Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Keeper SSO Connect™ CloudをDUO SSOと連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
以下の手順では、Duoが正常に有効化され、認証ソース (Active DirectoryまたはIdP) が設定済みであることを前提としています。Duo SSO を有効にするには、Duo Admin Panel (管理パネル) にアクセスし、「Single Sign-On」 (シングル サインオン) セクションにアクセスします。
DuoのAdmin Panel (管理パネル) にログインし、左側のナビゲーションバーの[Protect an Application] (アプリケーションの保護) をクリックします。アプリケーションリストから、保護タイプが「2FA with SSO hosted by Duo (Single Sign-On)] (DuoがホストするSSOによる2FA (シングル サインオン)」であるGeneric Service Provider (汎用サービスプロバイダ) のエントリを見つけて、[Protect] (保護) をクリックします。
[Download] (ダウンロード) セクションで、ご利用のSSOプロビジョニングメソッドにアップロードするためのSAMLメタデータファイルをダウンロードします。
Keeper管理コンソールに戻り、DUO SSO Connect Cloudプロビジョニングメソッドを見つけて、[編集]を選択します。
[アイデンティティプロバイダ]セクションまで下にスクロールし、[IDP タイプ]を[GENERIC] (汎用) に設定して、[ファイルを参照]を選択し、先ほどダウンロードしたDUOメタデータファイルを選択します。
引き続き、Keeper管理コンソール内のDUO SSO Connect Cloudプロビジョニングメソッドで、[編集]ビューを終了して、[表示]を選択します。 サービスプロバイダセクション内に、法人ID、IDP Initiated ログインエンドポイント、Assertion Consumer Service(ACS)エンドポイントのメタデータの値が表示されます。
[シングルログアウト・サービスエンドポイント]はオプションです。
Duo Admin Panel (管理パネル) のアプリケーションページに戻り、Entity ID (エンティティID)、Login Enndpoint (ログインエンドポイント)、ACS Endpoint (ACSエンドポイント) をコピーして、Service Provider (サービスプロバイダ) セクションに貼り付けます。
SAML Response (SAMLレスポンス) セクション内で、Map attribute (属性をマッピング) まで下にスクロールして、以下の属性をマッピングします。
3つの属性 (First (名)、Last (姓)、Email (メール)) が上記のように正確なスペルで設定されていることをご確認ください。
Policy (ポリシー) セクションでは、ユーザーがこのアプリケーションにアクセスするときの認証のタイミングと方法を定義します。グローバルポリシーは常に適用されますが、そのルールはカスタムポリシーで上書きできます。
Global Policy (グローバルポリシー) セクションでは、DUOまたはKeeperの管理者に表示されるすべてのグローバルポリシーを審査/編集/確認できます。
Settings (設定) セクションで、アプリケーションに「Keeper Security EPM - Single Sign-On」という名前を付けます。その他の設定はすべて、DUOまたはKeeper管理者に表示されるとおりに設定されています。
ページの一番下にある[Save] (保存)をクリックして、保護されたアプリケーション設定を保存します。
これでKeeper Security EPM - Single Sign-Onの設定が完了しました。
ご利用のDUO環境内へのKeeper Security EPM - Single Sign-Onの実装に関してサポートが必要でしたら、Keeperサポートチームまでお問い合わせください。
ユーザーにDuoでログインしてもらいたい場合は、Keeper管理コンソールのルートノード (最上位) で作成されたユーザーをSSO対応ノードに移動する必要があります。管理者は自分自身をSSO対応ノードに移動できません。これには別の管理者が必要となります。
法人ドメインでオンボードするには、ユーザーは[法人SSOログイン]からKeeper管理コンソールで設定された法人ドメインを入力します。
ユーザーがSSOで認証されると、今後はメールアドレスを入力するだけSSO認証を開始できます。
Keeper SSO Connect CloudをAmazon AWS SSOと連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
AWSにログインし、[AWS Single Sign-On] (AWSシングルサインオン) を選択します。
