIDFormat
Keeperにログインするときに使用する名前識別子の形式を定義します。 Keeperは以下の種類の識別子をサポートしています。
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
または
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
SingleSignOnService "POST"
これは、Keeper からのリクエストに対するレスポンスとして使用されるIDプロバイダの「POST」バインディングです。
SingleSignOnService "Redirect"
これは、Keeper からのリクエストに対するレスポンスとして使用されるIDプロバイダの「Redirect」バインディングです。
Keeperでは、認証中に送信される特定のユーザー属性をマッピングする必要があります。 KeeperクラウドSSOコネクトのデフォルトのユーザー属性は、以下の表に示したEmail、First、Lastです。 IDプロバイダのユーザー属性がKeeperの属性と一致するようにしてください。 手順については、ご利用のIDプロバイダの設定ガイドをご参照ください。
<Email Address>
<First Name>
First
<Last Name>
Last
IDプロバイダのメタデータファイルの作成、またはIDプロバイダのメタデータファイルのダウンロードが完了したら、Keeper管理コンソールに戻り、SSO Connect Cloudプロビジョニングメソッドを見つけて、編集 (Edit) を選択します。
IDプロバイダ (Identity Provider) セクションまで下にスクロールし、IDPタイプ (IDP Type) を汎用 (GENERIC) に設定して、ファイルを参照 (Browse Files) を選択し、作成したメタデータファイルを選択します。
引き続き、Keeper管理コンソール内のSSO Connect Cloudプロビジョニングメソッドで、編集 (Edit) ビューを終了して、表示 (View) を選択します。 IDプロバイダ (Identity Provider) セクション内のエンティティID (Entity ID)、シングルサインオンサービス (Single Sign On Service)、シングルログアウトサービスエンドポイント (Single Logout Service Endpoint) のメタデータ値が入力されたことを確認できます。
IDプロバイダがアプリケーションのアイコンやロゴファイルを必要とする場合は、グラフィックアセットページをご参照ください。
成功です。 これでKeeper Security SSO Cloudの設定が完了しました。 これで、SSOを使用してKeeperへのログインを試すことができます。
アプリケーションが機能していない場合は、IDプロバイダのアプリケーション設定を見直し、メタデータファイルとユーザー属性にエラーがないか確認してください。
確認が済んだら、手順4を繰り返します。
サポートが必要な場合は、enterprise.support@keepersecurity.comまでメールでご相談ください。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、こちらをご覧ください。