Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
SSO Connect CloudでIDプロバイダを設定
SAML 2.0準拠IDプロバイダの設定の前に管理コンソールを設定してきます。個々のIDプロバイダの設定する際の助けとなるよう、以下にガイドをご用意しました。
ご利用のIDプロバイダがこちらに記載されていなくても問題ありません。KeeperはすべてのSAML 2.0 SSO IDプロバイダとパスワードレス認証製品と互換性があります。上記のリストから類似のプロバイダがあれば、設定の流れはほぼ同じなので、その設定手順に従って設定してください。
(ご利用のIDプロバイダ用の設定ガイドを作成された場合、共有いただけましたらこちらに掲載させていただきます。)
Keeper SSO Connect™ Cloudの概要
既存のIdPを通して認証するだけで、Keeperパスワード管理プラットフォームの全機能にアクセスできます。
デバイスや搭載OSを問わずにアクセスできるデジタルボルト
デバイスを問わず自動パスワード生成と自動入力
あらゆるシステム、ブラウザ、アプリに対応
ボルトデータのゼロ知識暗号化
このサービスは、どのようなオンプレミスサービスもクラウドサービスも必要とせず、マスターパスワードも使用しません。 設定は、アイデンティティプロバイダとKeeperの管理コンソールの間で直接行います。
ゼロ知識を維持するため、デバイスごとに楕円曲線暗号の公開鍵と秘密鍵のペアが生成されます。 デバイスの秘密鍵で、ユーザーのボルトが暗号化および復号化されます。新しいデバイスにサインインするには鍵交換が必要となりますが、その際にはKeeperプッシュ通知機能を使用するか指定された管理者が承認します。管理者による自動承認は、様々な方法で設定できます。
重要: SSOユーザーとプロビジョニングは、ルートノードではない専用ノードに存在する必要があります。これらの手順を始める前に、以下のように新しいノードを作成します。
Keeper SSO Connect Cloudは、以下の3つの手順で導入します。
Keeper管理コンソールのプロビジョニングでSSO Connect Cloudインスタンスを作成する
SAML IDプロバイダとメタデータを交換する
Keeperへの自動プロビジョニングのセットアップやユーザーの手動プロビジョニング
「デバイス承認」と呼ばれる管理権限により、管理者がデバイス承認を行います。管理者による承認も自動化できます。詳細については、デバイス承認ページをご参照ください。
「デバイス」には物理デバイスだけでなくブラウザやブラウザのプロファイルも含まれます。
管理者の観点から、コスト面、リスク面、労力面において以下のようなメリットがあります。
セットアップが簡単で、Keeperの既存の管理コンソールの1か所ですべてを管理
IdPと連携するためのホスト型ソフトウェアが不要
追加のサーバー費用が不要
ソフトウェアへのパッチ適用が不要
単一障害点のリスクを排除
Keeperの高可用性システムによる24時間365日稼働
Keeper SSO Connect CloudをMicrosoft AD FSと連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
AD FS管理アプリケーション内で、フェデレーションメタデータxmlファイルを特定します。AD FS > Service (サービス) > Endpoint (エンドポイント) をクリックしてから、「Metadata」 (メタデータ) セクションでURLのパスを探して確認します。パスは通常以下に見られるように、/FederationMetadata/2007-06/FederationMetadata.xmlとなります。
メタデータファイルをダウンロードするには通常サーバー上でブラウザにURLをロードします。 以下はその例です。 https://localhost/FederationMetadata/2007-06/FederationMetadata.xml このファイルをダウンロードして、コンピュータに保存します。
Keeper管理コンソールのSSOクラウド設定画面で、IdPタイプとして[ADFS]を選択し、前の手順で保存したフェデレーションメタデータファイルをインポートします。
プロビジョニング画面に戻り、[表示]をクリックします。
次に、後ほど証明書利用者信頼 (Relying Party Trust) ウィザードでインポートするため、Keeperメタデータファイルをダウンロードします。Keeper SSO Connect Cloud™のプロビジョニングの[表示]をクリックします。
[メタデータをエクスポート]ボタンをクリックして、config.xmlファイルをダウンロードします。
KeeperのCloud SSO SP証明書の有効期限は1年間のみです。毎年、管理コンソールから最新のKeeper SP証明書をダウンロードして、AD FSのRelying Party Trust (証明書利用者信頼) の設定にアップロードする必要があります。
証明書の有効期限が迫っている際には、Keeperからすべてのユーザーにお知らせします。
Keeper SSO Connectを証明書利用者信頼として作成します。
以下に見られるように、証明書利用者信頼 (Relying Party Trust) ウィザードを完了して、Keeper SSO Connect Cloudの表示画面から前もってエクスポートしたKeeperメタデータファイルをインポートします。
Welcome (ようこそ) 画面で[Claim aware] (要求に対応する) を選択し、Keeperから保存したメタデータファイルを選択します。
ログアウトエラーを防ぐには、証明書利用者信頼 (Relying Party Trust) のSAMLログアウトエンドポイントをhttps://<ご利用のADFSサーバーのドメイン名>/adfs/ls/?wa=wsignout1.0に変更します。
AD FSとKeeperの間で属性をマッピングするには、[LDAP 属性を要求として送信する] (Send LDAP Attributes as Claims) で要求発行ポリシーを作成し、LDAPの属性をKeeper Connectの属性にマッピングする必要があります。
3つの属性 (First (名)、Last (姓)、Email (メール)) が上記のように正確なスペルで設定されていることをご確認ください。
ログアウトのサポート用に、さらに2つの要求発行ポリシー規則を追加する必要があります。
要求規則に追加する構文をコピーするには、以下のテキストをコピーしてカスタム規則に貼り付けます。
入力方向の要求の種類 (Incoming claim type): http://mycompany/internal/sessionid 送信方向の要求の種類 (Outgoing claim type) : Name ID (名前ID) 送信される名前IDの形式 (Outgoing name ID format) : Transient Identifier (一時識別子)
a. AD FSサーバーで管理者としてPowershellを開きます。 b. 以下のコマンドを実行してSSO Connect Relying Party Trust Identifier (証明書利用者信頼の識別子) の文字列を特定します。
このコマンドを実行すると、長い出力リストが生成されます。SSO Connectセクションと「識別子」(Identifier) の文字列を探します。 この文字列は以下のようになります。 https://keepersecurity.com/api/rest/sso/saml/459561502484
c.以下のコマンドを実行し、<Identifier>を手順(b)で見つけた文字列に置き換えます。
Get-ADFSRelyingPartyTrustを再度実行すると、SamlResponseSignatureセクションが「MessageAndAssertion」に設定されていることが確認できます。
サービスマネージャから、AD FSサービスを再起動します。
SAMLアサーションの署名は、AD FS環境で適切に設定する必要があります。署名が設定されていない場合は、署名を設定してから、再設定後にAD FSとKeeper SSO Connect間でメタデータを再度交換する必要があります。
テスト目的または内部PKI証明書のために、IdPでの証明書の有効性確認を無効にする必要がある場合は、以下のPowershellコマンドをご使用ください。 < Identifier>を上記の「SAML署名の設定」 の手順で特定した文字列に置き換えます。
備考: 署名設定に何らかの変更を加えると、IdPとSSO Connectの間でXMLメタデータの交換が必要になる場合があります。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
管理コンソールにKeeper SSO Connect Cloud™を設定
Keeper SSO Connect Cloud™の設定は非常に簡単で、これまでに他のサービスプロバイダにご利用のIdPを設定した経験があれば数分しかかかりません。以下の手順に従ってください。
1) Keeper管理コンソールからKeeper管理者としてログインします。 US: https://keepersecurity.com/console EU: https://keepersecurity.eu/console AU: https://keepersecurity.com.au/console CA: https://keepersecurity.ca/console JP: https://keepersecurity.jp/console US GovCloud: https://govcloud.keepersecurity.us/console
Cloud SSO連携は、ルートノードの下のノードにしか適用できません。以下の手順に従って、ユーザーとポリシーをプロビジョニングするためのノードを必ず作成してください。
2) ログイン後、[管理者]メニューをクリックして、[ノードを追加]を選択します。この新しく作成するノードでSSOユーザーにプロビジョニングします。
3) 新しいノードで[プロビジョニング]タブを選択し、[メソッドを追加]をクリックします。
4) [SSO Connect Cloudを使用したシングルサインオン]を選択して[次へ]を選択します。
5) 環境設定名と法人ドメインを入力します。 環境設定名はエンドユーザーには表示されませんので、複数の設定を管理できます。 法人ドメインはログインに使用されるため、一意で覚えやすい名前を選択することを推奨します。
環境設定名 内部でのみ使用され、ユーザーには表示されません。
法人ドメイン 特定のフローで認証する場合にユーザーが入力します。ドメイン名か任意の固有の文字列となります。
ジャストインタイムプロビジョニングを有効にする ユーザーがKeeper Enterpriseテナントに自らサインアップできるようにするには、ジャストインタイムプロビジョニング機能を有効にします。デフォルトでは有効になっています。ドメインが予約されている場合、ドメイン名を持つ新しいユーザーは、ジャストインタイムプロビジョニングによって自動的にSSOプロバイダにルーティングされるようになります。 ジャストインタイムSSOプロビジョニングの代わりにKeeper Bridgeを使用してユーザーをプロビジョニングする場合は、OFFにしてください。
6) [保存]をクリックして次の手順に進むと、設定の編集画面が自動的に開きます。
7) 設定の編集画面で、ご利用のIdP (または「汎用」) を選択してそのIDプロバイダからKeeperにメタデータファイルをアップロードし、3つの必須属性マッピングを設定します。なお、KeeperはあらゆるSAML 2.0準拠IDプロバイダと連携しています。
ここではさらに2つのオプションがご利用になれます。
IsPassiveを有効化: IdPから要求されない限り、オフのままにすることを推奨します。
ForceAuthn: Keeperボルトへログインする度に新しいSSOログインセッションを強制したい場合にオンにします。
アイデンティティプロバイダ 一般的なIDプロバイダの設定をご利用になれるようして手間を省くために、ドロップダウンの[IDPタイプ]から事前に定義された設定を選択できます。ご利用のIDプロバイダが一覧にない場合は、[GENERIC]を選択してください。
SAMLメタデータ IdPから取得したIdPメタデータファイルをKeeperの設定画面にドラッグアンドドロップします。 このファイルには、URLエンドポイントと署名付きアサーションを検証するためのデジタル証明書が含まれます。
アイデンティティプロバイダ属性マッピング 名前、苗字、メールアドレスの呼称がデフォルトで[First]、[Last]、[Email]となっていますが、変更は可能です。ご利用のIDプロバイダが、記載通りに(大文字と小文字を区別して)この画面のフィールド名にマッピングしていることを確かにしてください。