SSOダッシュボードで、[Configure SSO access to your cloud applications] (クラウドアプリケーションへのSSOアクセスを設定する) を選択します。
[Applications] (アプリケーション) メニューで、[Adda a new application] (新しいアプリケーションを追加) を選択します。
次に、Keeper Securityを選択して[Add] (追加) を選択します。
KeeperとAWSでアプリケーションコネクタを共同開発中です。
[Details] (詳細) セクションで[Display name] (表示名)と[Description] (説明) (任意) を入力します。
[AWS SSO metadata] (メタデータ) セクションで、[Download] (ダウンロード) ボタンを選択して、AWS SSO SAMLメタデータファイルをエクスポートします。このファイルは、設定画面の[SSO Connect IdPMetadata] (メタデータ) セクションでインポートします。
このファイルをKeeper SSO Connectサーバーにコピーし、ファイルを参照するか、設定画面の[SAMLメタデータ]の箇所にドラッグアンドドロップしてKeeper SSO Connectインターフェースにアップロードします。
次に、Keeperのメタデータファイルをダウンロードし、AWSアプリケーションのメタデータファイルにアップロードします。Keeper SSO Connect Cloud™のプロビジョニングの表示画面に移動します。
[メタデータをエクスポート]ボタンをクリックして、config.xmlファイルをダウンロードします。
\
AWS SSOの[Application metadata] (アプリケーションメタデータ) セクションに戻って、[Browse...] (ファイルを参照) ボタンを選択し、上記の手順でダウンロードしたconfig.xmlを選択します。
[Save changes] (変更を保存) をクリックすると、「Configuration for Keeper Password Manager has been saved」 (Keeperパスワードマネージャの設定が保存されました) いうメッセージが表示されます。
Keeper SSL証明書は、2048Kを超えることはできません。超えると、以下のエラーが表示されます。
より小さいサイズのSSL証明書の生成、メタデータファイルの再エクスポートとインポート、AWS SSOの設定でACS URLとAudience URLを手動設定のいずれかを行なってください。
次に、AWS SSOにマッピングするKeeperの属性が正しいことを確かにします (デフォルトで設定されています)。[Attribute mappings] (属性マッピング) タブを選択します。 AWSの文字列値を${user:subject}に、形式を空白またはunspecified (未指定) にします。 Keeper属性を以下のように設定します。
Email (メール)
${user:email}
unspecified (未指定)
First (名)
${user:givenName}
unspecified (未指定)
Last (姓)
${user:familyName}
unspecified (未指定)
AWSのメールがAD UPNにマッピングされている場合 (ユーザーの実際のメールアドレスではない可能性があります) 、ユーザーのADプロファイルに関連付けられているメールアドレスに再マッピングできます。
この変更を行うには、AWS SSOページの[Connected Directory] (接続されたディレクトリ) へ移動します。
[Edit attribute mappings] (属性マッピングを編集) ボタンを選択します。
AWS SSOのemail (メール) 属性を${dir:windowsUpn}から${dir:email}に変更します。
[Assigned users] (割り当てられたユーザー) タブを選択してから、[Assign users] (ユーザーを割り当て) ボタンをクリックして、アプリケーションを割り当てるユーザーまたはグループを選択します。
[Assign users] (ユーザーを割り当て) ウィンドウで、以下の操作を行います。
グループまたはユーザーを選択
グループまたはユーザーの名前を入力
[Search connected directory] (接続されたディレクトリを検索) を選択して、検索します。
ディレクトリ検索の結果は、検索ウィンドウの下に表示されます。
アプリケーションへのアクセスが必要なユーザーやグループを選択し、[Assign users] (ユーザーを割り当て) ボタンを選択します。
備考: Keeper SSO Connectは、SAMLレスポンスが署名されていることを想定しています。IDプロバイダがSAMLレスポンスに署名するように設定されていることをご確認ください。
これでKeeper SSO Connectの設定は完了です。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、をご覧ください。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、をご覧ください。