管理コンソールの設定

ノード構造

Keeper管理者としてKeeper管理コンソールにログインします。

米国データセンター https://keepersecurity.com/console

米国公共部門/ GovCloud https://govcloud.keepersecurity.us/console

EUデータセンター https://keepersecurity.eu/console AUデータセンター https://keepersecurity.com.au/console CAデータセンター https://keepersecurity.ca/console

日本データセンター https://keepersecurity.jp/console

SSO統合は、管理コンソール内のルートノード以外の特定のノード (組織単位など) に適用されます。SSOプロビジョニングはルートノードに追加できないため、SSO認証をサポートするには新しいノードを追加する必要があります。

左側のメニューから[管理者]タブをクリックします。 デフォルトでは、メニューの右側にノード構造が表示されます。

SSO用のノードを追加

ルートノード (組織名が表示されている最上位ノード) の3つの点をクリックし、[ノードを追加]ボタンを選択して、Keeper SSOコネクトとIDプロバイダとの統合をホストするノードを新規作成します。 ノードはツリー構造内の任意の場所に配置できます。

複数のIDプロバイダを利用する組織は、それぞれを異なるノードに関連付けることができます。 たとえば、一部のユーザーはAzureで認証し、別のユーザーグループはOktaで認証する場合、各IDプロバイダを異なるノードで有効にできます。 ユーザーを1つのIDプロバイダにのみ関連付けることもできます。

SSO接続を追加

ノードの[プロビジョニング]タブを選択します。

次に、[+ メソッドを追加]を選択して、新しい接続を作成します。

「法人ドメイン」と「新規ユーザープロビジョニング」の2つのパラメータを設定します。

法人ドメイン

各SSO接続は、任意の法人ドメイン名を使用して識別する必要があります。法人ドメイン名は、ユーザーが覚えやすいもの (my_companyなど) にしておきます。新しいデバイスに初めてログインする際に、モバイル端末やアプリ (iOS、Android、Mac、Windows) に法人ドメイン名を入力する場合があるためです。

ジャストインタイム (JIT) プロビジョニング

SSOで初めて認証する際にKeeperビジネス用アカウントにユーザーを動的にプロビジョニングするようにできます (ジャストインタイムプロビジョニング)。この機能によりユーザー体験が向上しますので、ご利用をお勧めします。また、管理コンソールの[ユーザー]タブから手動でユーザーを招待したり、Keeperブリッジを使用してユーザーを招待したりすることもできます。

法人ドメインと新規ユーザーのプロビジョニングを設定した後、[保存]を選択します。

これで、Keeper SSOコネクトアプリケーションを設定できるようになりました。

アクセス制御

KeeperにSSOコネクトを通じて認証を行うユーザーは、設定されたFQDNとポートを介して、SSOコネクトインスタンスと通信できる必要があります。以下のセキュリティ対策を推奨します。

• ロール強制適用設定のKeeperのIPホワイトリスト機能を利用して、ボルトへのアクセスを承認されたネットワークに制限します。[ロール] > [強制ポリシー] > [IPのホワイトリスト]で設定できます。

• 信頼できるネットワークに対する、ファイアウォールとアクセスのポリシーをSSOコネクトインスタンスに適用します。