G Suite(Google Workspace)の設定
Keeper SSO Connect On-PremをGoogleと連携するように設定して、シームレスで安全なSAML 2.0認証を実現する方法。
Google Workspaceとの完全なクラウドベースの統合については、Keeper SSO Connect Cloudをご参照ください
G Suiteは、Keeperとの以下の統合をサポートしています。
SAML 2.0を使用したSSO認証
SCIMを使用した自動プロビジョニング
SSO、SSO+SCIM、SSOを使用しないSCIMを設定できます。
G Suiteの設定
G Suite管理コンソールにアクセスするには、https://gsuite.google.comにログインします。
アプリ画面にアクセスします。
SAMLアプリをクリックします。
右下の(+)ボタンをクリックして、SAMLアプリを作成します。
Keeperアプリを設定
Keeperを検索して、アプリケーションを選択します。
IdP情報
**Google IdP情報(Google IdP Information)**画面で、IDPメタデータをダウンロードして、コンピュータに保存します(注意: これはKeeper SSO Connect画面にドラッグ&ドロップする必要があるファイルです)。
サービスプロバイダの詳細
サービスプロバイダの詳細画面には、入力フィールドがいくつかあります。 {ホスト名(host name)}と{ポート(port)}は、SSO Connectインスタンスで使用する予定の値に置き換えます。
ACS URL、エンティティID(Entity ID)を入力し、「署名付きレスポンス(Signed Response)」 を選択します。 たとえば、以下の設定では、sso2.lurey.comがホスト名、8443がポート番号です。
「署名付きレスポンス(Signed Response)」のチェックボックスもオンにする必要があります。
属性マッピング
属性マッピング(Attribute Mapping)画面で、下に表示されているとおりに3つのマッピングがあることを確認します。 下に表示されているように、名(First)、姓(Last)、メール(Email)の各フィールドを「ファーストネーム(First Name)」、「ラストネーム(Last Name)」、「プライマリメール(Primary Email)」に設定します。
カスタムアプリを選択した場合は、「新規マッピングを追加(Add New Mapping)」 をクリックして、次の3つのフィールドを作成する必要があります。名(First)、姓(Last)、メール(Email)。スペルは正確に入力する必要があります。
**完了(FINISH)**を選択して、G Suiteの設定は完了です。ただし、Keeper SSO ConnectでIDPデータをインポートする必要があることが通知されます。
SSO Connectを有効化
ユーザーに対して、Keeper SSO Connectを有効にするには、**詳細(more)**ボタンを選択して有効にします。
または、Keeper SAMLアプリをクリックしてサービスを編集し、アクセスできる特定のグループを設定できます。
G Suiteメタデータをインポート
Keeper SSO Connectアプリケーションの設定画面に戻り、メタデータファイルをKeeper SSO Connectの**SAMLメタデータ(SAML Metadata)**セクションにドラッグアンドドロップします。
**保存(Save)**を選択して、すべてのパラメータがG SuiteのSAML接続画面と一致することを確認します。
保存すると、SSL証明書とその他のパラメータは設定済みであると見なして、Keeper SSO Connectインスタンスが完全に動作可能とステータス(Status)画面に表示されるはずです。
Google G Suiteのシングルログアウト(SLO)設定に関する注意
現時点で、G Suiteはアプリケーションレベルで「シングルログアウト」に対応していません。 つまり、Keeperから明示的にログアウトしたユーザーは、他のGoogleサービスからもログアウトされることを意味します。 シングルログアウト(SLO)は、多くのIDプロバイダで提供されている機能で、特定のアプリケーションからユーザーをログアウトさせます。 残念ながら、Googleはまだこの機能に対応していません。
すべてのSAMLアプリからの完全なSAMLログアウトを防止したい場合は、前の手順でIDPタイプを**デフォルト(Default)**に変更する必要があります。Googleには設定しないでください。Googleに設定すると、SAMLログアウト時にGmailおよびその他すべてのGoogleアプリからログアウトしてしまいます。
Keeperの「ログアウト(Logout)」をクリックしてもGoogleからログアウトしないようにしたい場合は、SSO Connectの設定を変更して、ドロップダウンでGoogleではなく「デフォルト(Default)」プロバイダを選択するだけです。 ただし、セキュリティ面の影響に注意する必要があります。
Keeperのセッションはログアウトされますが、ブラウザのGoogleセッションがアクティブな間は、ボルトに再度ログインしても、Googleのログインクレデンシャルの再入力は求められません。
ユーザーの観点からは、流れが中断しにくいため、使い勝手がよくなります。
セキュリティの観点からは、Googleアカウントがユーザーのブラウザ上のKeeperボルトのセッション処理を制御していることにご注意ください。
SSOの設定が完了しました。
これでKeeper SSO ConnectとG Suiteの設定は完了です。 以下の手順に従い、Googleアカウントを使用してKeeperにログインできるようになりました。
Keeperボルトを開き、「Enterprise SSOログイン(Enterprise SSO Login)」をクリックします。
SSOの設定時にKeeper管理コンソールに指定した企業ドメインを入力します。 SSO Connectのステータス画面では 「SSO Connectドメイン(SSO Connect Domain)」 という名前になっています。
