トラブルシューティングとよくある質問
よくある質問に回答し、エラーを解決するための資料。
インストール中に、SSO Connectサービスが異常停止して起動しません。
互換性のあるJavaバージョンがインストールされていることをご確認ください。 対応するJavaバージョンについては、システム要件ページをご参照ください。 互換バージョンをインストールする前に、既存のすべてのJavaインストールプログラムのアンインストールが必要になる場合があることにご注意ください。
SSO Connectの設定を変更して、SSL証明書またはIdPメタデータを更新するにはどうすればよいですか。
このガイドのSSO Connect設定を更新ページで説明されている手順に従ってください。
ADFSを使用していますが、SSO Connectが停止しています。
ADFSの署名証明書の有効期限は、通常1年間のみです。 ADFSは、最新の証明書に自動的にローテーションする場合があります。 これにより、Keeper SSO ConnectとADFS間の信頼関係が崩れます。 動作を保証するために、新しいFederationMetadata.xmlファイルを生成し、Keeper SSO Connectにアップロードする必要があります (こちらをご参照ください)。 この手順を実行して動作を維持できるように、証明書が失効する前にリマインダーを設定することを強くお勧めします。
IdPとしてADFSを使用していますが、ユーザーがKeeperを終了するとログアウトエラーが表示されます。
ログアウトエラーを防ぐには、SAMLログアウトエンドポイントURLを変更してください。
ADFSマネージャサーバーで、Keeper SSO Connectの**証明書利用者信頼(Relying Party Trusts)**プロパティに移動します。
エンドポイント(Endpoints)タブで、SAMLログアウトエンドポイントを編集し、URLを以下のように設定します。 https://<ご利用のADFSサーバーのドメイン名(YourADFSserverDomain)>/adfs/ls/?wa=wsignout1.0
別のページ(https://keepersecurity.com/vaultなど)にリダイレクトしたい場合は、異なるURLを設定できますが、ADFSサイトであれば、ログオフしたことをユーザーに通知してくれるのでお勧めです。
SSO Connectサーバーでは、どのような情報を保護する必要がありますか。
SSO Connectの起動時に 「data」 フォルダが作成されます。 このdataフォルダは、WindowsではC:\ProgramData\Keeper SSO Connect\
に、Linuxではインストールフォルダにあります。
dataディレクトリ内には複数のファイルがあります。このdataフォルダへのアクセスが制限されていることが重要です。本書の説明にあるHSM(ハードウェアセキュリティモジュール)を利用することで、セキュリティをもう1層追加できます。HSMが使用可能な場合、SSO Connectのインスタンスごとに暗号鍵が生成され、HSMに安全に保存されます。暗号鍵は、data/
フォルダ内のプロパティファイルの暗号化に使用されます。
ユーザーをサインイン画面に直接リンクするにはどうすればよいですか。
WebボルトのSSOログイン画面に直接アクセスできるハイパーリンクを送信したい場合は、以下の形式をご使用ください。
_xxxxx_は、管理コンソールで割り当てられた企業ドメインの名前に置き換えます。
EUリージョンでホストされている場合は、keepersecurity.euをご使用ください。
AUリージョンでホストされている場合は、keepersecurity.com.auをご使用ください。
US GOVリージョンでホストされている場合は、govcloud.keepersecurity.usをご使用ください。
IPの設定を求めるのではなく、SSOサービスをすべてのインターフェースに単にバインドしてはどうでしょうか。
IPを設定するのは、マルチホームサーバーをご利用のお客様の中に、様々な理由からすべてのインターフェースにバインドしたくないと考えるお客様がいるためです。
内部IPが必須であるならば、なぜSSO Connectでは空白のままでよいのですか。
内部IPは必須ではありません。ホスト名をDNSで同じ外部IP、さらにはイントラネット用の内部IPにも解決できる場合は、空白のままにしておいても構いません。SSOを社内で厳重に運用するお客様の場合、FQDNを内部IPに解決しています。そのため、内部IPフィールドは空白のままでも構いません。これは、お客様の設定によります。
HA SSO Connectサーバーを設定するとき、またはクラウド同期でSSO Connectサーバーの設定を復元するときに、プライベートIPアドレスを求められません。
これは設計によるものです。 プライベートIPは、SSO Connectのローカルインスタンスに固有のものです。 「サーバー1」のプライベートIPが同期され、「サーバー2」が認証されて、SSO Connect Configを同期するとすれば、「サーバー2」は、「サーバー1」のIPを間違って使用することになるでしょう。 このため、1番目の(その他の)SSO ConnectサーバーのプライベートIPは保持されません。
