OneLoginでのプロビジョニング

概要

Keeperエンタープライズでは、OneLoginとの統合がサポートされており、SCIM (System for Cross-Domain Identity Management) プロトコルを使用したユーザーの自動プロビジョニングがご利用になれます。SCIMは、IDプロバイダ (OneLoginなど) とサービスプロバイダ (Keeperなど) の間で、ユーザープロビジョニングの自動化を実現するオープンスタンダードです。

IDサービスにOneLoginをご利用の組織の場合、簡単にKeeperをユーザーに展開できるため、手動によるプロビジョニングは不要となります。OneLoginでKeeperエンタープライズへの自動プロビジョニングが有効となっている場合、OneLoginで作成、変更、削除されたユーザーは、Keeperでも自動的に追加、編集、削除されるようになります。

Keeperエンタープライズではユーザーのプロビジョニングやデプロイに加えて、OneLoginを使用したゼロ知識でのSAML 2.0準拠の認証を備えており、スムーズなアクセスが可能となります。

KeeperエンタープライズをOneLoginに統合することで、あらゆる規模の組織でパスワードや機密情報を暗号化ボルト (保管庫) 内に保護できるようになります。SSOにKeeperエンタープライズを統合することで、以下のようなサイバーセキュリティで不可欠なセキュリティ面と機能面での弱点を克服できます。

• 非SAMLアプリケーションやウェブサイト用に強力なパスワードを生成し保護

• 完全なエンドツーエンドな暗号化を備えたゼロ知識セキュリティアーキテクチャの実装

• SSH鍵、デジタル証明書などの認証情報を保管

• 組織全体 (全メンバーの使用するデバイス、ウェブサイト、アプリケーション、システム) でパスワードコンプライアンスやポリシーに基づいたアクセス管理を適用

• 金融、ビジネス、ソーシャルメディア、その他重要サービス向け共有パスワードを管理

ユーザー暗号化キーはKeeper SSOコネクトで動的に生成され、ローカルにインストールされているサーバーに暗号化して保存されるため、ユーザーはがデジタルボルトの暗号化・復号化に使用する暗号化キーを完全に管理できます。

SSO+SCIMの構成 - アプリケーションコネクタ

OneLoginは、カタログ内にビルトインのKeeperアプリケーションが含まれており、SSOとSCIMの両方の統合がサポートされています。

API Connectステータスが「Enabled」 (有効) になった後、Provisioning (プロビジョニング) セクションに移動し、「Enable provisioning」 (プロビジョニングを有効にする) のボックスをチェックします。

アプリケーションにユーザーを追加

いくつかの異なる方法でユーザーをOneloginのKeeper Password Managerコネクタに追加できます。 ユーザーのアカウントにアプリケーションを追加したり、ロールにユーザーを追加したりできます。また、OneLoginのアプリケーションの[Access] (アクセス) セクションを利用すると、アプリケーションにロールを追加できます。 ユーザーが追加された後、SCIMからKeeperにリクエストを送信するには、Keeper Password Managerアプリケーションコネクタの「Users」 (ユーザー) セクションに移動し、「Pending」 (保留中) ステータスをクリックしてユーザーを承認します。また、ユーザーのOneLoginプロファイルの「Application」 (アプリケーション) セクションに移動し、「保留中」 (Pending) ステータスをクリックすることでも承認リンクへ到達できます。[Approve] (承認) ボタンをクリックすると、ユーザーをOneLoginからKeeperにユーザーをプロビジョニングできます。

ユーザーのステータスが「Pending」 (保留中) から「Provisioned」 (プロビジョニング済み) に変化します。

OneLoginロールとKeeperチームのマッピングを有効にする

「Parameters」 (パラメータ) セクションの「Optional Parameters」 (オプションパラメータ) セクションで、「Groups」 (グループ) をクリックします。 「Edit Fields Group」 (グループフィールドの編集) ポップアップで、「Include in User Provisioning」 (ユーザープロビジョニングに含める) を選択します。

[Save] (保存) をクリックし、「Group」 (グループ) のステータスが「Enabled」 (有効) に変化していることを確認します。 次に、アプリケーションコネクタの「Rules」 (ルール) セクションに移動し、[Add Rule] (ルールの追加) ボタンをクリックします。

ルールに「Create Team from Role」 (ロールからチームを作成) などの名前を付けます。 [Actions] (アクション) セクションのプルダウンで、「Set Groups in Keeper Password Manager」 (Keeper Password Managerのグループを設定) を選択します。次に、プルダウンから「role」 (ロール) を選択 (または検索) し、マッチする値として「.*」 (ドット+アスタリスク) を入力します。

SCIMのみの構成

SCIMのみの構成の場合、こちらのOneLoginのウェブサイトの手順をご参照ください。

アプリケーションの「Configuration」 (構成) ページで、以下のSCIM JSONテンプレートを使用します (Keeperのユーザー名は有効なメールアドレスである必要があります)。

{
    "schemas": [
        "urn:scim:schemas:core:1.0"
    ],
    "userName": "{$user.email}",
    "displayName": "{$user.display_name}"
}

管理コンソールで、SCIMベースのURLとSCIMベアラートークンを取得します。

「Custom Headers」 (カスタムヘッダ) セクションに次の行を追加します。

Content-Type: application/scim+json

プロビジョニングを有効にした後、構成は以下の画像のように表示されます。

SCIMを使用したチームとロールのマッピング

チームとロールのマッピングを使用するには、個々のユーザーに対してではなく単にロールを「チーム」全体に割り当てます。ロール強制適用ポリシーを使用して、各チームに異なる要件や制限を設定できます。

通常、OneLoginなどのSCIMを使用するIDプロバイダは、ユーザーのチームへの割り当てに対応していますが、カスタムロールの割り当ては、ユーザー単位でのみ行われます。SCIMを使用してプロビジョニングされたチームやユーザーには、デフォルトのロールが適用されますが、SCIMでプロビジョニングされたチームを、別の事前定義されたロールにマッピングすることはできません。チームとロールをマッピングすることで、既存のIDプロバイダを使用してカスタムロールの割り当てが可能なチームにユーザーを直接割り当てることができます。

固有のグループ名

OneLoginには、SCIMシステムとのタイミングの問題があり、複数のリクエストを同時に送信し、同一のグループが作成される場合があります。通常、Keeper側では、「Group Name」 (グループ名) が同一であっても新規グループの作成を受け入れます。

重複したグループ名による問題に遭遇した場合、Keeperまでご連絡ください。SCIM接続にフラグを設定し、固有の名前が適用されるようにいたします。