Amazon AWS
Keeper SSO Connect CloudをAmazon AWS SSOと連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
AWS SSO
AWSにログインし、[AWS Single Sign-On] (AWSシングルサインオン) を選択します。
SSOダッシュボードで、[Configure SSO access to your cloud applications] (クラウドアプリケーションへのSSOアクセスを設定する) を選択します。
[Applications] (アプリケーション) メニューで、[Adda a new application] (新しいアプリケーションを追加) を選択します。
次に、Keeper Securityを選択して[Add] (追加) を選択します。
KeeperとAWSでアプリケーションコネクタを共同開発中です。
[Details] (詳細) セクションで[Display name] (表示名)と[Description] (説明) (任意) を入力します。
[AWS SSO metadata] (メタデータ) セクションで、[Download] (ダウンロード) ボタンを選択して、AWS SSO SAMLメタデータファイルをエクスポートします。このファイルは、設定画面の[SSO Connect IdPMetadata] (メタデータ) セクションでインポートします。
このファイルをKeeper SSO Connectサーバーにコピーし、ファイルを参照するか、設定画面の[SAMLメタデータ]の箇所にドラッグアンドドロップしてKeeper SSO Connectインターフェースにアップロードします。
次に、Keeperのメタデータファイルをダウンロードし、AWSアプリケーションのメタデータファイルにアップロードします。Keeper SSO Connect Cloud™のプロビジョニングの表示画面に移動します。
[メタデータをエクスポート]ボタンをクリックして、config.xmlファイルをダウンロードします。
\
AWS SSOの[Application metadata] (アプリケーションメタデータ) セクションに戻って、[Browse...] (ファイルを参照) ボタンを選択し、上記の手順でダウンロードしたconfig.xmlを選択します。
[Save changes] (変更を保存) をクリックすると、「Configuration for Keeper Password Manager has been saved」 (Keeperパスワードマネージャの設定が保存されました) いうメッセージが表示されます。
Keeper SSL証明書は、2048Kを超えることはできません。超えると、以下のエラーが表示されます。
より小さいサイズのSSL証明書の生成、メタデータファイルの再エクスポートとインポート、AWS SSOの設定でACS URLとAudience URLを手動設定のいずれかを行なってください。
次に、AWS SSOにマッピングするKeeperの属性が正しいことを確かにします (デフォルトで設定されています)。[Attribute mappings] (属性マッピング) タブを選択します。 AWSの文字列値を${user:subject}に、形式を空白またはunspecified (未指定) にします。 Keeper属性を以下のように設定します。
Keeper属性 | AWS SSO文字列値 | 形式 |
---|---|---|
Email (メール) | ${user:email} | unspecified (未指定) |
First (名) | ${user:givenName} | unspecified (未指定) |
Last (姓) | ${user:familyName} | unspecified (未指定) |
AWSのメールがAD UPNにマッピングされている場合 (ユーザーの実際のメールアドレスではない可能性があります) 、ユーザーのADプロファイルに関連付けられているメールアドレスに再マッピングできます。
この変更を行うには、AWS SSOページの[Connected Directory] (接続されたディレクトリ) へ移動します。
[Edit attribute mappings] (属性マッピングを編集) ボタンを選択します。
AWS SSOのemail (メール) 属性を${dir:windowsUpn}から${dir:email}に変更します。
[Assigned users] (割り当てられたユーザー) タブを選択してから、[Assign users] (ユーザーを割り当て) ボタンをクリックして、アプリケーションを割り当てるユーザーまたはグループを選択します。
[Assign users] (ユーザーを割り当て) ウィンドウで、以下の操作を行います。
グループまたはユーザーを選択
グループまたはユーザーの名前を入力
[Search connected directory] (接続されたディレクトリを検索) を選択して、検索します。
ディレクトリ検索の結果は、検索ウィンドウの下に表示されます。
アプリケーションへのアクセスが必要なユーザーやグループを選択し、[Assign users] (ユーザーを割り当て) ボタンを選択します。
備考: Keeper SSO Connectは、SAMLレスポンスが署名されていることを想定しています。IDプロバイダがSAMLレスポンスに署名するように設定されていることをご確認ください。
これでKeeper SSO Connectの設定は完了です。
既存のユーザー/初期管理者をSSO認証に移行
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
最終更新