# AWS SSOの設定

{% hint style="info" %}
AWSとの完全なクラウドベースの統合については、[KeeperクラウドSSOコネクト](https://app.gitbook.com/o/-LO5CAzoigGmCWBUbw9z/s/-Mfd2v-YT48Ljtykb8qm/)をご参照ください
{% endhint %}

### AWS SSO

AWSにログインし、AWSシングルサインオン (AWS Single Sign-On) を選択します。

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2FgxL4DMfiYGSuCxvtWqe7%2Fimage.png?alt=media&#x26;token=19fca43c-09b7-4c54-93d3-de316045bc59" alt=""><figcaption></figcaption></figure>

SSOダッシュボードで、クラウドアプリケーションへのSSOアクセスを設定する (Configure SSO access to your cloud applications) を選択します。

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2FqFeb1NNXogfSShisprSc%2Fimage.png?alt=media&#x26;token=c67d2329-c8c7-45ae-9a01-c3335f98f222" alt=""><figcaption></figcaption></figure>

アプリケーション (Applications) メニューで、**新しいアプリケーションを追加 (Add a new application)** を選択します。

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2FZWXxv6I2oELNgs353Krj%2Fimage.png?alt=media&#x26;token=1bb5651a-849b-4045-ac1c-3544ceca85f3" alt=""><figcaption></figcaption></figure>

次に、**Keeper Security**を選択し、**追加 (Add)** を選択します。

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2F5DM9o0YibnOkaQsYOJcZ%2Fimage.png?alt=media&#x26;token=7fc3dfd9-d2a8-4c8f-82b0-bf883fef0ceb" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
**Keeperは、AWSとアプリケーションコネクタを共同開発しています。**
{% endhint %}

アプリケーションの詳細セクションで表示名と説明 (任意) を入力します。

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2F9RQaKtoF5hg5Mo3qPtIQ%2Fimage.png?alt=media&#x26;token=b58b7081-8a03-4a81-b550-10a8a5925cf5" alt=""><figcaption></figcaption></figure>

AWS SSOメタデータセクションで、ダウンロード (Download) ボタンを選択して、AWS SSO SAMLメタデータファイルをエクスポートします。このファイルは、設定画面のSSOコネクトIdPメタデータ (SSO Connect IdP Metadata) セクションでインポートします。

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2FLI3UcN4ZQytPbGesKJH6%2Fimage.png?alt=media&#x26;token=5265bcd6-9b20-4e03-b20a-ae74be8f0afd" alt=""><figcaption></figcaption></figure>

このファイルをKeeper SSOコネクトサーバーにコピーし、ファイルを以下の設定 (Configuration) 画面にドラッグアンドドロップして、Keeper SSOコネクトインターフェースにアップロードします。\
\
**保存 (Save)** を選択します。

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2FoR7rqNrqh1NWp10xnfDW%2Fimage.png?alt=media&#x26;token=c3f10796-3048-488b-9d8f-d5fbdbdc6ace" alt=""><figcaption></figcaption></figure>

Keeper SSOコネクトサーバーに関する残りの手順は、Keeper sso\_connect.xmlメタデータファイルをダウンロードして、AWSアプリケーションにアップロードすることです。\
\
Keeper SSOコネクトで**メタデータをエクスポート (Export Metadata)** を選択します。

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2FUOMZsyJrWDA7VnuJiIon%2Fimage.png?alt=media&#x26;token=4d7571c3-4132-4df5-a05f-08203f42c80c" alt=""><figcaption></figcaption></figure>

sso\_connect.xmlファイルをアプリケーション設定画面のアプリケーションメタデータセクションにインポートします。

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2FKjIBnzpqB03USQUdG2Hb%2Fimage.png?alt=media&#x26;token=3e2d9eb9-6f29-4279-aba4-7894dc491a8d" alt=""><figcaption></figcaption></figure>

変更を保存すると、**Keeperパスワードマネージャの設定が保存されました (Configuration for Keeper Password Manager has been saved)** という成功メッセージが表示されます。

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2FPaQcBYQH12nFV1Al54Dt%2Fimage.png?alt=media&#x26;token=78966a62-410b-43c6-a93f-119f9c420f48" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
**Keeper SSL証明書は、2048Kを超えることはできません。超えると、以下のエラーが表示されます。**
{% endhint %}

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2FUnZ5vRxDtrznsVI3c3Ru%2Fimage.png?alt=media&#x26;token=febd045c-7b43-4071-af8c-1b7c760d6684" alt=""><figcaption></figcaption></figure>

