search

トラブルシューティングとよくある質問

よくある質問に回答し、エラーを解決するための資料。

hashtag
インストール中に、SSOコネクトサービスが異常停止して起動しません。

互換性のあるJavaバージョンがインストールされていることをご確認ください。 対応するJavaバージョンについては、システム要件arrow-up-rightページをご参照ください。 互換バージョンをインストールする前に、既存のすべてのJavaインストールプログラムのアンインストールが必要になる場合があることにご注意ください。

hashtag
SSOコネクトの設定を変更して、SSL証明書またはIdPメタデータを更新するにはどうすればよいですか。

このガイドのSSOコネクト設定を更新arrow-up-rightページで説明されている手順に従ってください。

hashtag
ADFSを使用していますが、SSOコネクトが停止しています。

ADFSの署名証明書の有効期限は、通常1年間のみです。 ADFSは、最新の証明書に自動的にローテーションする場合があります。 これにより、Keeper SSOコネクトとADFS間の信頼関係が崩れます。 動作を保証するために、新しいFederationMetadata.xmlファイルを生成し、Keeper SSOコネクトにアップロードする必要があります (こちらarrow-up-rightをご参照ください)。 この手順を実行して動作を維持できるように、証明書が失効する前にリマインダーを設定することを強くお勧めします。

hashtag
IdPとしてADFSを使用していますが、ユーザーがKeeperを終了するとログアウトエラーが表示されます。

ログアウトエラーを防ぐには、SAMLログアウトエンドポイントURLを変更してください。

  1. ADFSマネージャサーバーで、Keeper SSOコネクトの証明書利用者信頼 (Relying Party Trusts) プロパティに移動します。

  2. エンドポイント (Endpoints) タブで、SAMLログアウトエンドポイントを編集し、URLを以下のように設定します。 https://<ご利用のADFSサーバーのドメイン名 (YourADFSserverDomain)>/adfs/ls/?wa=wsignout1.0

circle-info

別のページ (https://keepersecurity.com/vaultなど) にリダイレクトしたい場合は、異なるURLを設定できますが、ADFSサイトであれば、ログオフしたことをユーザーに通知してくれるのでお勧めです。

hashtag
SSOコネクトサーバーでは、どのような情報を保護する必要がありますか。

SSOコネクトの起動時に 「data」 フォルダが作成されます。 このdataフォルダは、WindowsではC:\ProgramData\Keeper SSO Connect\に、Linuxではインストールフォルダにあります。

dataディレクトリ内には複数のファイルがあります。このdataフォルダへのアクセスが制限されていることが重要です。本書の説明にあるHSM (ハードウェアセキュリティモジュール) を利用することで、セキュリティをもう1層追加できます。HSMが使用可能な場合、SSOコネクトのインスタンスごとに暗号鍵が生成され、HSMに安全に保存されます。暗号鍵は、data/フォルダ内のプロパティファイルの暗号化に使用されます。

hashtag
ユーザーをサインイン画面に直接リンクするにはどうすればよいですか。

ウェブボルトのSSOログイン画面に直接アクセスできるハイパーリンクを送信したい場合は、以下の形式をご使用ください。

xxxxxは、管理コンソールで割り当てられた企業ドメインの名前に置き換えます。

circle-info

EUリージョンでホストされている場合は、keepersecurity.euをご使用ください。

AUリージョンでホストされている場合は、keepersecurity.com.auをご使用ください。

US GOVリージョンでホストされている場合は、govcloud.keepersecurity.usをご使用ください。

hashtag
IPの設定を求めるのではなく、SSOサービスをすべてのインターフェースに単にバインドしてはどうでしょうか。

  • IPを設定するのは、マルチホームサーバーをご利用のお客様の中に、様々な理由からすべてのインターフェースにバインドしたくないと考えるお客様がいるためです。

hashtag
内部IPが必須であるならば、なぜSSOコネクトでは空白のままでよいのですか。

  • 内部IPは必須ではありません。ホスト名をDNSで同じ外部IP、さらにはイントラネット用の内部IPにも解決できる場合は、空白のままにしておいても構いません。SSOを社内で厳重に運用するお客様の場合、FQDNを内部IPに解決しています。そのため、内部IPフィールドは空白のままでも構いません。これは、お客様の設定によります。

hashtag
HA SSOコネクトサーバーを設定するとき、またはクラウド同期でSSOコネクトサーバーの設定を復元するときに、プライベートIPアドレスを求められません。