シングルサインオンエンドポイント環境設定 こちらは詳細設定で、デフォルトでは[HTTP POSTを優先]となっています。
8) IdPの設定の途中で、Keeperから法人IDやACS URLなどのパラメータを入力する必要があります。 この情報は、前の画面に戻って[表示]をクリッすると表示される設定表示画面で確認できます。
この画面に表示されているURLをメモしておいてください。これらURLをIDプロバイダ内に設定する必要がある場合があります。
エンティティID 「SPエンティティID (SP Entity ID)」または「発行者 (Issuer)」と表記される場合もあります。基本的には、固有の識別子で双方が認識されてている必要があります。多くの場合、エンティティIDはACS URLエンドポイントと同じです。
Assertion Consumer Serviceエンドポイント (ACS URL) ユーザーの認証後にIDプロバイダがアサーションを送信するKeeperのURLエンドポイントです。 Keeperに送信されるデータには、ユーザーがIDプロバイダに正常にサインインしたかどうかを示す署名付きアサーションが含まれます。このアサーションは、IDプロバイダの秘密鍵で署名されています。 Keeperで、IdPメタデータファイルに含まれるIDプロバイダの公開鍵を使用して署名が認証されます。
シングルログアウトエンドポイント (SLO) KeeperのURLエンドポイントで、IDプロバイダによるログアウトリクエストの送信先となります。シングルログアウトは任意でご利用になれ、IDプロバイダで設定します。
この情報は、Keeper XMLメタデータファイルでも確認できます。このファイルは、[メタデータをエクスポート]をクリックすることでダウンロードできます。必要に応じてこのメタデータファイルをIDプロバイダにアップロードしてください。
ジャストインタイムプロビジョニングを有効にすると、ボルトのログイン画面でユーザーがメールアドレスを入力して[次へ]をクリックした際に、ユーザーがIDプロバイダに自動的にルーティングされます。これは、ウェブボルト、デスクトップアプリ、ブラウザ拡張機能、iOSアプリ、Androidアプリなど、すべてのデバイスに適用されます。
Keeperではパーソナルドメインのリストを保持していますので、たとえば、gmail.comやyahoo.comなどを予約して、一般ユーザーが実在を確認済みのメールアドレスを使用してこれらのドメインのKeeperアカウントを作成することはできません。
企業テナント外で予約済みドメインを使用した個人アカウントまたは企業アカウントの作成をエンドユーザーに許可したい場合は、Keeperサポートチームにお問い合わせください。ご希望のドメインのロックを解除いたします。
管理コンソールでKeeper SSO Connect Cloudを設定した後は、IDプロバイダでアプリケーションを設定します。 SSO IDプロバイダのページをご参照ください。
Keeper SSO Connect CloudをAuth0と連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
Auth0ポータルの管理者セクションにログインします。
[Applications] (アプリケーション) タブを選択し、[Create Application] (アプリケーションを作成) をクリックします。[Regular Web Applications] (通常のウェブアプリケーション) を選択します。
次に、[Addons] (アドオン) タブに移動して、[SAML2 WEB APP] (SAML2ウェブアプリ) をクリックします。
次に表示される設定ページで、Keeper管理コンソールに表示された[Assertion Consumer Service(ACS)エンドポイント]が必要になります。
ACSエンドポイントの例: https://keepersecurity.com/api/rest/sso/saml/XXXXXXXX
この値は、以下のようにサービスプロバイダの情報の一部としてSSO Connect Cloudの設定で確認できます。
ACSエンドポイントをAuth0画面の[Application Callback URL] (アプリケーションコールバックURL) フィールドに貼り付けます。
次に、SAML2 Web App編集ウィンドウでサンプルのJSONを削除して以下に置き換えます。
「audience」の値は法人IDとなります。この値もサービスプロバイダ情報の一部として、SSO Connect Cloudの設定で確認できます。
法人IDを追加した後、[Debug] (デバッグ) ボタンをクリックして、設定に問題がないことをご確認ください。
次に、SAML2 Web Appウィンドウを一番下までスクロールして、[Save] (保存) をクリックします。
次に、[Usage] (使用) タブをクリックし、IDプロバイダのメタデータファイルをダウンロードします。
Keeper側でSSOの設定を編集し、[IDP タイプ]に[GENERIC] (汎用) を選択します。metadata.xmlファイルを参照するか設定画面にドラッグアンドドロップして、Keeper SSO Connectインターフェースにアップロードします。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
Keeper SSO Connect CloudをMicrosoft Entra ID (旧Azure AD)に連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
Keeperは、すべてのMicrosoft Azure AD / Entra ID環境と互換性があり、SAML 2.0認証および自動プロビジョニングに対応しています。
Keeperアプリケーション (ウェブボルト、KeeperFill、Keeper Desktop、iOS/Android用Keeperなど) は、条件付きアクセスポリシーに完全対応しています。
Keeperでは商用 (portal.azure.com) とAzure Governmentクラウド (portal.azure.us) の両方の環境がサポートされています。
AzureにSSO Connect Cloudを設定する手順の詳細については以下の動画をご覧ください。
以下の手順を実行します。
(1) Keeper Enterpriseアプリケーションを追加
https://portal.azure.comからAzure Adminアカウントへ移動し、[Azure Active Directory] > [Enterprise Applications] (エンタープライズアプリケーション) をクリックします。SCIMプロビジョニング用にKeeperアプリケーションがすでに設定されている場合は、既存のアプリケーションを編集します。
米国の公的機関の場合はhttps://portal.azure.usへログインして同じ手順を実行します。
(2) [New Application] (新規のアプリケーション) をクリックし、Keeperを検索してKeeper Password Managerを選択します。
(3) [Create] (作成) をクリックしてアプリケーションを作成します。
(4) [Set up single sign on] (シングルサインオンの設定) をクリックしてから[SAML]をクリックします。
(5) Keeper管理コンソールで、SAMLメタデータファイルをエクスポートします。
[表示] > [メタデータをエクスポート]へ移動します。
(6) [Upload metadata file] (メタデータファイルのアップロード) ボタンを選択してKeeper管理コンソールからダウンロードしたばかりのファイルを選択します。
[Add] (追加) ボタンを押してAzureインターフェースにメタデータファイルをアップロードします。
(7) AzureのSAML設定画面が表示されます。
Sign on URL (サインオンURL) 蘭が空白なので赤いエラーが表示されます。
エラーを修正するには、管理コンソールのSSO Cloudインスタンスの[表示]画面で[IDP Initiated ログインエンドポイント]のURLをコピーし、[Sign on URL] (サインオンURL) 蘭に貼り付けます。
シングルログアウトサービスエンドポイント (SLO)
KeeperのURLエンドポイントで、アイデンティティプロバイダーからのログアウトリクエストの送信先となります。シングルログアウトは任意で、IDプロバイダ側で設定します。
IDプロバイダーを使用したKeeper起点のシングルログアウトの制御については、こちらをご参照ください。
デフォルトでは、ログアウト後にKeeperが強制的にEntra/Azureからのログアウトセッションを行います。この動作が発生しないようにしたい場合は、AzureメタデータファイルをKeeper にアップロードする前に編集し、SingleLogoutServiceの行を削除します。セキュリティ上の理由から、この行はそのまま含めておくことを推奨します。
(8) [Save] (保存) をクリックしてからSAML設定ウィンドウを閉じます。
(9) 保存後、設定のテストを求められますがテストは行わなず、数秒待ってからウェブブラウザでAzureポータルページを更新します。これで、SAML Signing Certificate (署名証明書) の箇所に証明書の項目が表示されます。
Federation Metadata XML (フェデレーションメタデータXML) の箇所の[Download] (ダウンロード) をクリックします。
(10) メタデータファイルをKeeper管理コンソールにアップロードします。
管理コンソールで、[IDPタイプ]にAzureを選択し、手順9で保存したフェデレーションメタデータファイルをインポートします。
(11) User Attributes & Claims (ユーザー属性と要求) を編集します。
User Attributes (ユーザー属性) セクションでは、AzureがユーザーID、名、姓、メールに対する要求を自動的に作成します。
Additional clams (追加要求) セクションの4つの要求は不要ですので、削除してください。
ご利用の環境で、user.userprincipalname (UPN) がユーザーの実際のメールアドレスと異なる場合は、メール要求を編集してメール属性の値をuser.mailに変更できます。
Keeper管理コンソールで、アイデンティティプロバイダとの新しいログインセッションを実施するオプションがご利用になれます。SAMLリクエストでForceAuthn="true" が設定されていると、ユーザーがすでに認証されている場合でもサービスプロバイダ (Keeper) から新しい認証済みセッションを強制しなければならない旨アイデンティティプロバイダに伝えます。セキュリティポリシーやエンドユーザー環境によっては望ましい動作となります。
手動または自動のプロビジョニングを使用して、AzureポータルからKeeperにユーザーをプロビジョニングできます。
Keeperパスワードマネージャに特定のユーザーまたはグループのみを割り当てる場合は、以下の設定を変更する必要があります。Azureコンソールで、[Azure Active Directory] > [Enterprise Applications] (エンタープライズアプリケーション) > Keeper Password Managerへ進み、[Properties] (プロパティ) を選択します。
[User assignment required] (ユーザーの割り当てが必要ですか) を[Yes] (はい) に変更して保存します。これにより、アプリケーションに割り当てられたユーザーとグループのみが使用できるようになります。
[Users and groups] (ユーザーおよびグループ) の箇所で、Keeperアプリケーションにプロビジョニングするユーザーやグループを選択します。
ルートノード (最上位レベル) で作成されたユーザーについては、SSO連携が設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスするときにマスターパスワードの入力を求められます。
管理者はSSO対応ノードに自ら移動できません。移動するには、別の管理者が必要となります。
ドメインが予約されていない場合、最初に[法人SSOログイン]を選択し、SSO統合で設定された法人ドメインを入力することでKeeperボルトへログインできます。ユーザーが最近非SSOノードからSSOノードに移動した場合、マスターパスワードの入力を求められる場合があります。
ユーザーがSSO認証されると、それ以後はメールアドレスを使用するだけでSSO認証を開始できます。
メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、KeeperのSSO設定でジャストインタイムプロビジョニングが有効になっていることを確認し、メールドメインがKeeperによって予約されていることを確かにします。ルーティングとドメイン予約の詳細については、こちらを参照してください。