* より小さいSSL証明書を生成するか、メタデータファイルを再エクスポートしてインポートするか、またはAWS SSOアプリケーションの設定でACS URLとAudience URLを手動で設定してください。

次に、AWS SSOにマッピングするKeeperアプリケーションの属性が正しいことを確認します (これらはデフォルトで設定されているはずです）。属性マッピング (Attribute mappings) タブを選択します。\
\
AWSの文字列値を${user:subject}に、形式を空白または未指定にします。\
\
Keeper属性を以下のように設定します。

| Keeper属性    | AWS SSO文字列値        | 形式                |
| ----------- | ------------------ | ----------------- |
| メール (Email) | ${user:email}      | 未指定 (unspecified) |
| 名 (First)   | ${user:givenName}  | 未指定 (unspecified) |
| 姓 (Last)    | ${user:familyName} | 未指定 (unspecified) |

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2FdRfH60eWYSMWhJliIZ2q%2Fimage.png?alt=media&#x26;token=73c6f395-2f96-46f4-b2ab-c6fa1e796c35" alt=""><figcaption></figcaption></figure>

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2F5g7ZCLhWgUP0RLXVKBN0%2Fimage.png?alt=media&#x26;token=3c033b00-78ba-447e-9e15-a3cb249293ee" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
**AWSのメールがAD UPNにマッピングされている場合 (ユーザーの実際のメールアドレスではない可能性があります）、ユーザーのADプロファイルに関連付けられているメールアドレスに再マッピングできます。**
{% endhint %}

この変更を行うには、AWS SSOページの**接続されたディレクトリ (Connected Directory)** に移動します。

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2FctvnbDlpXIxHVeIiOr7m%2Fimage.png?alt=media&#x26;token=a5e39e8b-4c0d-400a-b3a7-3282d0c11700" alt=""><figcaption></figcaption></figure>

**属性マッピングを編集 (Edit attribute mappings)** ボタンを選択します。

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2FI2tLNrsXNe0R4pZ03GY1%2Fimage.png?alt=media&#x26;token=b906d32c-4955-4f10-a4b6-5068d6a99d18" alt=""><figcaption></figcaption></figure>

AWS SSOの**メール (email)** 属性を${dir:windowsUpn}から${dir:email}に変更します。

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2Fv6k6A4XQiLOJtawCUZoV%2Fimage.png?alt=media&#x26;token=c72e9177-f1de-4572-8793-96c3d4fa9527" alt=""><figcaption></figcaption></figure>

**割り当てられたユーザー (Assigned users)** タブを選択してから、**ユーザーを割り当て (Assign users)** ボタンをクリックして、アプリケーションを割り当てるユーザーまたはグループを選択します。

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2FsUEwnQ2yn3kfBdDipTLf%2Fimage.png?alt=media&#x26;token=eaa0b4eb-68e5-4eed-b568-10a07e900e40" alt=""><figcaption></figcaption></figure>

ユーザーを割り当て (Assign Users) ウィンドウで、以下の操作を行います。

* グループまたはユーザーを選択
* グループまたはユーザーの名前を入力
* **接続されたディレクトリを検索 (Search connected directory)** を選択して、検索を開始します。

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2FWpe93r2Bfi4ClGesB6Pj%2Fimage.png?alt=media&#x26;token=f776afbe-f4a3-4da8-ace3-01ef72ba71f4" alt=""><figcaption></figcaption></figure>

ディレクトリ検索の結果は、検索ウィンドウの下に表示されます。

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2FHVucD6aS9FQ6txTDUy0i%2Fimage.png?alt=media&#x26;token=7e801a89-9197-4425-9867-74bc72241096" alt=""><figcaption></figcaption></figure>

アプリケーションにアクセスする必要のあるユーザー/グループを選択し、**ユーザーを割り当て (Assign users)** ボタンを選択します。

<figure><img src="https://2257682436-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FpnnyqlSSLL0TJdycg6le%2Fuploads%2Fo6Hf7mzyIMzqVrUNoJI6%2Fimage.png?alt=media&#x26;token=ac839456-9637-401d-a812-31e03b3046a5" alt=""><figcaption></figcaption></figure>

**Keeper SSOコネクトは、SAMLレスポンスが署名されていることを想定しています。 IDプロバイダがSAMLレスポンスに署名するように設定されていることをご確認ください。**

これでKeeper SSOコネクトの設定は完了です。