プライベートIPアドレスが必要なのに設定されていない場合、SSO Connectサービスは 「停止(Stopped)」 状態になります。
ユーザーがSSOを使用して認証すると、** 「無効なSAMLレスポンス(invalid SAML response)」 **というエラーが表示されます。
IdPでもKeeper SSO Connect内でも何も変更されていない場合、最も可能性の高い原因は、SSO Connectの時計が変更され、システム時刻が2分以上ずれていることです。 旧バージョンのSSO Connectでは、時刻がずれると、このメッセージを表示しますが、最新バージョンのSSO Connectでは次の詳細なエラーが表示されます。 「SAML検証エラー(SAML Validation error):システム時刻が2分以上ずれています(System time is off by > 2 min)」。 SSO Connectサーバーの時計はNTPと同期させることをお勧めします。 このエラーに関して考えられるもう1つの原因は、IdPからのメタデータがSSO Connect上のデータと異なる場合です。この場合、SAML証明書が同期されず、信頼されない状態になります。
SSOユーザー以外はマスターパスワードを変更できないのはなぜですか。
ノードでSSO Connectが有効になっている場合、そのノードおよびサブノードのすべてのユーザーに、マスターパスワードの変更禁止が強制されます。この目的は、SSOユーザーがIdPによる認証を回避するのを防ぐためです。
ユーザーがSSOログインに移行した後、マスターパスワードの変更を希望する場合は、SSO強制が適用されないノードに移動させる必要があります。
マスターパスワードをSSO認証と組み合わせて使用したい場合は、Enterpriseガイドのボルトへオフラインアクセスの手順をご参照ください。
ユーザーを招待したのですが、SSO Connectでボルトを作成できないのはなぜでしょうか。
初めてログインする際は、Webまたは
デスクトップアプリケーションのいずれかでオンボーディングプロセスを実行する必要があります。 ブラウザ拡張機能で新しいユーザーのオンボーディング処理はできませんが、
既存のユーザーの認証は可能になります。
新規ユーザーが初めて接続しようとすると、以下のようなエラーが表示されます: {“result_code”: ”does_not_exist”, ”message”: ”This user does not exist”}
このエラーには2つの原因が考えられます。招待されたユーザーが管理コンソール内のSSO対応ノードに存在していないか、またはIdPのメールアドレスが招待されたユーザーのメールアドレスと一致していません。 最初の問題に関しては、ユーザーをSSO対応ノードに移動して、再試行してもらいます。 2番目の問題に関しては、SSOアカウントのメールアドレスが招待されたユーザーと同じであることをご確認ください。異なる場合は、IdPから取得したメールアドレスで新しいアカウントが作成されます。
Linuxで/tmpに書き込むとエラーが表示されます。どうすれば解決できますか。
Linuxシステムでは、
/tmp
に実行権限が必要です。/tmp
に実行権限がない場合、java -jar SSOConnect.jar
を実行すると、次のような例外が表示される場合があります:
java.lang.UnsatisfiedLinkError: /tmp/sqlite...
この問題を解決するには、
chmod a+x /tmp
コマンドを使用して、/tmp
に実行権限を付与してください。
SSOと標準の両方の方法でログインできますか。
企業では、ノード別に一部のユーザーは標準ログインに設定し、その他のユーザーはSSOを使用するように設定できます。 Keeper管理コンソールでロールポリシーを設定して、SSOユーザーがマスターパスワードを作成してオフラインでもログインできるようにすることもできます。
フェデレーションユーザーをローカルユーザーに変換する、つまり、SSOアクセスを無効にしてユーザーに標準ログイン(ユーザー名/マスターパスワード)させるにはどうすればよいですか。
管理コンソールで、ユーザーをSSO対応ノードからSSOのプロビジョニングが強制されていないノードに移動します。
移行後、ユーザーは 「パスワードをお忘れの場合(Forgot Password)」 リンクをクリックしてアカウントの回復(誤ったパスワードで標準ログイン)を実行する必要があります。Keeperアカウントに記載されたメールアドレスでアカウントの回復コードを受信します。コードを入力した後、ユーザーは、ボルトの作成プロセスの始めに設定した秘密の質問と回答の入力を求められます。これで、新しいマスターパスワードを作成できます。
IdPでメールアドレスを変更してから、SSOで認証する場合、Keeperですべき作業は何ですか。
IdPとKeeperの両方で、メールアドレスに基づいて同じユーザーであることを識別する必要があります。そのため、一方のメールアドレスを変更して、他方を変更しない場合、認証は機能しません。両者が協力して連携する必要があります。
Keeper側では、ユーザーのみがメールアドレスを変更できます。(メールアドレスの変更を禁止するロールベースの強制がそのユーザーに適用されていないことを確認します)。 Keeperでメールアドレスを変更するには、