Keeperは、AzureのIdP起点のログインをサポートしています。以下のURLからアプリケーションダッシュボードへ移動します。
https://myapplications.microsoft.com/ これにより、割り当てられたKeeperのアプリケーションがロードされ、アイコンをクリックできるようになります。
Keeper SSO Connect CloudをF5 BIG-IP APMと連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
F5 BIG-IP APMで、Keeperプラットフォーム用の新しいSAML IdPサービスを設定します。 Access Policy (アクセスポリシー) -> SAML -> BIG-IP as IdP (IdPとしてのBIG-IP) -> Local IdP services (ローカルIdPサービス) に移動します。
[Access Policy] (アクセスポリシー) > SAML: BIG-IP as IdP (IdPとしてのBIG-IP) > Local IdP services (ローカルIdP サービス) へ移動します。該当するIdP接続ポイントを選択し、Export Metadata (メタデータをエクスポート) を選択します。
F5 BIG-IP APMから抽出したメタデータファイルをSSO Connect Cloudインスタンスにインポートし、IDPタイプにF5を選択します。
[保存]を選択して設定を保存し、すべての設定が正しいことを確認します。 [メタデータをエクスポート]をクリックして、Keeper SSO Connect Cloudメタデータファイルをエクスポートし、F5 BIG-IP APMの設定に使用します。
これでKeeper SSO Connectの設定は完了です。
SSOおよびパスワードレスソリューションの強化
Keeper SSO Connectは、100%クラウドベースのSAML 2.0サービスで、既存のSSOおよびパスワードレスソリューションとスムーズかつ速やかに連携でき、ゼロ知識のパスワード管理および暗号化技術によって支えられています。
本ガイドでは、SSO Connect Cloud環境の設定について解説します。
Keeper SSO Connect® CloudはKeeperのゼロ知識セキュリティアーキテクチャを活用することで、ユーザーをKeeperボルトへと認証し、ユーザーボルトをプラットフォームに動的にプロビジョニングします。Keeperは、Okta、Microsoft Azure、Google Workspace、Centrify、Duo、OneLogin、Ping Identity、JumpCloudなどのSSO IdPプラットフォームに対応しています。
SSOプロバイダに加えて、SAML 2.0がサポートされているパスワードレス認証プラットフォームともスムーズに連携します。
ご利用のSSOソリューションをKeeperのパスワードマネージャと組み合わせることで、機能面とセキュリティ面でさまざまな利点があります。
https://www.keepersecurity.com/keeper-sso-connect.html
Keeper Enterpriseに組み込まれたKeeper SSO Connectは、Office365、Azure、ADFS、Okta、Ping、JumpCloud、Centrify、OneLogin、F5 BIG-IP APMなどのSSO IdPプラットフォームとスムーズに連携できます。
Keeper SSO Connect Cloudは、Duo、HYPR、Trusona、Octopus、Traitware、Veridiumなどのパスワードレスプラットフォームともスムーズに連携できます。
導入をご検討でしたら、Keeperアカウントマネージャまでお問い合わせください。
Cloud Functionを使用してGoogle Workspaceからユーザーとグループを自動的にプロビジョニングする方法
Google Cloud Functionを使用してGoogle WorkspaceからKeeper にユーザーを自動的にプロビジョニングする方法について解説します。これには、ユーザー、グループ、ユーザー割り当てのプロビジョニングが含まれます。ユーザーとチームのプロビジョニングには、ライフサイクル管理のためのいくつかの機能が備わっています。
どのGoogle グループやユーザーをKeeperにプロビジョニングするかを指定できます。
Keeperに割り当てられたGoogleグループはKeeperチームとして作成されます。
Keeperチームをボルト内の共有フォルダに割り当てられます。
グループに追加された新しいユーザーは自動的にKeeperに招待されます。
グループとユーザーの割り当ては同期のたびに適用されます。
ユーザーのプロビジョニングが解除されると、Keeperカウントが自動的にロックされます。
本ページの設定手順で、Google Workspaceアカウントからユーザーとグループをプロビジョニングします。設定には以下のリソースにアクセスする必要があります。
この実装ではKeeper Secrets Managerを使用して、最小限の権限でGoogleとKeeperを最も安全に統合します。Keeper Secrets Managerをご使用でない場合は、Keeperカスタマーサクセス チームにお問い合わせください。
Google Cloudにログインし、プロジェクトを作成するか既存のプロジェクトを選択します。プロジェクト名は「Keeper SCIM Push」など任意の名前にします。
APIs & Servicesで、[+ ENABLE APIS AND SERVICES] (APIとサービスを有効にする) をクリックします。
Search for APIs & Servicesで、Admin SDK APIを入力します。
[ENABLE] (有効にする) をクリックします。
ここで作成したサービスアカウントは、Google Workspaceのユーザーとグループの情報にアクセスするために使用されます。
IAM and Adminメニューで、サービスアカウントを選択します。
keeper-scimというサービスアカウント名で[+ CREATE SERVICE ACCOUNT]をクリックします。
新規作成のサービスアカウントの場合、Actionsの3つの点をクリックして[Manage keys] (キーの管理) を選択します。
[鍵を追加]から[新しい鍵を作成]をクリックし、鍵のタイプとして[JSON]を選択してから[作成]をクリックします。
サービスアカウントの認証情報が含まれたJSONファイルがコンピュータにダウンロードされます。
ファイル名をcredentials.json
に変更し、上のセットアップ手順で作成したKeeper設定記録に添付ファイルとして追加します。
サービスアカウントへと移動し、[DETAILS]タブから[Advanced Settings]へ進みます。
[Domain-wide delegation]でClient IDをコピーします。次の手順でこのClient IDにGoogle Workspace Directoryへのアクセスを付与します。
Google Workspace Panel (https://admin.google.com)で以下を行います。
[Security] (セキュリティ) > [API controls] (API制御) へ進みます。
Domain wide delegationの下の[MANAGE DOMAIN WIDE DELEGATION]をクリックします。
API Clientsで[Add new]をクリックします。
前の手順でコピーしたClient IDを貼り付けます。
以下のテキストをOAuth scopes (comma-delimited)に貼り付けます。
[AUTHORIZE] (承認) をクリックします。これらのスコープにより、サービスアカウントにGoogle Workspaceディレクトリユーザー、グループ、メンバーシップへの読み取り専用アクセスが付与されます。
Google Workspace (https://admin.google.com) で[Account] (アカウント) > [Account settings] (アカウント設定) へ進みます。
次の手順で使うため、Primary adminメールアドレス (右上) をクリップボードにコピーします。
Keeperボルトで、新しい共有フォルダを作成します。このフォルダーには「Google SCIM Push」などの任意の名前を付けます。ユーザー権限と記録権限については、任意の権限を選択します。
アプリケーションに「Google SCIM Push」などの名前を付けて、[アクセストークンの作成]をクリックします。 このトークンは破棄され、このシナリオでは使用されません。
次に、一覧から「Google SCIM Push」を選択し、[編集]、[デバイスの追加]の順にクリックします。
設定タイプにはBase64を選択してコンピュータにダウンロードします。
ファイルをconfig.base64としてコンピュータに保存します。
Keeper管理コンソールから、Google Workspaceノードの[プロビジョニング]タブに移動し、[メソッドを追加]をクリックします。
SCIMを選択して[次へ]をクリックします。
[プロビジョニングトークンを作成]をクリックします。
URLとトークンが表示されるので、URLとトークンをファイルに一時的に保存してから、[保存] をクリックします。
URLとトークンを必ず保存してから[保存] をクリックするようにします。 これらのパラメータは次の手順で必要となります。
手順7で作成した共有フォルダ内に、以下のフィールドを含む記録を作成します。
指定したグループとそのユーザーがKeeperにプロビジョニングされます。
グループのリストには、グループのメール アドレスかグループ名のいずれかを指定できます。Keeperがいずれかの値を照合し、関連するすべてのユーザーとグループをプロビジョニングします。
この時点で、Keeper側の設定は完了となります。残りの手順はGoogle CloudコンソールでのCloud Functionの設定となります。
Google CloudコンソールからCloud Functionsを開き、[関数を作成]をクリックします。
Environment (環境) に2nd gen (第2世代) を選択します。
Function name (関数名) は「keeper-scim-push」にします。
Region (地域) には任意の地域を選択してメモしておきます。
TriggerのTrigger typeををHTTPSにします。
Authentication (認証) を「Require authentication」 (認証が必要) にします。
Memory allocated (メモリの割り当て) : 256MiB
CPU: 0.333
Timeout (タイムアウト) : 120秒
Concurrency (同時実行) のコンテナあたりの最大リクエスト数: 1
Autoscaling (自動スケーリング) のインスタンスの最小数 : 0
Autoscaling (自動スケーリング) のインスタンスの最大数 : 1
Runtime service account (ランタイムサービスアカウント) : 選択
Runtime service account (ランタイムサービスアカウント) で, 「Default compute service account」を選択
Default compute service accountがまだ存在しない場合は、一時的に別のアカウントを選択し保存してから戻ってサービスアカウントを編集します。
以下は設定例です。
変数を2つ作成します。
Name 1をKSM_CONFIG_BASE64、Value 1を手順8で生成したKSM設定ファイルの内容に設定します。
Name 2をKSM_RECORD_UID、Value 2を手順10でボルトで作成した記録UIDに設定します。
Keeperボルトの記録で情報アイコンをクリックすると、記録UIDを確認できます。記録UIDをクリックして値をコピーします。
[CONNECTIONS] (接続) をクリックし、[Allow internal traffic only] (内部トラフィックのみ) を選択します。
下へスクロールして[NEXT] (次へ) をクリックし、Cloud Function Sourceをアップロードします。
Keeper Google SCIM Pushのリリースページへ移動します。 https://github.com/Keeper-Security/ksm-google-scim/releases
source.zip
ファイルをダウンロードしてコンピュータに保存します。
Runtime (ランタイム) は「Go 1.21」にします。
Source code (ソースコード) にはZip Upload
を選択します。
