GUIの設定
グラフィカルインターフェースを使用したLinuxインスタンスでのKeeper SSO Connectの設定。
Last updated
グラフィカルインターフェースを使用したLinuxインスタンスでのKeeper SSO Connectの設定。
Last updated
Webインターフェースを使用してKeeper SSO Connectを設定するには、設定ポータルにアクセスする必要があります。 サーバーでグラフィカルユーザーインターフェースとウェブブラウザを利用できる場合、管理者はローカルアクセスを使用してインターフェースを直接起動できます。 ただし、サーバーでGUIもブラウザも利用できない場合は、SSHトンネルを使用する必要があります。 どちらの方法がニーズに合うかを判断し、Webインターフェースにアクセスできるようにして、設定手順に進んでください。
デフォルトでは、Keeper SSO Connectの設定ポートは8080ポートです。目的のシステムにローカルアクセスできる場合は、ウェブブラウザを開いて、以下にアクセスするだけです。
Webインターフェースを使用して、SSO Connectをリモートで設定するには、目的のシステムへのSSHトンネルを開くだけです。たとえば、SSO Connectマシンにブラウザから直接アクセスできなくても、以下のようにして、そのマシンへのトンネルを設定できる場合があります。
そのうえで、ローカルシステムでウェブブラウザを開き、以下にアクセスします。
Keeper管理者のメールアドレス、マスターパスワード、および多要素認証(有効な場合)を使用してログインします。
管理コンソールで設定したIDプロバイダを選択するプロンプトが表示されます(以前の「管理コンソールの設定」手順)。
これで、SSO接続インスタンスを設定する準備が整います。
「設定(Configuration)」をクリックして、具体的なIDプロバイダを設定します。
アドバタイズされたホスト名またはIPアドレスを入力します。このアドレスは、KeeperクライアントアプリケーションがSSO認証プロセスを開始するためにアクセスするアドレスです。HA(High Availability)構成でKeeper SSO Connectをインストールする場合、これはロードバランサーを指すアドレスです。このアドレスは、IPアドレスでもホスト名でも構いません。
バインドされたIPアドレス(Bound IP Address)。これは、サーバーのNICの物理IPアドレスです。ホスト名を使用せず、サーバーに関連付けられたアドレスが1つしかない場合、このエントリーはホスト名またはIPアドレス(Hostname or IP Address)フィールドと同じになります。
上記の例では、「sso-1.test-keeper.com」がローカルアドレス10.1.0.4にルーティングされるアドバタイズされたホスト名です。Keeper SSO Connectサービスは、プライベートIPアドレスにバインドされます。
IP/ホスト名は、Keeperにアクセスするユーザーがアクセスできる必要があります。IPアドレスとポートを使用したアクセスを許可するには、ファイアウォールの更新が必要になる場合があります。
上記の例では、「sso2.lurey.com」がローカルアドレス10.0.229.63にルーティングされるアドバタイズされたホスト名です。Keeper SSO Connectサービスは、プライベートIPアドレスにバインドされます。
IP/ホスト名は、Keeperにアクセスするユーザーがアクセスできる必要があります。IPアドレスとポートを使用したアクセスを許可するには、ファイアウォールの更新が必要になる場合があります。
アドバタイズされたホスト名またはIPアドレスを入力します。このアドレスは、KeeperクライアントアプリケーションがSSO認証プロセスを開始するためにアクセスするアドレスです。HA(High Availability)構成でKeeper SSO Connectをインストールする場合、これはロードバランサーを指すアドレスです。このアドレスは、IPアドレスでもホスト名でも構いません。
バインドされたIPアドレスは、サーバーのNICの物理的なIPアドレスです。ホスト名を使用せず、サーバーに関連付けられたアドレスが1つしかない場合、このエントリーはホスト名またはIPアドレス(Hostname or IP Address)フィールドと同じになります。
Keeper SSO Connectサービスには、SSL証明書が必要です。 認証局(CA)の署名のある適切なSSL証明書のご使用をお勧めします。 SSL証明書には、SSO Connectサーバー(ホスト名またはIPアドレス)専用に生成された証明書や、ご利用のドメイン(*.yourcompany.com)に一致するワイルドカード証明書があります。
自己署名証明書を使用すると、ほとんどのブラウザやモバイルデバイスでセキュリティエラーが発生します。
証明書のファイルタイプは、PKCS 12証明書の場合は、.pfx
または.p12
、Javaキーストア証明書の場合は.jks
であることが必要です。ほとんどの認証局は、元々これらの特定形式の証明書を発行していなかった場合、これらのファイルタイプに変換する方法についての説明をサイトに掲載しています。
SSL証明書の生成について詳しくは、証明書の作成に関するセクションをご参照ください。
注意:SSL証明書は、毎年失効する場合があります。 突然サービスが停止しないように、有効期限前に証明書を更新するようにリマインダーを設定してください。
特定のIDPを選択します。ご利用のIDPがプルダウンメニューにない場合は、**デフォルト(Default)**を選択します。
ご利用のプロバイダが一覧にない場合は、**デフォルト(Default)**を選択します。 次の手順で、IdP SAMLメタデータファイルをアップロードします。このファイルは、ご利用のIDプロバイダからダウンロードできます。 IDプロバイダを設定する具体的な手順は、次のセクション(「IDプロバイダの設定」で説明します。
属性マッピングは一切変更不要です。**保存(Save)**を選択します。
保存(Save)をクリックすると、数秒後にサービスが起動し、「ステータス(Status)」画面にサーバーのステータス情報が表示されます。
ステータスが停止(Stopped)と表示される場合があります。 その場合は、以下をご確認ください。
SSL証明書が見つからないか、または間違っています。
SSL証明書のホスト名がSSO Connectのホスト名と一致しません。ワイルドカードSSL証明書を使用することも、特定のホスト名用に作成された証明書を使用することもできます(ホスト名がKeeper.DOMAIN.comの場合、証明書は*.DOMAIN.com用に設定する必要があります)。
デフォルトでは、**証明書を使用してSAMLレスポンス/リクエストを復号および署名する(Use Certificate to Decrypt and Sign SAML Response/Request)**が選択されているはずです。
SSL証明書のテストまたはトラブルシューティングのために自己署名SSL証明書を作成する必要がある場合は、付録をご参照ください。
SSO Connectをサービスとして設定するには、このセクションをご参照ください。