設定(Settings) > 全般(General) > メールアドレス(Email Address) - 今すぐリセット(Reset Now)
をクリックします。ユーザーはメールで変更の確認を求められます。
ユーザーがメールアドレスを変更したら、SSO IdPのメールアドレスも変更されていることを確認します。
アドレスの変更後、管理者はSSO Connectサーバーで同期を実行する必要があります。
複数のメールを同時に変更する必要がある場合は、サポートに連絡して変更を調整してください。
2FAにDuoをご使用の場合は、メールを変更する前にユーザーに2FAを無効にしてもらってください。(そのアカウントで一時的に2FAを許可しないように、管理者によるロールの変更が必要になる場合があります)。 これは、メールがKeeper以外で変更され、ボルトが古いメールに関連付けられたままだと、Duoのメールと一致しないおそれがあるためです。
Chrome、Firefox、デスクトップアプリケーションを使用して、KeeperにSSOでログインできますが、IEでは接続できません。それは、なぜでしょうか。
IEには複数のセキュリティゾーンがあるため、ドメイン間のリダイレクト処理が困難です。IEをSSOと正常に連携させるには、セキュリティゾーンの設定が必要です。 これらのセキュリティゾーン設定は、管理者から配信するか、許可されている場合は手動で設定できます。 設定については、信頼できるサイトポリシーの節をご参照ください。
SSO Connectをインストールすると、http://127.0.0.1:8080/config/の設定ページに 「このページに到達できません(Can't reach this page)」 というメッセージが表示されます。
JREがインストール済みで、サーバーが再起動された場合、このエラーの原因は、IISのような競合サービスが8080ポートをリッスンしていることである可能性が非常に高いです。 競合を解消するには、必要でない場合はIISをアンインストールしてもよいですし、SSO Connectが設定ページに使用するポートを変更してもよいです。
SSO Connectサービスを実行中の場合は停止します。
以下の場所にあるinstance.propertiesファイルを編集します。
admin_portのポート番号を変更します(8081)。
SSO Connectサービスを再起動し、新たに定義したポート(http://127.0.0.1:8081/config/)で管理者ページを再度開きます。
Keeper SSO Connectのログファイルはどこにありますか。
Microsoftサーバーにインストールした場合、ログファイルはシステムの隠しディレクトリにあります。このディレクトリにアクセスするには、ファイルエクスプローラーに以下のパスを入力します。
Linuxディストリビューションでは、ログは以下のsso_connectフォルダにありますが、基本的なインストールパスによって異なります。
SSO Connectを最新バージョンにアップグレードする手順を教えてください。
このドキュメントの 「SSO Connectをアップグレード」 をご参照ください。
ユーザーがKeeperからログアウトすると、すべてのSAML接続アプリケーションとIdPからもログアウトされます。
シングルログアウト(SLO)を無効にするには、IdPメタデータファイルを編集して、Keeper SSO Connectサーバーに入力されるメタデータにある以下の行を削除してください。 <md:SingleLogoutServiceBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-sso_connect:8443/sso-connect/saml/slo"/>
そして、SSO Connectサーバーにファイルを再インポートします。
デスクトップアプリにログインすると、空白の白い画面またはエラーが表示されます
SSOを使用してKeeperにログインしたときに、ダイアログに白い空白またはエラーメッセージが表示される場合は、Keeper SSO Connectの設定で無効または自己署名のSSL証明書を使用した可能性があります。
Keeper Desktopアプリケーションと一部のデバイスおよびウェブブラウザは自己署名証明書を受け付けないため、エラーが発生します。 適切な署名付きSSL証明書(ワイルドカード証明書またはドメイン固有証明書)を使用するようにKeeper SSO Connectのインスタンスを再設定してください。 SSL証明書には、ChromeやSafariなどのブラウザで認識される、信頼できるパブリック認証局の署名が必要です。
SSOでログインしようとすると、Webボルトで分りにくいエラーが表示されます。
以下のようなエラーメッセージが表示される場合は、別のタブやウィンドウで管理者アカウントまたは別のユーザーアカウントを使いKeeperにログインしている可能性が高いです。 SSO環境をテストまたは設定している途中で、管理者としてもKeeperにもログインしている場合、混乱する可能性があります。
これらのエラーを回避するには、別のウェブブラウザ(Firefoxなど)を使用して、管理者としてKeeperにログインするか、またはKeeper Desktopアプリをダウンロードし、そのアプリを使用して SSO環境を設定することをお勧めします。
Last updated