Entry point (エントリーポイント) にはGcpScimSyncHttp
を入力します。
Zip upload (Zipアップロード) のDestination bucketには、デフォルトバケット許可 (非公開) を用いて任意の名前のバケットを作成します。
Zip file (Zipファイル) : 前の手順で保存したsource.zip
を アップロードします。
[DEPLOY] (デプロイ) をクリックしてクラウド関数を作成します。 数分後、関数が作成され、パブリッシュされます。
この関数はプライベートであり、認証を必要とするため、次の手順ではCloud Schedulerを作成します。
Cloud Function画面で、以下に見られるようにURLをコピーします。
Google Cloudコンソールで、Cloud Schedulerを検索して開きます。
[SCHEDULE A JOB] (ジョブをスケジュール) をクリックします。
「Keeper SCIM Push for Google Workspace」など、任意の名前を付けます。
1時間に1回実行の場合0 * * * *
など、頻度を設定します。
ロケーションに応じてタイムゾーンを設定します。
Target type (ターゲットタイプ) をHTTP
にします。
URLを手順13でコピーしたCloud Function URLに設定します。
HTTP method (HTTPメソッド) をGET
に設定します。
Auth Header (Authヘッダ) をAdd OIDC token
に設定します。
ServiceアカウントをDefault compute service account
に設定します。
[CONTINUE] (続行) 、[CREATE] (作成) の順にクリックします。
Scheduler Jobs画面にジョブが表示されます。強制的に実行するには、右側のオーバーフロー メニューをクリックし、[Force run] (強制実行) を選択します。
即座にCloud Functionが実行されます。
成功すると、[Status of last execution] (最後の実行のステータス) に[Success] (成功) と表示されます。
Keeperが同期情報を受信したことを確認するには、Keeper管理コンソールにログインします。保留中および招待状態のユーザー、チーム、チーム割り当てのリストが表示されます。
プロセスが正常に動作すると、この過程で作成されたすべてのローカルファイルとシークレットを削除します。
重要: 以下のような、コンピュータにあるローカルファイルや一時ファイルをすべて削除します。
config.base64ファイル
credentials.jsonファイル
SCIMトークン
その他スクリーンショットやローカルファイル
デフォルトでは、Keeper管理コンソール内の管理されていないチームとチーム割り当てが同期処理中に削除されることはありません。ただし、管理されていないチームもチーム割り当てもすべて削除される同期方法をご希望の場合は、Keeper記録にカスタムフィールドを作成して特定の値を入力します。
Keeper記録を変更することで、Google Cloud Functionログに詳細なログを作成できます。
Keeperは、Cloud Functionプロビジョニングを実行する際に、グループ名またはグループのメールアドレスに対して厳密な文字列照合を実行します。グループ名とグループメールアドレスでは大文字と小文字が区別されます。
招待状態のユーザーは、ユーザーがボルトを作成し、Keeper管理者が管理コンソールにログインするまで、割り当てられたチームに追加されされることはありません。 ユーザーのチームへの参加も、チームの別のメンバーがボールトにログインする際に行われます。管理コンソールから[同期]をクリックすることでもチーム参加が行われます。
チームの作成などの一部の操作は、Keeper管理コンソールへのログイン時、またはKeeper Automatorの実行時にのみ発生します。これは、暗号化キーを生成する必要があるためです。
大規模なデプロイの場合、Keeper Automatorを設定して、デバイスの承認、ユーザーの承認、チームの承認のプロセスを自動化することを推奨します。
新しいグループを追加する場合は、Keeperボルトの記録内のリストにグループを追加します (手順10参照)。Keeperがターゲットを識別する際にはグループのメールアドレスまたはグループ名のいずれかを照会します。
Google Workspaceでネストされたグループは、Keeperと同期する際にフラット化されます。 ネストされたグループのユーザーは、Keeper側の親グループに追加されます。
Cloud Functionの新しいバージョンが作成される際のコードのアップデートは簡単です。
Githubリポジトリのksm-google-scimのリリースページから新しいsource.zipファイルをダウンロードします。
Google CloudのCloud Functionsの箇所へ移動します。
Cloud Functionの詳細をクリックし、[EDIT]をクリックしします。
Codeをクリックします。
Source codeで、[ZIP Upload]を選択します。
コンピュータに保存したsource.zipファイルを選択します。
[DEPLOY] (デプロイ) をクリックします。
新しい関数がデプロイされるまで数分間待ちます。
Cloud Schedulerへ移動します。
[Actions] > [Force Run]をクリックします。
Keeper SSO Connect™ CloudをDUO SSOと連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
以下の手順では、Duoが正常に有効化され、認証ソース (Active DirectoryまたはIdP) が設定済みであることを前提としています。Duo SSO を有効にするには、Duo Admin Panel (管理パネル) にアクセスし、「Single Sign-On」 (シングル サインオン) セクションにアクセスします。
DuoのAdmin Panel (管理パネル) にログインし、左側のナビゲーションバーの[Protect an Application] (アプリケーションの保護) をクリックします。アプリケーションリストから、保護タイプが「2FA with SSO hosted by Duo (Single Sign-On)] (DuoがホストするSSOによる2FA (シングル サインオン)」であるGeneric Service Provider (汎用サービスプロバイダ) のエントリを見つけて、[Protect] (保護) をクリックします。
[Download] (ダウンロード) セクションで、ご利用のSSOプロビジョニングメソッドにアップロードするためのSAMLメタデータファイルをダウンロードします。
Keeper管理コンソールに戻り、DUO SSO Connect Cloudプロビジョニングメソッドを見つけて、[編集]を選択します。
[アイデンティティプロバイダ]セクションまで下にスクロールし、[IDP タイプ]を[GENERIC] (汎用) に設定して、[ファイルを参照]を選択し、先ほどダウンロードしたDUOメタデータファイルを選択します。
引き続き、Keeper管理コンソール内のDUO SSO Connect Cloudプロビジョニングメソッドで、[編集]ビューを終了して、[表示]を選択します。 サービスプロバイダセクション内に、法人ID、IDP Initiated ログインエンドポイント、Assertion Consumer Service(ACS)エンドポイントのメタデータの値が表示されます。
[シングルログアウト・サービスエンドポイント]はオプションです。
Duo Admin Panel (管理パネル) のアプリケーションページに戻り、Entity ID (エンティティID)、Login Enndpoint (ログインエンドポイント)、ACS Endpoint (ACSエンドポイント) をコピーして、Service Provider (サービスプロバイダ) セクションに貼り付けます。
SAML Response (SAMLレスポンス) セクション内で、Map attribute (属性をマッピング) まで下にスクロールして、以下の属性をマッピングします。
3つの属性 (First (名)、Last (姓)、Email (メール)) が上記のように正確なスペルで設定されていることをご確認ください。
Policy (ポリシー) セクションでは、ユーザーがこのアプリケーションにアクセスするときの認証のタイミングと方法を定義します。グローバルポリシーは常に適用されますが、そのルールはカスタムポリシーで上書きできます。
Global Policy (グローバルポリシー) セクションでは、DUOまたはKeeperの管理者に表示されるすべてのグローバルポリシーを審査/編集/確認できます。
Settings (設定) セクションで、アプリケーションに「Keeper Security EPM - Single Sign-On」という名前を付けます。その他の設定はすべて、DUOまたはKeeper管理者に表示されるとおりに設定されています。
ページの一番下にある[Save] (保存)をクリックして、保護されたアプリケーション設定を保存します。
これでKeeper Security EPM - Single Sign-Onの設定が完了しました。
ご利用のDUO環境内へのKeeper Security EPM - Single Sign-Onの実装に関してサポートが必要でしたら、Keeperサポートチームまでお問い合わせください。
ユーザーにDuoでログインしてもらいたい場合は、Keeper管理コンソールのルートノード (最上位) で作成されたユーザーをSSO対応ノードに移動する必要があります。管理者は自分自身をSSO対応ノードに移動できません。これには別の管理者が必要となります。
法人ドメインでオンボードするには、ユーザーは[法人SSOログイン]からKeeper管理コンソールで設定された法人ドメインを入力します。
ユーザーがSSOで認証されると、今後はメールアドレスを入力するだけSSO認証を開始できます。
Keeper SSO Connect CloudをCentrifyと連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
クラウドログインを使用して、CentrifyのAdmin portal (管理者ポータル) にログインします。
プルダウンメニューからAdmin portal (管理者ポータル) に切り替えます。
Quick Start Wizard (クイックスタートウィザード) がポップアップ表示された場合は、閉じます。メニューから[Apps] (アプリ) を選択し、[Add Web Apps] (ウェブアプリ) を選択します。
Add Web Apps (ウェブアプリを追加) ウィンドウで、[Custom] (カスタム) タブを選択し、下にスクロールしてSAMLの横の[Add] (追加) を選択します。
Do you want to add this application? (このアプリケーションを追加しますか?) のプロンプトで[Yes] (はい) を選択します。
Add Web Apps (ウェブアプリを追加) ウィンドウを閉じます。
次に、KeeperのSSOメタデータをCentrifyにアップロードします。 Keeper管理コンソールで、SAMLメタデータファイルをエクスポートします。
[表示]をクリックして[メタデータをエクスポート]に移動します。
Centrifyの[SAML Application Settings] (SAMLアプリケーション設定) セクションで、[Upload SP Metadata] (SPメタデータをアップロード) を選択します。
[Upload SP Metadata from a file] (ファイルからSPメタデータをアップロード) を選択し、[Browse]をクリックしてKeeperSSOMetadata.xmlファイルを選択し、[OK]を選択します。
Identity Provider SAML Meta data (IDプロバイダのSAMLメタデータ) をダウンロードします。これをKeeper SSO Connectにアップロードします。
Description (説明) セクションで、Application Name (アプリケーション名) フィールドにKeeper SSO Connectと入力し、Category (カテゴリ) フィールドで[Security] (セキュリティ) を選択します。
Keeperのロゴをダウンロードします。 [Select Logo] (ロゴを選択) を選択して、Keeperのロゴ (keeper60x60.png) をアップロードします。
[User Access] (ユーザーアクセス) セクションで、Keeperにアクセスできるロールを選択します。
