KeeperオンプレミスSSOコネクト

インストール - Windows

Windowsサーバー環境でのKeeper SSOコネクトのインストールと設定

Javaランタイム

システム要件ページに記載のとおり、Keeper SSOコネクトを実行するにはJavaランタイムが必要となります。管理者がインストールするか、任意でKeeperインストーラに含めることもできます。互換性のあるバージョンのJavaランタイムをインストールするようにしてください。

SSL証明書

Keeper SSOコネクトには、公的証明局によって署名された有効な署名済みSSL証明書が必要となります。自己署名証明書はテストには使用できますが、ほとんどのクライアントアプリケーションへの接続には失敗します。

ウェブホスティング会社からSSL証明書を取得するか、ZeroSSLなどの無償オプションのいずれかを利用します。OpenSSL を使用することで手順をより詳細にコントロールすることもできます。

Windows用OpenSSL - https://slproweb.com/products/Win32OpenSSL.html

最新の「Win32 OpenSSL Light」バージョンを使用します。

SSOコネクトをダウンロード

ダウンロードリンクを取得するには、Keeper管理コンソールのプロビジョニング (SSOノード内)  で、「SSO Connect On-Prem」のメソッドを追加します。

プロビジョニングを追加後、Keeper SSOコネクトをダウンロードするためのボタンが表示されます。

ダウンロードしたファイルをSSOコネクトサーバーにコピーします。

メタデータファイルとSSL証明書をダウンロード

SSOコネクトをインストールするには、エンドポイントで使用するSSL証明書ファイルを作成する必要があります。 SSL証明書を生成して、SSL証明書ファイル (.pfx.p12.jks) とIDプロバイダのSAML XMLメタデータファイルをサーバーにダウンロードします。

インストール (Windows)

Keeper SSOコネクトインストーラーファイルを解凍します。

管理者としてKeeperSSOコネクトを実行します。

新しいデスクトップアイコン「Keeper SSO Connect」をクリックすると、設定用のブラウザが起動します (初期設定には、Google Chromeの使用をお勧めします)。

Keeper SSOコネクトサービスへの接続中にエラーが発生した場合は、サーバーを再起動します。また、ウェブブラウザがポート443でkeepersecurity.comに接続できることを確認します。Keeper SSOコネクトでは、SSLパケットインスペクションを実行するプロキシサーバーもファイアウォールも使用できません。

SSOコネクトウェブUIの設定

Keeper管理者マスターパスワードアカウントでSSOコネクトウェブUIにログインします。http://127.0.0.1:8080/configに移動するかKeeper SSOコネクトデスクトップアイコンを使用しします。

SSOコネクトウェブUIに正常にログインするには、以下の要件を満たすKeeper管理者アカウントを使用する必要があります。

  1. マスターパスワード認証アカウントであること

  2. SSOプロビジョニングノード内に存在していない

  3. ノードに対するブリッジ/SSOの管理権限を持つ管理ロールに属している

ポップアップが表示されたら二要素認証コードを入力します。

SSO接続 (法人ドメイン) を選択します。

管理コンソールへのKeeper SSOコネクトの認証が成功すると、ステータスタブが表示されます。

左のメニューから[Configuration] (環境設定)を選択して、設定を開始します。

アドバタイズされたホスト名またはIPアドレスを入力します。このアドレスは、KeeperクライアントアプリケーションがSSO認証プロセスを開始するためにアクセスするアドレスです。HA (High Availability) 構成でKeeper SSOコネクトをインストールする場合、これはロードバランサーを指すアドレスです。このアドレスは、IPアドレスでもホスト名でも構いません。

Bound IP Address (バインドされたIPアドレス) とは、サーバーのNICの物理IPアドレスです。ホスト名を使用せず、サーバーに関連付けられたアドレスが1つしかない場合、このエントリーは「Hostname or IP Address」フィールドと同じになります。

上記の例では、「sso-1.test-keeper.com」がローカルアドレス10.1.0.4にルーティングされるアドバタイズされたホスト名です。Keeper SSOコネクトサービスは、プライベートIPアドレスにバインドされます。

IP/ホスト名は、Keeperにアクセスするユーザーがアクセスできる必要があります。IPアドレスとポートを使用したアクセスを許可するには、ファイアウォールの更新が必要になる場合があります。

SSOコネクトSSL鍵と証明書

Keeper SSOコネクトサービスにはSSL証明書が必要です。 認証局 (CA) の署名のある適切なSSL証明書のご使用をお勧めします。SSL証明書には、SSOコネクトサーバー (ホスト名またはIPアドレス) 専用に生成された証明書や、ご利用のドメイン (*.yourcompany.com) に一致するワイルドカード証明書があります。

自己署名証明書を使用すると、ほとんどのブラウザやモバイルデバイスでセキュリティエラーが発生します。

証明書のファイルタイプは、PKCS 12証明書の場合は、.pfxまたは.p12、Javaキーストア証明書の場合は.jksであることが必要です。ほとんどの認証局では、元々これらの特定形式の証明書を発行していなかった場合、これらのファイルタイプに変換する方法についての説明をサイトに掲載しています。 SSL証明書の生成について詳しくは、証明書の作成に関するページをご参照ください。

SSL証明書は、毎年または四半期ごとに失効する場合があります。 突然サービスが停止しないように、有効期限前に証明書を更新するようにリマインダを設定しておきましょう。

SSOコネクトのバージョンが14.1.0より前の場合は、両方のフィールドにパスワードを入力してください。

IDプロバイダを選択します。ご利用のIDプロバイダがプルダウンメニューにない場合は、「Default」 (デフォルト) を選択します。

IDプロバイダメタデータ

IDプロバイダを選択します。ご利用のプロバイダが一覧にない場合は、「Default」 (デフォルト) を選択します。

次の手順で、IDプロバイダSAMLメタデータファイルをアップロードします。このファイルは、ご利用のIDプロバイダからダウンロードできます。

IDプロバイダの属性マッピング

属性マッピングは一切変更不要です。[Save] (保存) を選択します。

SSOコネクトのステータス

ステータスが「Stopped」 (停止) と表示される場合があります。理由は以下のとおりです。

  • SSL証明書が見つからないか、間違っている。

  • SSL証明書のホスト名がSSOコネクトのホスト名と一致しない。 ワイルドカードSSL証明書を使用することも、特定のホスト名用に作成された証明書を使用することもできます (ホスト名がKeeper.DOMAIN.comの場合、証明書は*.DOMAIN.com用に設定する必要があります)。

  • デフォルトでは、「Use Certificate to Decrypt and Sign SAML Response/Request」 (証明書を使用してSAMLレスポンス/リクエストを復号および署名する) が選択されている。

SSL証明書のテストまたはトラブルシューティングのために自己署名SSL証明書を作成する必要がある場合は、付録をご参照ください。

WindowsでのKeeper SSOコネクトサービスの再起動

Keeper SSOコネクトは、Windows上でサービスとして実行されます。ウェブインターフェースを閉じてもサービスは停止しません。このサービスは、WindowsのサービスMMCから停止および開始できます。

Previous管理コンソールの設定Nextインストール- Linux

Last updated