GUIの設定
グラフィカルインターフェースを使用したLinuxインスタンスでのKeeper SSOコネクトの設定。
Last updated
グラフィカルインターフェースを使用したLinuxインスタンスでのKeeper SSOコネクトの設定。
Last updated
ウェブインターフェースを使用してKeeper SSOコネクトを設定するには、設定ポータルにアクセスする必要があります。 サーバーでグラフィカルユーザーインターフェースとウェブブラウザを利用できる場合、管理者はローカルアクセスを使用してインターフェースを直接起動できます。 ただし、サーバーでGUIもブラウザも利用できない場合は、SSHトンネルを使用する必要があります。 どちらの方法がニーズに合うかを判断し、ウェブインターフェースにアクセスできるようにして、設定手順に進んでください。
デフォルトでは、Keeper SSOコネクトの設定ポートは8080ポートです。目的のシステムにローカルアクセスできる場合は、ウェブブラウザを開いて、以下にアクセスするだけです。
ウェブインターフェースを使用して、SSOコネクトをリモートで設定するには、目的のシステムへのSSHトンネルを開くだけです。たとえば、SSOコネクトマシンにブラウザから直接アクセスできなくても、以下のようにして、そのマシンへのトンネルを設定できる場合があります。
そのうえで、ローカルシステムでウェブブラウザを開き、以下にアクセスします。
Keeper管理者のメールアドレス、マスターパスワード、および多要素認証 (有効な場合) を使用してログインします。
これで、SSO接続インスタンスを設定する準備が整います。
「設定 (Configuration)」をクリックして、具体的なIDプロバイダを設定します。
バインドされたIPアドレス (Bound IP Address)。これは、サーバーのNICの物理IPアドレスです。ホスト名を使用せず、サーバーに関連付けられたアドレスが1つしかない場合、このエントリーはホスト名またはIPアドレス (Hostname or IP Address) フィールドと同じになります。
上記の例では、「sso-1.test-keeper.com」がローカルアドレス10.1.0.4にルーティングされるアドバタイズされたホスト名です。Keeper SSO Connectサービスは、プライベートIPアドレスにバインドされます。
上記の例では、「sso2.lurey.com」がローカルアドレス10.0.229.63にルーティングされるアドバタイズされたホスト名です。Keeper SSOコネクトサービスは、プライベートIPアドレスにバインドされます。
バインドされたIPアドレスは、サーバーのNICの物理的なIPアドレスです。ホスト名を使用せず、サーバーに関連付けられたアドレスが1つしかない場合、このエントリーはホスト名またはIPアドレス (Hostname or IP Address) フィールドと同じになります。
Keeper SSOコネクトサービスには、SSL証明書が必要です。 認証局 (CA) の署名のある適切なSSL証明書のご使用をお勧めします。 SSL証明書には、SSOコネクトサーバー (ホスト名またはIPアドレス) 専用に生成された証明書や、ご利用のドメイン (*.yourcompany.com) に一致するワイルドカード証明書があります。
自己署名証明書を使用すると、ほとんどのブラウザやモバイルデバイスでセキュリティエラーが発生します。
属性マッピングは一切変更不要です。保存 (Save) を選択します。
保存 (Save) をクリックすると、数秒後にサービスが起動し、「ステータス (Status)」画面にサーバーのステータス情報が表示されます。
ステータスが停止 (Stopped) と表示される場合があります。 その場合は、以下をご確認ください。
SSL証明書が見つからないか、または間違っています。
SSL証明書のホスト名がSSOコネクトのホスト名と一致しません。ワイルドカードSSL証明書を使用することも、特定のホスト名用に作成された証明書を使用することもできます (ホスト名がKeeper.DOMAIN.comの場合、証明書は*.DOMAIN.com用に設定する必要があります)。
デフォルトでは、証明書を使用してSAMLレスポンス/リクエストを復号および署名する (Use Certificate to Decrypt and Sign SAML Response/Request) が選択されているはずです。
管理コンソールで設定したIDプロバイダを選択するプロンプトが表示されます (以前の「」手順)。
アドバタイズされたホスト名またはIPアドレスを入力します。このアドレスは、KeeperクライアントアプリケーションがSSO認証プロセスを開始するためにアクセスするアドレスです。でKeeper SSOコネクトをインストールする場合、これはロードバランサーを指すアドレスです。このアドレスは、IPアドレスでもホスト名でも構いません。
アドバタイズされたホスト名またはIPアドレスを入力します。このアドレスは、KeeperクライアントアプリケーションがSSO認証プロセスを開始するためにアクセスするアドレスです。でKeeper SSOコネクトをインストールする場合、これはロードバランサーを指すアドレスです。このアドレスは、IPアドレスでもホスト名でも構いません。
証明書のファイルタイプは、PKCS 12証明書の場合は、.pfxまたは.p12、Javaキーストア証明書の場合は.jksであることが必要です。ほとんどの認証局は、元々これらの特定形式の証明書を発行していなかった場合、これらのファイルタイプに変換する方法についての説明をサイトに掲載しています。
SSL証明書の生成について詳しくは、に関するセクションをご参照ください。
ご利用のプロバイダが一覧にない場合は、デフォルト (Default) を選択します。 次の手順で、IdP SAMLメタデータファイルをアップロードします。このファイルは、ご利用のIDプロバイダからダウンロードできます。 IDプロバイダを設定する具体的な手順は、次のセクション「」で説明します。
SSL証明書のテストまたはトラブルシューティングのために自己署名SSL証明書を作成する必要がある場合は、のページをご参照ください。
SSO Connectをサービスとして設定するには、のセクションをご参照ください。