Account Mapping (アカウントマッピング) セクションで、「Use the following Directory Service field to supply the user name」 (以下のディレクトリサービスを仕様してユーザー名を供給する) を選択して「mail」と入力します。
Advanced (詳細設定) セクションで、以下のコードを含むスクリプトを追加します。
上記のスクリプトで、User Account (ユーザーアカウント) セクションから表示名を読み取ります。FirstName属性は、DisplayNameの最初の文字列から取得し、LastName属性は、DisplayNameの2番目の文字列から取得します。
[Save] (保存) を選択して設定を完了します。
ファイルを編集画面にドラッグアンドドロップして、Identity Provider Metadata (IDプロバイダのSAMLメタデータ) ファイルをKeeper SSO Connect Cloudインスタンスのインターフェースにアップロードします。
アップロードが完了すると、画面をひとつ戻ります。 SSO連携をテストする準備ができました。
Keeper SSO Connect CloudをOktaと連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
Oktaポータルの管理者セクションにログインします。
左側のメニューから[Applications] (アプリケーション) を選択して、[Browse App Catalog] (アプリカタログを見る) をクリックします。
**Keeperパスワードマネージャ(Keeper Password Manager)を検索し、Keeperパスワードマネージャ&デジタルボルト(Keeper Password Manager and Digital Vault)アプリケーションの追加(Add)**ボタンを選択します。
次に表示される全般設定(General Settings)ページで、Keeper管理コンソールに表示された「Entity ID」が必要になります。
サーバーベースURLの例: https://keepersecurity.com/api/rest/sso/saml/XXXXXXXX
XXXXXXXXの値は、ユーザーの企業に関連付けられた特定のSSO Connectインスタンスを表し、以下に示すように、サービスプロバイダ情報の一部として管理コンソールのSSO設定で確認できます。
Okta画面のベースURL(Base URL)フィールドにエンティティIDを貼り付けます。
次に、**サインオン(Sign On)**タブを選択します。
SAML署名証明書の設定セクションまで下にスクロールし、アクション(Actions) > IdPメタデータを表示(View IdP metadata)を選択します。
表示されたXMLファイルをコンピュータに保存します。Chrome、Edge、Firefoxで、**ファイル(File) > 名前を付けてページを保存...(Save Page As...)**を選択して、metadata.xmlファイルを保存します。
Keeper側でSSO設定を編集して、IDPタイプにOKTAを選択し、metadata.xmlファイルを参照するか、または設定画面にドラッグアンドドロップして、Keeper SSO Connectインターフェースにアップロードします。
Oktaでシングルログアウト機能を有効にしたい場合は、**サインオン(Sign On)**タブに移動して、編集(Edit)をクリックします。 「シングルログアウトを有効化(Enable Single Logout)」チェックボックスをクリックし、Keeper管理コンソールに表示されたSP証明書をアップロードします。
まずSP証明書をダウンロードするために、KeeperでSSO設定を表示し、**SP証明書をエクスポート(Export SP Cert)**ボタンをクリックします。
SP証明書ファイルをアップロードし、**保存(Save)**を必ずクリックして、サインオン設定をOktaに保存してください。
シングルログアウト設定を変更した場合は、最新のOktaメタデータファイルをダウンロードし直し、SSOの編集画面で新しいmetadata.xmlファイルをKeeperにアップロードする必要があります。
[Actions]メニューから、[View IdP metadata]を選択します。
表示されたXMLファイルをコンピュータに保存します。Chrome、Edge、Firefoxで、**ファイル(File) > 名前を付けてページを保存...(Save Page As...)**を選択して、metadata.xmlファイルを保存します。
Keeper管理コンソール側でSSO設定を編集してから、新しいmetadata.xmlファイルを参照するか、セットアップ画面にドラッグアンドドロップして、Keeper SSO Connectインターフェースにアップロードします。
Okta SCIMのユーザーおよびグループのプロビジョニングを有効にするには、以下のEnterpriseガイドに記載されている手順に従ってください。 https://docs.keeper.io/enterprise-guide/user-and-team-provisioning/okta-integration-with-saml-and-scim
Oktaから、**割当(Assignments)**ページでユーザーまたはグループを追加できるようになりました。 こちらの手順に従ってSCIMプロビジョニングを有効化すると、ユーザーは即座にKeeperにプロビジョニングされます。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
Keeper SSO Connect CloudをPingOneと連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。PingOneを使用していない従来のPing Identityユーザーは、Ping Identityのドキュメントをご参照ください。
PingOneポータル(https://admin.pingone.com/)にログインします。
PingOneのコンソールメニューから、接続(Connections) > **アプリケーションカタログ(Application Catalog)**を選択します。
「Keeper」を検索し、+
をクリックして、**Keeperパスワードマネージャ(Keeper Password Manager)**アプリケーションを追加します。
Keeper管理コンソールから、PingOne SSO Connect Cloudのエントリーを表示し、以下のスクリーンショットに示したKeeper SecurityドメインとKeeper Security識別子をメモします。
前の手順の**Keeper Securityドメイン(Keeper Security Domain)とKeeper Security識別子(Keeper Security Identifier)**を入力し、**次へ(Next)**をクリックします。
デフォルトのマッピングを承諾して、**次へ(Next)**をクリックします。
PingOneユーザーグループをアプリケーションに追加することもできます。 追加したいグループ(複数可)の隣の+
をクリックし、**保存(Save)**をクリックして、アプリケーションのセットアップウィザードを完了します。
PingOneユーザーは、デフォルトでKeeperパスワードマネージャにアクセスできるようになります。 Keeperパスワードマネージャにグループを割り当てることで、アクセスをそれらのグループだけに制限します。
**メタデータをダウンロード(Download Metadata)**をクリックします
Keeper SSO Connect Cloud™のプロビジョニングの**編集(Edit)画面で、IDPタイプとして汎用(Generic)**を選択します。
前の手順でダウンロードしたSAMLメタデータファイルを参照するか、または**SAMLメタデータ(SAML Metadata)**セクションにドラッグアンドドロップして、Keeper SSO Connectインターフェースにアップロードしてください。
これでPingOneのKeeper SSO Connect Cloud™エントリーの表示が**有効(Active)**になります。
PingOne Keeper SSO Connect Cloud™の設定が完了しました。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
Keeper SSO Connect CloudをSecureAuthと連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
SecureAuthは、その他のSAML 2.0プロバイダセクションと同じ手順で設定できます。SecureAuth環境を設定するには、そのガイドに従ってください。
参考までに、こちらのSecureAuthガイドをご使用ください。
SecureAuthに関して注意すべきその他の重要事項:
接続の種類(Connection Type)セクションで、「POST方式(By Post)」が選択されていることを確認します。
「SAMLアサーションに署名(Sign SAML Assertion)」と「SAMLメッセージに署名(Sign SAML Message)」を必ず選択します。
IdPメタデータのエンティティIDがSecureAuthのSAMLレスポンスと一致することを確認します。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
Keeper SSO Connect CloudをRipplingとさせて、スムーズで安全なSAML 2.0認証とSCIMプロビジョニングを実現
最初に管理コンソールの設定の手順を完了してください。
Rippling管理コンソールにログインします。
ログイン後、[Home] (ホーム)にカーソルを合わせて左下の[App Shop] (アプリショップ) をクリックします。
App Shopの左上の検索バーでKeeperを検索し、検索結果からKeeperを選択します。
Keeperをクリックして選択した後、[Connect Account] (アカウントを接続) をクリックししてSSO設定を始めます。
Rippling側のSSOセットアップガイドを進んでセットアップを行います。
以下のページまで進むと、SSOセットアップは完了となりますが、任意でSCIMプロビジョニングをセットアップできます。SCIMプロビジョニングをセットアップする場合は[Continue with API] (APIを続ける) を選択してガイドを進みます。SCIMプロビジョニングをセットアップしない場合は、[Skip for now, visit app] (スキップしてアプリを開く) をクリックします。
ここでユーザーを割り当てて、Ripling環境でどのユーザーがKeeperにアクセスできるかを指定できます。
For more detailed configuration of SCIM設定の詳細については法人向け管理者ガイドのユーザーとチームのプロビジョニングページをご参照ください。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
SCIMを直接Google Workplaceに統合してユーザープロビジョニング
本ページでは、SCIMの直接統合を使用してGoogle WorkspaceからKeeper にユーザーをプロビジョニングする手順について解説します。このメソッドでは、グループとグループ割り当てのプッシュがサポートされていません。グループプッシュとグループ割り当てが必要な場合は、「Cloud Serviceを使用したGoogle Workspaceユーザーとチームのプロビジョニング」のページをご参照ください。
ユーザー プロビジョニングには、以下のライフサイクルマネジメント向け機能が備わっています。
Google Workspaceに新しくユーザーを追加すると、そのユーザーにKeeperボルトセットアップの招待メールが届きます。
ユーザーは、ユーザーまたはチーム単位でKeeperに割り当てることができます。
ユーザーのプロビジョニングが解除されると、Keeperアカウントが自動的にロックされます。
Keeper管理コンソールから、Google Workspaceノードの[プロビジョニング]タブに移動し、[メソッドを追加]をクリックします。
SCIMを選択して[次へ]をクリックします。
[プロビジョニングトークンを作成]をクリックします。
次の画面に表示されるURLとトークンは、Google Workspace管理コンソールで必要となりますので、URLとトークンをファイルに一時的に保存してから[保存] をクリックします。
URLとトークンを必ず保存してから[保存] をクリックするようにします。 これらのパラメータは次の手順で必要となります。
