# トラブルシューティングとよくある質問 #### インストール中に、SSOコネクトサービスが異常停止して起動しません。 互換性のあるJavaバージョンがインストールされていることをご確認ください。 対応するJavaバージョンについては、[システム要件](https://docs.keeper.io/sso-connect-on-prem/system-requirements)ページをご参照ください。 互換バージョンをインストールする前に、既存のすべてのJavaインストールプログラムのアンインストールが必要になる場合があることにご注意ください。 #### SSOコネクトの設定を変更して、SSL証明書またはIdPメタデータを更新するにはどうすればよいですか。 このガイドの[SSOコネクト設定を更新](https://docs.keeper.io/sso-connect-on-prem/upgrading-sso-connect)ページで説明されている手順に従ってください。 #### ADFSを使用していますが、SSOコネクトが停止しています。 ADFSの署名証明書の有効期限は、通常1年間のみです。 ADFSは、最新の証明書に自動的にローテーションする場合があります。 これにより、Keeper SSOコネクトとADFS間の信頼関係が崩れます。 動作を保証するために、新しいFederationMetadata.xmlファイルを生成し、Keeper SSOコネクトにアップロードする必要があります ([こちら](https://docs.keeper.io/sso-connect-on-prem/identity-provider-setup/ad-fs-configuration#obtain-federation-metadata-xml)をご参照ください)。 この手順を実行して動作を維持できるように、証明書が失効する前にリマインダーを設定することを強くお勧めします。 #### IdPとしてADFSを使用していますが、ユーザーがKeeperを終了するとログアウトエラーが表示されます。 ログアウトエラーを防ぐには、SAMLログアウトエンドポイントURLを変更してください。 1. ADFSマネージャサーバーで、Keeper SSOコネクトの**証明書利用者信頼 (Relying Party Trusts)** プロパティに移動します。 2. **エンドポイント (Endpoints)** タブで、SAMLログアウトエンドポイントを編集し、URLを以下のように設定します。 https\://**<ご利用のADFSサーバーのドメイン名 (YourADFSserverDomain)>**/adfs/ls/?wa=wsignout1.0 {% hint style="info" %} **別のページ () にリダイレクトしたい場合は、異なるURLを設定できますが、ADFSサイトであれば、ログオフしたことをユーザーに通知してくれるのでお勧めです。** {% endhint %} #### SSOコネクトサーバーでは、どのような情報を保護する必要がありますか。 SSOコネクトの起動時に 「data」 フォルダが作成されます。 このdataフォルダは、Windowsでは`C:\ProgramData\Keeper SSO Connect\`に、Linuxではインストールフォルダにあります。 dataディレクトリ内には複数のファイルがあります。このdataフォルダへのアクセスが制限されていることが重要です。本書の説明にあるHSM (ハードウェアセキュリティモジュール) を利用することで、セキュリティをもう1層追加できます。HSMが使用可能な場合、SSOコネクトのインスタンスごとに暗号鍵が生成され、HSMに安全に保存されます。暗号鍵は、`data/`フォルダ内のプロパティファイルの暗号化に使用されます。 #### **ユーザーをサインイン画面に直接リンクするにはどうすればよいですか。** ウェブボルトのSSOログイン画面に直接アクセスできるハイパーリンクを送信したい場合は、以下の形式をご使用ください。 ``` https://keepersecurity.com/vault/#プロバイダ名/xxxxx ``` xxxxxは、管理コンソールで割り当てられた企業ドメインの名前に置き換えます。 {% hint style="info" %} EUリージョンでホストされている場合は、**keepersecurity.eu**をご使用ください。 AUリージョンでホストされている場合は、**keepersecurity.com.au**をご使用ください。 US GOVリージョンでホストされている場合は、**govcloud.keepersecurity.us**をご使用ください。 {% endhint %} #### **IPの設定を求めるのではなく、SSOサービスをすべてのインターフェースに単にバインドしてはどうでしょうか。** * IPを設定するのは、マルチホームサーバーをご利用のお客様の中に、様々な理由からすべてのインターフェースにバインドしたくないと考えるお客様がいるためです。 #### **内部IPが必須であるならば、なぜSSOコネクトでは空白のままでよいのですか。** * 内部IPは必須ではありません。ホスト名をDNSで同じ外部IP、さらにはイントラネット用の内部IPにも解決できる場合は、空白のままにしておいても構いません。SSOを社内で厳重に運用するお客様の場合、FQDNを内部IPに解決しています。