これは設計によるものです。 プライベートIPは、SSOコネクトのローカルインスタンスに固有のものです。「サーバー1」のプライベートIPが同期され、「サーバー2」が認証されて、SSO Connect Configを同期するとすれば、「サーバー2」は、「サーバー1」のIPを間違って使用することになるでしょう。 このため、1番目の (その他の) SSOコネクトサーバーのプライベートIPは保持されません。

triangle-exclamation

プライベートIPアドレスが必要なのに設定されていない場合、SSOコネクトサービスは「停止 (Stopped)」状態になります。

hashtag
ユーザーがSSOを使用して認証すると、「無効なSAMLレスポンス (invalid SAML response)」 というエラーが表示されます。

IdPでもKeeper SSOコネクト内でも何も変更されていない場合、最も可能性の高い原因は、SSOコネクトの時計が変更され、システム時刻が2分以上ずれていることです。 旧バージョンのSSOコネクトでは、時刻がずれると、このメッセージを表示しますが、最新バージョンのSSOコネクトでは次の詳細なエラーが表示されます。「SAML検証エラー (SAML Validation error): システム時刻が2分以上ずれています (System time is off by > 2 min)」。 SSOコネクトサーバーの時計はNTPと同期させることをお勧めします。 このエラーに関して考えられるもう1つの原因は、IdPからのメタデータがSSOコネクト上のデータと異なる場合です。この場合SAML証明書が同期されず、信頼されない状態になります。

hashtag
SSOユーザー以外はマスターパスワードを変更できないのはなぜですか。

  • ノードでSSOコネクトが有効になっている場合、そのノードおよびサブノードのすべてのユーザーに、マスターパスワードの変更禁止が強制されます。この目的は、SSOユーザーがIdPによる認証を回避するのを防ぐためです。

circle-info

ユーザーがSSOログインに移行した後、マスターパスワードの変更を希望する場合は、SSO強制が適用されないノードに移動させる必要があります。

circle-info

マスターパスワードをSSO認証と組み合わせて使用したい場合は、エンタープライズガイドのボルトへのオフラインアクセスarrow-up-rightの手順をご参照ください。

hashtag
ユーザーを招待したのですが、SSOコネクトでボルトを作成できないのはなぜでしょうか。

  • 初めてログインする際は、ウェブまたはデスクトップアプリケーションのいずれかでオンボーディングプロセスを実行する必要があります。 ブラウザ拡張機能で新しいユーザーのオンボーディング処理はできませんが、既存のユーザーの認証は可能になります。

hashtag
新規ユーザーが初めて接続しようとすると、以下のようなエラーが表示されます: {“result_code”: ”does_not_exist”, ”message”: ”This user does not exist”}

  • このエラーには2つの原因が考えられます。招待されたユーザーが管理コンソール内のSSO対応ノードに存在していないか、またはIdPのメールアドレスが招待されたユーザーのメールアドレスと一致していません。 最初の問題に関しては、ユーザーをSSO対応ノードに移動して、再試行してもらいます。 2番目の問題に関しては、SSOアカウントのメールアドレスが招待されたユーザーと同じであることをご確認ください。異なる場合は、IdPから取得したメールアドレスで新しいアカウントが作成されます。

hashtag
Linuxで/tmpに書き込むとエラーが表示されます。どうすれば解決できますか。

  • Linuxシステムでは、/tmpに実行権限が必要です。/tmpに実行権限がない場合、java -jar SSOConnect.jarを実行すると、次のような例外が表示される場合があります: java.lang.UnsatisfiedLinkError: /tmp/sqlite...

    この問題を解決するには、chmod a+x /tmpコマンドを使用して、/tmpに実行権限を付与してください。

hashtag
SSOと標準の両方の方法でログインできますか。

  • 企業では、ノード別に一部のユーザーは標準ログインに設定し、その他のユーザーはSSOを使用するように設定できます。 Keeper管理コンソールでロールポリシーを設定して、SSOユーザーがマスターパスワードを作成してオフラインでもログインできるようにすることもできます。

hashtag
フェデレーションユーザーをローカルユーザーに変換する、つまり、SSOアクセスを無効にしてユーザーに標準ログイン (ユーザー名/マスターパスワード) させるにはどうすればよいですか。

  • 管理コンソールで、ユーザーをSSO対応ノードからSSOのプロビジョニングが強制されていないノードに移動します。

  • 移行後、ユーザーは 「パスワードをお忘れの場合 (Forgot Password)」 リンクをクリックしてアカウントの回復 (誤ったパスワードで標準ログイン) を実行する必要があります。Keeperアカウントに記載されたメールアドレスでアカウントの回復コードを受信します。コードを入力した後、ユーザーは、ボルトの作成プロセスの始めに設定した秘密の質問と回答の入力を求められます。これで、新しいマスターパスワードを作成できます。

hashtag
IdPでメールアドレスを変更してから、SSOで認証する場合、Keeperですべき作業は何ですか。

  • IdPとKeeperの両方で、メールアドレスに基づいて同じユーザーであることを識別する必要があります。そのため、一方のメールアドレスを変更して、他方を変更しない場合、認証は機能しません。両者が協力して連携する必要があります。