Google Workspace管理コンソールに戻って、Home (ホーム) > [Apps] (アプリ) > [SAML Apps] (SAMLアプリ) に移動し、セットアップしたKeeperの横の[Provisioning Available] (プロビジョニングが利用可能) というテキストをクリックします。
ページ下部にある[Configure auto-provisioning] (自動プロビジョニングの設定) を選択します。
Keeper管理コンソールでSCIMプロビジョニングメソッドを作成したときに保存したアクセストークンを貼り付け、[CONTINUE] (続行) をクリックします。
Keeper 管理コンソールでSCIMプロビジョニングメソッドを作成したときに保存したエンドポイント URLを貼り付け、[CONTINUE] (続行) をクリックします。
デフォルトの属性マッピングのまま[CONTINUE] (続行) をクリックします。
Keeper SSO Connectに割り当てられたすべてのユーザーをプロビジョニングする場合は、[CONTINUE] (続行) をクリックします。
Deprovisioning (プロビジョニング解除) 画面で、[FINISH] (完了)をクリックすると、ユーザーのプロビジョニング解除を自動化できます。
自動プロビジョニングのセットアップが完了すると、Keeperの詳細画面に戻ります。自動プロビジョニングが非アクティブになっているのでアクティブに切り替えます。
切り替えた後、自動プロビジョニングをアクティブにする準備ができていることを確認するポップアウトウィンドウが表示されるので、[TURN ON]をクリックします。
Keeperの詳細画面に戻ると、自動プロビジョニングがアクティブになっています。
自動プロビジョニングの設定が完了しました。今後、Google WorkspaceでKeeperを使用するように設定され、プロビジョニングスコープの定義内にある新しいユーザーは、Keeperボルト使用の招待を受け取り、Google Workspaceの制御下に置かれます。
Google Workspace SCIMプロビジョニングを介してKeeperにユーザーをプロビジョニングしつつSSOでユーザーを認証しない場合は、以下の手順を行います。
上記のSSO設定の場合と同じ手順に従い、サービスプロバイダの詳細画面でACS URLとEntity IDを、コントロール内のドメインを指し、通信可能なソースがないNULL値で置き換えます。 例: Entity ID=https://null.yourdomain.com/sso-connect ACS URL=https://null.yourdomain.com/sso-connect/saml/sso
Google Workspaceで Keeper アプリケーションがセットアップされると、本ページで前述した通りに自動プロビジョニングメソッドを有効にします。
注: Googleは現在Keeperチームへのグループプロビジョニングに対応していません。
「not_a_saml_app」というエラーが表示された場合は、SAML アプリケーションで「自動プロビジョニング」が「オン」になっていることを確かにしてください。
SAMLアサーションへの署名用GoogleのIdP x.509証明書は5年後に期限が切れるように設定されています。Google Workspaceの[Manage Certificates] (証明書の管理) の箇所で有効期限をメモし、将来の機能停止を防ぐためにカレンダーのアラートを設定する必要があります。
証明書の有効期限が迫っている場合や証明書の有効期限が切れている場合は、以下の手順に従います。
Google Workspace管理コンソールにログインします。
[アプリ]をクリックしてから[ウェブアプリとモバイルアプリ]を選択します。
Keeperを選択します。
サービスプロバイダを開きます。
[証明書を管理]をクリックします。
[ADD CERTIFICATE] (証明書の追加) をクリックします。
[DOWNLOAD METADATA] (メタデータのダウンロード) をクリックします。
メタデータファイルを保存します。これがIdPメタデータとなります。
Keeper管理コンソールへログインします。
[管理者] > SSOノード > プロビジョニングへ移動し、SSO Cloudプロビジョニングメソッドを編集します。
Google IdPメタデータをKeeperへアップロードします。
本件の詳細については、以下のGoogleサポートページをご参照ください。
https://support.google.com/a/answer/7394709
ルートノード (最上位) で作成されたユーザーは、SSO統合が設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力が必要となります。
管理者は、SSOが有効になっているノードに自分自身を移動することはできません。この操作を実行するには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンを選択し、SSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
Keeper SSO Connect CloudをPing Identityと連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
Ping Identityポータルにログインします。
Ping Identityのメニューから、**アプリケーション(Applications)**を選択します。
次に、**アプリケーションを追加(Add Application)**を選択し、**新規SAMLアプリケーション(New SAML Application)**を選択します。
アプリケーションの詳細(Application Details)ページで、以下のデータを追加します。
アプリケーション名(Application Name):Keeperパスワードマネージャ(Keeper Password Manager) アプリケーションの詳細(Application Detail):パスワードマネージャ&デジタルボルト(Password Manager and Digital Vault) カテゴリ(Category):コンプライアンス(Compliance)(またはその他) 画像(Graphic):Keeperの画像をアップロード[こちら] https://s3.amazonaws.com/keeper-email-images/common/keeper256x256.png
続いて、**次の手順に進む(Continue to Next Step)**を選択します。
次の手順で、Ping IdentityからSAMLメタデータをダウンロードします。**SAMLメタデータ(SAML Metadata)**の隣のダウンロード(Download)リンクを選択します。
saml2-metadata-idp.xmlファイルがローカルコンピュータにダウンロードされます。 Keeper SSO Connect Cloud™のプロビジョニング編集(Edit)画面で、IDPタイプに汎用(Generic)を選択し、saml2-metadata-idp.xmlファイルを参照するか、または設定画面にドラッグアンドドロップして、Keeper SSO Connectインターフェースにアップロードします。 設定画面:
次に、Keeperのメタデータファイルをダウンロードし、Pingアプリケーションの設定にアップロードします。 Keeper SSO Connect Cloud™のプロビジョニングの表示画面に移動します。
「メタデータをエクスポート(Export Metadata)」ボタンをクリックして、config.xmlファイルをダウンロードします。
Ping Identityアプリケーションの設定に戻って、ファイルを選択(Select File)ボタンを選択し、上記の手順でダウンロードしたconfig.xmlを選択します。
**次の手順に進む(Continue to Next Step)**を選択します。
次の手順で、属性をマッピングします。**新規属性を追加(Add new attribute)**ボタンを選択します。
属性1では、アプリケーション属性(Application Attribute)列に「名(First)」と入力し、IDブリッジ属性またはリテラル値(Identity Bridge Attribute or Literal Value)列で**ファーストネーム(First Name)**を選択して、必須(Required)ボタンをチェックします。**新規属性を追加(Add new attribute)**ボタンを選択します。\
属性2では、アプリケーション属性(Application Attribute)列に「姓(Last)」と入力し、IDブリッジ属性またはリテラル値(Identity Bridge Attribute or Literal Value)列で**ラストネーム(Last Name)**を選択して、必須(Required)ボタンをチェックします。**新規属性を追加(Add new attribute)**ボタンを選択します。\
属性3では、アプリケーション属性(Application Attribute)列に「メール(Email)」と入力し、IDブリッジ属性またはリテラル値(Identity Bridge Attribute or Literal Value)列で**メール(Email)**を選択して、必須(Required)ボタンをチェックします。 アプリケーション属性:名、姓、メールは大文字で始まる必要があります。
Keeperアプリケーションへのアクセスが必要なグループを選択します。 完了したら、「次の手順に進む(Continue to Next Step)」をクリックします。 設定内容を確認してから、**完了(Finish)**ボタンを選択します。
重要な注意事項:Ping Identity設定のアプリケーションの設定(Application Configuration)セクションで、「署名(Signing)」セクションの「署名レスポンス(Sign Response)」の署名アルゴリズムとして、「RSA_SHA 256」が選択されていることをご確認ください。
Keeperアプリケーションが追加されて、有効になっているはずです。
これでKeeper SSO Connectの設定は完了です。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
Keeper SSO Connect CloudとShibbolethでスムーズで安全なSAML 2.0認証とSCIMプロビジョニングを設定
最初に管理コンソールの設定の手順を完了してください。
Keeper管理コンソール内のSSO Connect Cloudプロビジョニングメソッドで[表示]を選択します。そこから、Keeperメタデータファイルをダウンロードして保存することができます。
Shibbolethは、リライングパーティとしてのKeeperに関する基本情報を有している必要があります。その情報はSAMLメタデータで定義されていますので、Keeperメタデータファイルを IDP_HOME/metadata/
ディレクトリに追加します。
IDP_HOME/conf/relying-party.xml
で新しいRelyingParty要素を定義することで、Keeper と通信する際にどのように動作するかをShibbolethに指示します。以下のコードを DefaultRelyingParty要素の直後に追加します。プロバイダ属性を法人IDに置き換えます (DefaultRelyingPartyで設定されているプロバイダを使用します)。
引き続きIDP_HOME/conf/relying-party.xml
ファイルで、手順2で追加したKeeperメタデータファイルを使用する設定を行います。既存の設定済みプロバイダの隣に以下の MetadataProvider要素を追加します (ID値が「FSMD」であるはずです)。IDP_HOMEは実際のインストールパスに置き換えてください。
Keeperでは、認証中に特定のユーザー属性のマッピングが送信される必要があります。以下の表に見られるように、デフォルトのKeeper SSO Connect Cloudユーザー属性は、Email (メールアドレス)、First (名)、Last (姓)となります。IDP_HOME/conf/attribute-resolver.xml
を変更することで、Shibbolethの属性リゾルバーを設定してこのデータを利用できるようにします。
Shibboleth Identity Provider SAML属性を設定する際に、KeeperはNameIDFormatがemailAddressの形式で提供されることを想定しています。推奨されたNameIDFormatを使用するか、Keeperにユーザー名ログイン識別子としてユーザーのメールアドレスを与えるような環境に適した値を入力します。
最後に、principal