そのため、内部IPフィールドは空白のままでも構いません。これは、お客様の設定によります。 #### HA SSOコネクトサーバーを設定するとき、またはクラウド同期でSSOコネクトサーバーの設定を復元するときに、プライベートIPアドレスを求められません。 これは設計によるものです。 プライベートIPは、SSOコネクトのローカルインスタンスに固有のものです。「サーバー1」のプライベートIPが同期され、「サーバー2」が認証されて、SSO Connect Configを同期するとすれば、「サーバー2」は、「サーバー1」のIPを間違って使用することになるでしょう。 このため、1番目の (その他の) SSOコネクトサーバーのプライベートIPは保持されません。 {% hint style="danger" %} プライベートIPアドレスが必要なのに設定されていない場合、SSOコネクトサービスは「停止 (Stopped)」状態になります。 {% endhint %} #### ユーザーがSSOを使用して認証すると、「無効なSAMLレスポンス (invalid SAML response)」 というエラーが表示されます。 IdPでもKeeper SSOコネクト内でも何も変更されていない場合、最も可能性の高い原因は、SSOコネクトの時計が変更され、システム時刻が2分以上ずれていることです。 旧バージョンのSSOコネクトでは、時刻がずれると、このメッセージを表示しますが、最新バージョンのSSOコネクトでは次の詳細なエラーが表示されます。「SAML検証エラー (SAML Validation error): システム時刻が2分以上ずれています (System time is off by > 2 min)」。 SSOコネクトサーバーの時計はNTPと同期させることをお勧めします。\ \ このエラーに関して考えられるもう1つの原因は、IdPからのメタデータがSSOコネクト上のデータと異なる場合です。この場合SAML証明書が同期されず、信頼されない状態になります。 #### **SSOユーザー以外はマスターパスワードを変更できないのはなぜですか。** * ノードでSSOコネクトが有効になっている場合、そのノードおよびサブノードのすべてのユーザーに、マスターパスワードの変更禁止が強制されます。この目的は、SSOユーザーがIdPによる認証を回避するのを防ぐためです。 {% hint style="info" %} ユーザーがSSOログインに移行した後、マスターパスワードの変更を希望する場合は、SSO強制が適用されないノードに移動させる必要があります。 {% endhint %} {% hint style="info" %} マスターパスワードをSSO認証と組み合わせて使用したい場合は、エンタープライズガイドの[ボルトへのオフラインアクセス](https://docs.keeper.io/enterprise-guide/vault-offline-access)の手順をご参照ください。 {% endhint %} #### **ユーザーを招待したのですが、SSOコネクトでボルトを作成できないのはなぜでしょうか。** * 初めてログインする際は、ウェブまたはデスクトップアプリケーションのいずれかでオンボーディングプロセスを実行する必要があります。 ブラウザ拡張機能で新しいユーザーのオンボーディング処理はできませんが、既存のユーザーの認証は可能になります。 #### **新規ユーザーが初めて接続しようとすると、以下のようなエラーが表示されます:** **{“result\_code”: ”does\_not\_exist”, ”message”: ”This user does not exist”}** * このエラーには2つの原因が考えられます。招待されたユーザーが管理コンソール内のSSO対応ノードに存在していないか、またはIdPのメールアドレスが招待されたユーザーのメールアドレスと一致していません。 最初の問題に関しては、ユーザーをSSO対応ノードに移動して、再試行してもらいます。 2番目の問題に関しては、SSOアカウントのメールアドレスが招待されたユーザーと同じであることをご確認ください。異なる場合は、IdPから取得したメールアドレスで新しいアカウントが作成されます。 #### **Linuxで/tmpに書き込むとエラーが表示されます。どうすれば解決できますか。** * Linuxシステムでは、`/tmp`に実行権限が必要です。`/tmp`に実行権限がない場合、`java -jar SSOConnect.jar`を実行すると、次のような例外が表示される場合があります: `java.lang.UnsatisfiedLinkError: /tmp/sqlite...` この問題を解決するには、`chmod a+x /tmp`コマンドを使用して、`/tmp`に実行権限を付与してください。 #### **SSOと標準の両方の方法でログインできますか。** * 企業では、ノード別に一部のユーザーは標準ログインに設定し、その他のユーザーはSSOを使用するように設定できます。 Keeper管理コンソールでロールポリシーを設定して、SSOユーザーがマスターパスワードを作成してオフラインでもログインできるようにすることもできます。 #### フェデレーションユーザーをローカルユーザーに変換する、つまり、SSOアクセスを無効にしてユーザーに標準ログイン (ユーザー名/マスターパスワード) させるにはどうすればよいですか。 * 管理コンソールで、ユーザーをSSO対応ノードからSSOのプロビジョニングが強制されていないノードに移動します。 * 移行後、ユーザーは 「パスワードをお忘れの場合 (Forgot Password)」 リンクをクリックしてアカウントの回復 (誤ったパスワードで標準ログイン) を実行する必要があります。Keeperアカウントに記載されたメールアドレスでアカウントの回復コードを受信します。コードを入力した後、ユーザーは、ボルトの作成プロセスの始めに設定した秘密の質問と回答の入力を求められます。これで、新しいマスターパスワードを作成できます。 #### **IdPでメールアドレスを変更してから、SSOで認証する場合、Keeperですべき作業は何ですか。** * IdPとKeeperの両方で、メールアドレスに基づいて同じユーザーであることを識別する必要があります。そのため、一方のメールアドレスを変更して、他方を変更しない場合、認証は機能しません。両者が協力して連携する必要があります。 * Keeper側では、ユーザーのみがメールアドレスを変更できます。(メールアドレスの変更を禁止するロールベースの強制がそのユーザーに適用されていないことを確認します)。 Keeperでメールアドレスを変更するには、`設定 (Settings) > 全般 (General) > メールアドレス (Email Address) - 今すぐリセット (Reset Now)`をクリックします。 * ユーザーはメールで変更の確認を求められます。 * ユーザーがメールアドレスを変更したら、SSO IdPのメールアドレスも変更されていることを確認します。 * アドレスの変更後、管理者はSSOコネクトサーバーで同期を実行する必要があります。 {% hint style="info" %} 複数のメールを同時に変更する必要がある場合は、サポートに連絡して変更を調整してください。 {% endhint %} {% hint style="danger" %} 2FAにDuoをご使用の場合は、メールを変更する前にユーザーに2FAを無効にしてもらってください。(そのアカウントで一時的に2FAを許可しないように、管理者によるロールの変更が必要になる場合があります)。これは、メールがKeeper以外で変更され、ボルトが古いメールに関連付けられたままだと、Duoのメールと一致しないおそれがあるためです。 {% endhint %} #### **Chrome、Firefox、デスクトップアプリケーションを使用して、KeeperにSSOでログインできますが、IEでは接続できません。それは、なぜでしょうか。** * IEには複数のセキュリティゾーンがあるため、ドメイン間のリダイレクト処理が困難です。IEをSSOと正常に連携させるには、セキュリティゾーンの設定が必要です。 これらのセキュリティゾーン設定は、管理者から配信するか、許可されている場合は手動で設定できます。 設定については、[信頼できるサイトポリシー](https://docs.keeper.io/enterprise-guide/deploying-keeper-to-end-users/ie11-trusted-sites)のセクションをご参照ください。 #### SSOコネクトをインストールすると、 (Can't reach this page)」というメッセージが表示されます。 * JREがインストール済みで、サーバーが再起動された場合、このエラーの原因は、IISのような競合サービスが8080ポートをリッスンしていることである可能性が非常に高いです。 競合を解消するには、必要でない場合はIISをアンインストールしてもよいですし、SSOコネクトが設定ページに使用するポートを変更してもよいです。 * SSOコネクトサービスを実行中の場合は停止します。 * 以下の場所にあるinstance.propertiesファイルを編集します。 ``` C:\ProgramData\Keeper SSO Connect\data\ ``` * admin\_portのポート番号を変更します (8081)。 * SSOコネクトサービスを再起動し、新たに定義したポート () で管理者ページを再度開きます。 #### Keeper SSOコネクトのログファイルはどこにありますか。 * Microsoftサーバーにインストールした場合、ログファイルはシステムの隠しディレクトリにあります。このディレクトリにアクセスするには、ファイルエクスプローラーに以下のパスを入力します。 ``` C:\ProgramData\Keeper SSO Connect\logs ``` * Linuxディストリビューションでは、ログは以下のsso\_connectフォルダにありますが、基本的なインストールパスによって異なります。 ``` /<基本パス(base_path)>/sso_connect/logs ``` #### SSOコネクトを最新バージョンにアップグレードする手順を教えてください。 * このドキュメントの 「[SSOコネクトをアップグレード](https://docs.keeper.io/sso-connect-on-prem/upgrading-sso-connect)」 をご参照ください。 #### ユーザーがKeeperからログアウトすると、すべてのSAML接続アプリケーションとIdPからもログアウトされます。 シングルログアウト (SLO) を無効にするには、IdPメタデータファイルを編集して、Keeper SSOコネクトサーバーに入力されるメタデータにある以下の行を削除してください。