  • Keeper側では、ユーザーのみがメールアドレスを変更できます。(メールアドレスの変更を禁止するロールベースの強制がそのユーザーに適用されていないことを確認します)。 Keeperでメールアドレスを変更するには、設定 (Settings) > 全般 (General) > メールアドレス (Email Address) - 今すぐリセット (Reset Now)をクリックします。

  • ユーザーはメールで変更の確認を求められます。

  • ユーザーがメールアドレスを変更したら、SSO IdPのメールアドレスも変更されていることを確認します。

  • アドレスの変更後、管理者はSSOコネクトサーバーで同期を実行する必要があります。

circle-info

複数のメールを同時に変更する必要がある場合は、サポートに連絡して変更を調整してください。

triangle-exclamation

2FAにDuoをご使用の場合は、メールを変更する前にユーザーに2FAを無効にしてもらってください。(そのアカウントで一時的に2FAを許可しないように、管理者によるロールの変更が必要になる場合があります)。これは、メールがKeeper以外で変更され、ボルトが古いメールに関連付けられたままだと、Duoのメールと一致しないおそれがあるためです。

hashtag
Chrome、Firefox、デスクトップアプリケーションを使用して、KeeperにSSOでログインできますが、IEでは接続できません。それは、なぜでしょうか。

  • IEには複数のセキュリティゾーンがあるため、ドメイン間のリダイレクト処理が困難です。IEをSSOと正常に連携させるには、セキュリティゾーンの設定が必要です。 これらのセキュリティゾーン設定は、管理者から配信するか、許可されている場合は手動で設定できます。 設定については、信頼できるサイトポリシーarrow-up-rightのセクションをご参照ください。

hashtag
SSOコネクトをインストールすると、http://127.0.0.1:8080/config/の設定ページに「このページに到達できません (Can't reach this page)」というメッセージが表示されます。

  • JREがインストール済みで、サーバーが再起動された場合、このエラーの原因は、IISのような競合サービスが8080ポートをリッスンしていることである可能性が非常に高いです。 競合を解消するには、必要でない場合はIISをアンインストールしてもよいですし、SSOコネクトが設定ページに使用するポートを変更してもよいです。

  • SSOコネクトサービスを実行中の場合は停止します。

  • 以下の場所にあるinstance.propertiesファイルを編集します。

  • admin_portのポート番号を変更します (8081)。

  • SSOコネクトサービスを再起動し、新たに定義したポート (http://127.0.0.1:8081/config/) で管理者ページを再度開きます。

hashtag
Keeper SSOコネクトのログファイルはどこにありますか。

  • Microsoftサーバーにインストールした場合、ログファイルはシステムの隠しディレクトリにあります。このディレクトリにアクセスするには、ファイルエクスプローラーに以下のパスを入力します。

  • Linuxディストリビューションでは、ログは以下のsso_connectフォルダにありますが、基本的なインストールパスによって異なります。

hashtag
SSOコネクトを最新バージョンにアップグレードする手順を教えてください。

hashtag
ユーザーがKeeperからログアウトすると、すべてのSAML接続アプリケーションとIdPからもログアウトされます。

シングルログアウト (SLO) を無効にするには、IdPメタデータファイルを編集して、Keeper SSOコネクトサーバーに入力されるメタデータにある以下の行を削除してください。 <md:SingleLogoutServiceBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-sso_connect:8443/sso-connect/saml/slo"/>

そして、SSOコネクトサーバーにファイルを再インポートします。

hashtag
デスクトップアプリにログインすると、空白の白い画面またはエラーが表示されます

ポップアップ表示された空白またはエラーのメッセージ

SSOを使用してKeeperにログインしたときに、ダイアログに白い空白またはエラーメッセージが表示される場合は、Keeper SSOコネクトの設定で無効または自己署名のSSL証明書を使用した可能性があります。

Keeperデスクトップアプリケーションと一部のデバイスおよびウェブブラウザは自己署名証明書を受け付けないため、エラーが発生します。 適切な署名付きSSL証明書 (ワイルドカード証明書またはドメイン固有証明書) を使用するようにKeeper SSOコネクトのインスタンスを再設定してください。SSL証明書には、ChromeやSafariなどのブラウザで認識される、信頼できるパブリック認証局の署名が必要です。

hashtag
SSOでログインしようとすると、ウェブボルトで分りにくいエラーが表示されます。

以下のようなエラーメッセージが表示される場合は、別のタブやウィンドウで管理者アカウントまたは別のユーザーアカウントを使いKeeperにログインしている可能性が高いです。 SSO環境をテストまたは設定している途中で、管理者としてもKeeperにもログインしている場合、混乱する可能性があります。

これらのエラーを回避するには、別のウェブブラウザ (Firefoxなど) を使用して、管理者としてKeeperにログインするか、またはKeeperデスクトップアプリをダウンロードし、そのアプリを使用して SSO環境を設定することをお勧めします。

前へサービス管理次へSSOのクラウドへの移行

最終更新

役に立ちましたか?