属性 (NameIDとしてエンコード) をGoogleに解放するようにShibboleth属性フィルタリングエンジンを設定します。以下のコードを既存のポリシー要素とともに IDP_HOME/conf/attribute-filter.xmlに追加します。
http://shibboleth.example.com/idp/shibboleth
または <install_folder>/shibboleth-idp/metadata
のShibbolethファイルシステムにあるShibbolethメタデータを見つけます。
Shibbolethメタデータを手動で変更し、すべてのユーザーエンドポイントのコメントが解除されていることを確かにします (例: SingleLogout)。
XMLファイルを保存します。
Shibbolethメタデータ ファイルの準備ができると、Keeper管理コンソールに戻り、SSO Connect クラウドプロビジョニングメソッドで[編集]を選択します。
[アイデンティティプロバイダ]まで下にスクロールし、[IDP タイプ]を [GENERIC] に設定し、[ファイルの参照]を選択して Shibbolethメタデータ ファイルを選択します。
Keeper 管理コンソール内で編集ビューを終了し、SSO Connect Cloudプロビジョニングメソッドで[表示]を選択します。 [アイデンティティプロバイダ]セクション内に、現在設定されている法人ID、シングルサインオンサービス、シングルログアウトサービス エンドポイントのメタデータ値が表示されます。
ShibbolethインスタンスでKeeperのアイコンやロゴファイルが必要な場合は、グラフィックアセットページをご参照ください。
Keeper SSO Connect Cloudのセットアップはこれで完了です。SSOを使用してKeeper にログインしてみてください。
SSOが機能していない場合は、Shibbolethの設定、メタデータファイル、ユーザー属性にエラーがないか確認してください。
確認が完了後に手順4を繰り返します。
サポートが必要な場合は、enterprise.support@keepersecurity.comまでメールでお問い合わせください。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
Keeper SSO Connect CloudをOneLoginと連携させて、スムーズで安全なSAML 2.0認証とSCIMプロビジョニングを実現
最初に管理コンソールの設定の手順を完了してください。
OneLoginポータルにログインします。
2. 管理(Administration)を選択して、管理者セクションに移動します。
3. oneloginメニューから、アプリケーション(Applications)、**アプリを追加(Add App)**の順に選択します。
検索フィールドで**Keeper パスワードマネージャ(Keeper Password Manager)**を検索し、検索結果から選択します。
4. **Keeper マネージャを追加(Add Keeper Manager)**画面で、保存(Save)をクリックします。
5. 次の手順で、OneLoginからSAMLメタデータをダウンロードします。**その他のアクション(MORE ACTIONS)**ボタンの下矢印を選択して、**SAMLメタデータ(SAML Metadata)**を選択します。
Keeper管理コンソールのSSO Connect™ Cloudを使用したシングルサインオン(Single Sign-On with SSO Connect™ Cloud)セクションのSAMLメタデータ(SAML Metadata)セクションに、この保存したファイルをドラッグアンドドロップするか、または参照して入力します。
6. Keeper管理コンソールで、ACSエンドポイント(Assertion Consumer Service (ACS) Endpoint)フィールドをコピーします。
7. OneLoginの設定(Configuration)タブに戻り、Keeper SSO Connectの**ACSエンドポイント(Assertion Consumer Service (ACS) Endpoint)**フィールドに貼り付け、**保存(Save)**をクリックします。
8. SCIMを使用したい場合は、Keeperのプロビジョニング(Provisioning)タブに戻り、「メソッドを追加(Add Method)」をクリックして、SCIMを選択します。 使用しない場合は、省略して手順12に進みます。
9. 生成(Generate)をクリックし、URLとトークンをコピーします。
10. 「URL」を**SCIMベースURL(SCIM Base URL)に、「トークン(Token)」をSCIMベアラートークン(SCIM Bearer Token)**に貼り付けます。
11. Keeper管理コンソールで、SCIMトークンを必ず保存してください。
SCIMの詳細な設定については、Enterpriseガイドのユーザーとチームのプロビジョニングセクションをご覧ください。
12. **保存(Save)**をクリックして、連携を完了します。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
Keeper SSO Connect CloudをRSA SecurID Accessと連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
Keeper SecurityはRSA SecurID Accessに認定されています。
RSA SecurID Accessには、RSA認証マネージャとそのクラウド認証サービスが統合されています。この設定によって、クラウド認証サービスをIDプロバイダとして使用し、Keeper SSO Connectと組み合わせることができます。詳細なドキュメントは、以下のリンクからRSAのウェブサイトで入手できます。
Keeper SSO Connect CloudをHENNGEと連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
(1) HENNGE管理者コンソールへログインします。
メニューの[Administration] (管理) タイルをクリックします。
(2) [Connected Services] (接続済みサービス) を選択し、[Add Service] (サービスを追加) をクリックします。
[Add New Service] (新規サービスを追加) ページの[Add Service for SSO]で、[Add Service Manually] (手動でサービスを追加) をクリックします。
(3) サービス名を「Keeper Password Manager and Digital Vault」など任意の名前に設定し、「UsePrincipleName (UPN)」という値の属性Emailクレームを追加して[Submit]ボタンをクリックします。
お使いの環境で、user.userprincipalname (UPN) がユーザーの実際のメールアドレスと異なる場合は、Emailクレームを編集して、Email属性の値をuser.mailに変更できます。
これで、(5)のKeeper 側の設定に必要な値がすべて表示されます。右上の[X]をクリックして、このページから一旦離れます。
[Connected Services menu] (接続サービス) メニューで作成したサービス名をクリックし、[Upload Using Metadata] (メタデータを使用してアップロード) ボタンをクリックします。
Keeper メタデータは管理コンソールで利用できます。 プロビジョニングのメソッド -> [表示] -> [メタデータをエクスポート]に移動します。
(4) メタデータをアップロードした後、HENNGE Connected Service設定ページに戻り、https://keepersecurity.com/api/rest/sso/ext_login/<SSOID>のようにログインURLを入力します。
SSO IDはSPエンティティIDの末尾にあります。 例: https://keepersecurity.com/api/rest/sso/saml/3534758084794
ページの一番下までスクロールし、[Save Changes] (変更を保存) ボタンを選択して設定を完了します。
(5) 最後に、このコネクタからメタデータをエクスポートしてKeeper SSO Connect Cloud™へインポートします。
[IDPタイプ]を[Generic]に設定し、このファイルを編集画面にドラッグアンドドロップしてKeeper SSO Connect Cloud™ プロビジョニングインターフェイスにアップロードします。
HENNGEで、[User list] (ユーザーリスト) ページの [Access Policy] (アクセスポリシー) でユーザーを追加したり、[Access Policy Groups] (アクセスポリシーグループ) ページの[Allowed services] ( 許可されたサービス) の箇所でグループを追加したりできるようになりました。
Keeper SSO Connectのセットアップが完了しました。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
SSO Connect Cloudのパスワードレス設定
前述の管理コンソールの設定セクションは、すべてのSAML 2.0準拠パスワードレスプロバイダに適用されます。 一般的なパスワードレスプロバイダの設定をサポートするために、次のセクションに参考になる画面をいくつか追加しました。
ご利用のパスワードレスプロバイダがこちらに記載されていなくても大丈夫です。 Keeperは、すべてのSAML 2.0 SSOパスワードレス認証製品と互換性があります。 上記のリストにある同様のプロバイダの順を追った説明に従えばよいだけです。設定の流れはほぼ同じになります。
(ご利用のIDプロバイダの設定ガイドを作成された場合は、ぜひ共有をお願いします。こちらに掲載させていただきます)。
KeeperクラウドSSOコネクトをCloudGate UNOと連携させて、スムーズで安全なSAML 2.0認証を実現
最初に管理コンソールの設定の手順を完了してください。
(1) CloudGate管理者コンソールへログインします。
[Admin Site]のタイルをクリックします。
(2) 左側のメニューから[設定] > [サービスプロバイダー]を選択し、[サービスプロバイダー追加]をクリックします。
「サービスプロバイダー追加」ページの検索バーで「Keeper」を検索します。「Keeper SSO Connect Cloud」のアイコンを選択してクリックします。
(3) 「一般設定」タブの「表示名」を「Keeper_SSO_Cloud_Connet」など任意の名前に設定します。
(4) 「シングルサインオン設定」タブで、「エンティティID」などの情報が必要になりますので、Keeper管理コンソールを開いてコピーします。
コピーした「エンティティID」などの情報をCloudGateのシングルサインオン設定ページに貼り付けます。
SSO IDは、SPエンティティIDの末尾にあります。
例: https://keepersecurity.com/api/rest/sso/saml/3534758084794
(5) 「追加属性」で[追加]をクリックし、「フィールド名」を「Email」に「値」を「${MAIL_ADDRESS}」に設定して保存します。
CloudGateでシングルログアウト機能を有効にする場合は、「シングルサインオン設定」タブに移動して「ログアウトURL」を入力してから、Keeper管理コンソールから取得したSP証明書をアップロードします。
SP証明書をダウンロードするには、Keeper管理コンソールでSSO設定ページを表示し、[SP 認証エクスポート]ボタンをクリックします。
次に、「シングルログアウト (SLO) エンドポイント」情報をコピーして、CloudGateのシングルサインオン設定ページに貼り付けます。
(6) 最後に、「シングルサインオン設定」タブの「SMAL 2.0 メタデータ」からメタデータをダウンロードして、KeeperクラウドSSOコネクトへインポートします。
Keeper管理コンソールへ戻り、作成したクラウドSSOコネクトによるSSO設定の編集画面に入ります。「IDPタイプ」を「GENERIC」に設定し、ファイルを「ここにファイルをドロップしてください」と書かれた箇所へドラッグアンドドロップします。
CloudGateの左側のメニューの「アカウント管理」 > 「ユーザー」へ移動し、任意のユーザーをクリックします。「ユーザー管理」ページの「ユーザー設定」タブでユーザーを追加できるようになっています。
同じページの「ユーザーID」の下の[さらに表示する]をクリックして「メールアドレス」の値が入っていることを確認します。
[保存]をクリックして、KeeperクラウドSSOコネクトとCloudGateの設定を完了します。
Keeper SSOコネクトの設定が完了しました!