「接続(Connect)」 をクリックし、G Suiteのクレデンシャルでログインします。
エンドユーザーの操作手順(Keeperが起点となるログインフロー)については、以下のガイドをご参照ください。 https://docs.keeper.io/user-guides/enterprise-end-user-setup-sso#keeper-initiated-login-flow
SSOユーザー用のエンドユーザー向けビデオツアーはこちらです。 https://vimeo.com/329680541\
次に、SCIMを使用してユーザープロビジョニングを設定する方法をご紹介します。
SCIMを使用したユーザープロビジョニング
ユーザープロビジョニングには、ライフサイクル管理のための機能がいくつか用意されています。
G Suiteに追加された新規ユーザーには、Keeperボルトを設定するための招待メールが送信されます。
ユーザーは、ユーザーまたはチーム単位でKeeperに割り当てることができます。
ユーザーがプロビジョニング解除されると、Keeperアカウントは自動的にロックされます。
注意:Googleは、Keeperチームに対するグループプロビジョニングをサポートしていません。 この機能が実装されれば、G SuiteとKeeper間で同期されているチームにKeeperユーザーを配置できるようになります。
Keeper管理コンソールから、G Suiteノードのプロビジョニング(Provisioning)タブに移動し、メソッドを追加(Add Method)をクリックします。
SCIMを選択し、次へ(Next)をクリックします。
「プロビジョニングトークンを作成(Create Provisioning Token)」をクリックします。
次の画面に表示されるURLとトークンは、G Suite管理コンソールでGoogleに送信されます。 URLとトークンを一時的にどこかのファイルに保存して、保存(Save)をクリックします。
これら2つのパラメータ(URLとトークン)を必ず保存してから、保存(Save)をクリックしてください。そうしないと、プロビジョニングが失敗します。
G Suite管理コンソールに戻り、ホーム(Home) > アプリ(Apps) > SAMLアプリ(SAML Apps)に移動して、設定したKeeperアプリの「プロビジョニング可能(Provisioning Available)」というテキストをクリックします。
**ユーザープロビジョニングを設定(Set Up User Provisioning)**をクリックします。
上記で保存したプロビジョニングトークンを次の画面に貼り付けて、**次へ(Next)**をクリックします。
上記で保存したURLをエンドポイントURLフィールドに貼り付けて、**次へ(Next)**をクリックします。
マップ属性(Map attributes)はデフォルト設定のままにして、次へ(Next)をクリックします。
Keeperを特定のグループに割り当てたい場合は、次の画面でプロビジョニングスコープを設定できます。 SSOをご使用の場合は、プロビジョニングアクセス権を持つグループにKeeper SSOアクセス権も割り当てるようにしてください。 完了したら、完了(Finish)をクリックします。
以下のエラーメッセージは無視してください。これはGoogleのバグです。
次に、プロビジョニングを有効化できます。
「プロビジョニングを有効化(Activate Provisioning)」をクリックしてオンにする必要がある場合があります。
ユーザープロビジョニング(User Provisioning)の表示が**オン(ON)**になります。
ユーザープロビジョニングの設定が完了しました。 今後、G SuiteでKeeperを使用するよう設定され、プロビジョニングスコープの定義に含まれる新規ユーザーは、Keeperへの招待状を受け取り、G Suiteで管理されます。
SSOを使用しないユーザープロビジョニング
G Suite SCIMプロビジョニングを使用して、ユーザーをKeeperにプロビジョニングしたいが、SSOを使用してユーザーを認証したく「ない」場合は、以下の手順に従ってください。
このガイドを使用し、SSO設定の手順に従って、管理するドメイン名を指すSSO urlとエンティティIDを使用しますが、実際には実行中のSSO Connectインスタンスではありません(例: null.mycompany.com)。
G SuiteでKeeperアプリケーションを設定したら、このドキュメントに記載された自動プロビジョニングメソッドをオンにします。
Google証明書の更新
SAMLアサーションに署名するためのGoogleのIdP x.509証明書は、5年後に失効するように設定されています。Google Workspaceの証明書を管理(Manage Certificates)セクションで、有効期限をメモし、今後のカレンダーにアラートを設定してサービスが停止しないようにしておく必要があります。
証明書の有効期限が近い場合、または証明書が失効してしまった場合は、以下の手順に従ってください。
Google Workspace管理コンソール(https://admin.Google.com)にログインします
アプリ(Apps)をクリックし、ウェブアプリとモバイルアプリ(Web and Mobile Apps)を選択します
Keeperアプリを選択します
サービスプロバイダを展開します
「証明書を管理(Manage Certificates)」をクリックします
「証明書を追加(ADD CERTIFICATE)」をクリックします
「メタデータをダウンロード(DOWNLOAD METADATA)」をクリックします
メタデータファイルを保存します。 これがIdPのメタデータです。
Keeper管理コンソールにログインします
管理者(Admin) > SSOノード(SSO Node) > プロビジョニング(Provisioning) > SSOクラウドプロビジョニングメソッドを編集(Edit SSO Cloud provisioning method)に移動します
Google IdPメタデータをKeeperにアップロードします
このトピックの詳細は、以下のGoogleサポートページをご参照ください。
Last updated