\ \ \](https://your-sso\\_connect:8443/sso-connect/saml/slo"/>) ``` Keeper SSO Connect MIIEHTCCAwWgAwIBAgIUOL886JdcXafub9E19hjGwnXAqZkwDQYJKoZIhvcNAQELBQAwgZ0xCzAJ BgNVBAYTAlVTMREwDwYDVQQIDAhJbGxpbm9pczEQMA4GA1UEBwwHQ2hpY2FnbzEPMA0GA1UECgwG S2VlcGVyMQ4wDAYDVQQLDAVTYWxlczEXMBUGA1UEAwwONzQuMTIzLjIzMC4yMTIxLzAtBgkqhkiG 9w0BCQEWIGpwYWRpbGxhK2RlbW9Aa2VlcGVyc2VjdXJpdHkuY29tMB4XDTE5MDYwNjIzMTc1NFoX DTI5MDYwNTIzMTc1NFowgZ0xCzAJBgNVBAYTAlVTMREwDwYDVQQIDAhJbGxpbm9pczEQMA4GA1UE BwwHQ2hpY2FnbzEPMA0GA1UECgwGS2VlcGVyMQ4wDAYDVQQLDAVTYWxlczEXMBUGA1UEAwwONzQu MTIzLjIzMC4yMTIxLzAtBgkqhkiG9w0BCQEWIGpwYWRpbGxhK2RlbW9Aa2VlcGVyc2VjdXJpdHku Y29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAsI2mf2YO+cWOrJkF49JMt9ptQAlW /dGH3xJe5iXSkNSRbaHSy28yMq/5tQt0PijqiIMrNA2OAp08LKFlHdLxx+J9QS3TsJ02P2zlOOTR Io5D5vhdZp4Ncoq7bIorNelWwXuCYN4VCeGb2Wpv0t1vUXJt+RdqMtTo5mhDv0BBMaQPAqJHcMJy a3Ll6s97+/N8zpikwM8EK7DoN3PL9BpWBPaV7vGp/op8ZF2teH0jdbaVNzWZJFccI39OY7gw/Wt8 BAFdty00XEKgUrjOwN4rCZO1y2vrMvhF9rCXEqOQ1rCtIjf+PLiRf3JrGkZw9FwY4Q1Wvtx7sO3z /7DCHm6ZXQIDAQABo1MwUTAdBgNVHQ4EFgQU6rASWeedslRXXQ/pacXDogAg+lQwHwYDVR0jBBgw FoAU6rASWeedslRXXQ/pacXDogAg+lQwDwYDVR0TAQH/BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOC AQEAoZTerl+qGg8nmwgaKLpLeGxvSIxTSybAALjAymIs520U4imyuZqsPz9EKlWRWJI7e4z8kHFh PPyAYuxC/kVqKAg/GQ50KPZDdOd3jOuykpI4wgCvyB739/KOlGAbsQ7R5Ga0ttsFAJIoBkXAlf7e HaeZCpm31EFdP64AS4R4xjYJ5P/EtVYkpsJy5BnwhfGXza4x79NEn2+xc5fBze9bjC0NoYT5kJo4 ndKalRnY/S51yznQ7mPeYJ8lweJxnXfh5n/AVvr+07dUH7PeLy0ZlMPkVrE3vQJO9eZFlrNiW5w9 nnw2XVkoGfvYLuPcjHUpRA6Ib7zpBVuhMr9qDZyDaB== //REMOVE --> urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified ``` そして、SSOコネクトサーバーにファイルを再インポートします。 ### デスクトップアプリにログインすると、空白の白い画面またはエラーが表示されます

ポップアップ表示された空白またはエラーのメッセージ

SSOを使用してKeeperにログインしたときに、ダイアログに白い空白またはエラーメッセージが表示される場合は、Keeper SSOコネクトの設定で無効または自己署名のSSL証明書を使用した可能性があります。 Keeperデスクトップアプリケーションと一部のデバイスおよびウェブブラウザは自己署名証明書を受け付けないため、エラーが発生します。 適切な署名付きSSL証明書 (ワイルドカード証明書またはドメイン固有証明書) を使用するようにKeeper SSOコネクトのインスタンスを再設定してください。SSL証明書には、ChromeやSafariなどのブラウザで認識される、信頼できるパブリック認証局の署名が必要です。 ### SSOでログインしようとすると、ウェブボルトで分りにくいエラーが表示されます。 以下のようなエラーメッセージが表示される場合は、別のタブやウィンドウで管理者アカウントまたは別のユーザーアカウントを使いKeeperにログインしている可能性が高いです。 SSO環境をテストまたは設定している途中で、管理者としてもKeeperにもログインしている場合、混乱する可能性があります。 これらのエラーを回避するには、別のウェブブラウザ (Firefoxなど) を使用して、管理者としてKeeperにログインするか、またはKeeperデスクトップアプリをダウンロードし、そのアプリを使用して SSO環境を設定することをお勧めします。