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
Keeper SSO Connect CloudをVeridiumと連携させて、Keeperにパスワードなしでログイン
(1) 新しいサービスプロバイダを追加
Veridiumインターフェースで、[Add Service Provider] (サービスプロバイダを追加) をクリックします。
(2) Keeperメタデータをダウンロード
Keeper管理コンソールで、SAMLメタデータファイルをエクスポートします。
[表示]-> [メタデータをエクスポート]へ移動します。
(3) Veridiumにメタデータをアップロード
[Service provider name] (サービスプロバイダ名) フィールドに「Keeper」と入力し、Keeperのメタデータファイルをアップロードして、NameID format (NameID形式) に「Email」 を選択します。
(4) 属性をマッピング
firstname、lastname、mailの属性をマッピングして[Save] (保存) をクリックします。
これで連携は完了です。 以下はVeridiumのログインフローを示す動画となります。
Keeper SSO Connect CloudをSSO IDプロバイダと連携させて、スムーズで安全なSAML 2.0認証を実現
Keeperは、すべてのSAML 2.0 SSO IDプロバイダ(IdP)と互換性があります。ご利用のIDプロバイダがリストにない場合は、このガイドの手順に従って設定を完了してください。この設定において、Keeperはサービスプロバイダ(SP)です。
Keeper SSO Connect Cloudについて、以下のような情報をIDプロバイダのアプリケーションに提供する必要があります。
エンティティID
IdPが起点となるログインエンドポイント
ACS(Assertion Consumer Service)エンドポイント
シングルログアウト(SLO)サービスエンドポイント
SPメタデータファイルまたはKeeper SP証明書ファイル
この情報を取得するには、Keeper管理コンソール内でSSO Connect Cloudプロビジョニングメソッドを見つけて、**表示(View)**を選択します。 そこから、Keeperメタデータファイル、サービスプロバイダ(SP)証明書ファイル、およびダイレクトURLと設定情報をダウンロードできます(IDプロバイダアプリケーションがメタデータファイルのアップロードをサポートしていない場合)。
サービスプロバイダのメタデータをアップロードする方法、または必要なSAMLレスポンス設定フィールドに手動で入力する方法については、IDプロバイダのアプリケーション設定ガイドをご参照ください。
IdPメタデータをKeeperにインポートするには、正しく書式設定されたメタデータファイルが必要です。 ご利用のSSO IDプロバイダのアプリケーションがメタデータファイルをエクスポートできる場合、これがKeeper SSO Connect Cloudプロビジョニングメソッドにメタデータをインポートするための最も便利でお勧めの方法でしょう。
ご利用のIDプロバイダからメタデータファイルをエクスポート/ダウンロードできない場合は、正しく書式設定されたメタデータファイルを作成してください。 手順については、SSOアプリケーションの設定ガイドをご参照ください。
Keeper SSO Connect Cloudに対応したIDプロバイダのシンプルなmetadata.xmlファイルの書式のサンプル/テンプレートを以下に示します。 このサンプル/テンプレートを使用して作成を開始する場合は、お好みの.xmlや.txt用のエディターで、ご利用のIdPの情報に従って、その他のフィールドをコピー、貼り付け、修正、追加してください。
この例に含まれているフィールドは、SSOアプリケーションをKeeperに接続するために最低限必要なものなので、どのフィールドも削除「しない」でください。
Keeperでは、認証中に送信される特定のユーザー属性をマッピングする必要があります。 Keeper SSO Connect Cloudのデフォルトのユーザー属性は、以下の表に示したEmail、First、Lastです。 IDプロバイダのユーザー属性がKeeperの属性と一致するようにしてください。 手順については、ご利用のIDプロバイダの設定ガイドをご参照ください。
IDプロバイダのメタデータファイルの作成、またはIDプロバイダのメタデータファイルのダウンロードが完了したら、Keeper管理コンソールに戻り、SSO Connect Cloudプロビジョニングメソッドを見つけて、**編集(Edit)**を選択します。
**IDプロバイダ(Identity Provider)セクションまで下にスクロールし、IDPタイプ(IDP Type)を汎用(GENERIC)**に設定して、**ファイルを参照(Browse Files)**を選択し、作成したメタデータファイルを選択します。
引き続き、Keeper管理コンソール内のSSO Connect Cloudプロビジョニングメソッドで、編集(Edit)ビューを終了して、**表示(View)**を選択します。 IDプロバイダ(Identity Provider)セクション内のエンティティID(Entity ID)、シングルサインオンサービス(Single Sign On Service)、**シングルログアウトサービスエンドポイント(Single Logout Service Endpoint)**のメタデータ値が入力されたことを確認できます。
成功です。 これでKeeper Security SSO Cloudの設定が完了しました。 これで、SSOを使用してKeeperへのログインを試すことができます。
アプリケーションが機能していない場合は、IDプロバイダのアプリケーション設定を見直し、メタデータファイルとユーザー属性にエラーがないか確認してください。
確認が済んだら、手順4を繰り返します。
サポートが必要な場合は、enterprise.support@keepersecurity.comまでメールでご相談ください。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます
SSOクラウドのデバイス承認システム
デバイス承認はSSO Connect Cloudプラットフォームで必須となる要素です。 承認は、ユーザーまたは管理者が実行することも、Keeper Automator サービスを使用して自動的に実行することもできます。
Keeper SSO Connect Cloudで認証するカスタマーの場合、デバイスの承認によりキー転送が実行され、ユーザーの暗号化されたデータキーがデバイスに届けられてから楕円曲線秘密キーを使用してローカルで復号化されます。
Keeper SSO Connect Cloudでは、どのSAML 2.0IDプロバイダを使用しても簡潔なログイン処理を維持しつつゼロ知識暗号化を実現できます。
過去に使用したことのないデバイスでログインしようとすると、楕円曲線暗号の秘密鍵と公開鍵のペアが新しいデバイスで生成されます。 IDプロバイダの認証に成功すると、ユーザーが新しいデバイスでボルトを復号化できるように鍵交換を実行する必要があります。これを「デバイス承認」と呼びます。
ブラウザでゲストモード、プライベートモード、またはシークレットモードを使用すると、ブラウザを起動するたびに新しいデバイスとしてKeeperに識別されるため、デバイス承認が新たに必要になります。
ゼロ知識を維持し、Keeperのサーバーが暗号鍵に一切アクセスできないようにするために、ユーザーまたは指定された管理者が実行できるプッシュ通知による承認方式を開発しました。また、Keeperを使用するとデバイス承認と鍵交換を自動的に実行するサービスをホストできるため、ユーザーの操作は一切不要となります。
デバイス承認方式には以下が含まれます。
管理コンソールからの管理者承認
管理者によるエンドユーザーのSSOクラウドデバイス承認
管理者管理コンソールからの管理者承認方法
[管理者の承認]を選択すると、[デバイスの承認]の権限を持つKeeper管理者にリクエストが送信されます。 管理者は、管理コンソールの[承認待ち]画面から、またはリクエスト時に管理コンソールにログインして承認できます。
(1) ユーザーが[管理者承認]を選択します
(2) 承認を待つか、後ほど戻ります。
(3) 管理者が管理コンソールにログインし、[承認待ち]にアクセスします。
(4) 管理者が情報を確認し、デバイスを承認します。
承認するデバイスを選択し、[承認]をクリックします。 ユーザーが待機している場合は、即座にログインが許可されます。そうでない場合、ユーザーは承認なしで後ほどログインできます (ウェブブラウザのキャッシュをクリアしたりアプリをリセットしたりしない場合)。
管理者は、「デバイスの承認」と呼ばれる特別な役割権限によりデバイスを承認できます。
(1) ルートノードまたはSSOノード内の[役割]へ移動します。
(2) 歯車アイコンを選択して、選択した役割の管理者権限を制御します。
(3) 「デバイスの承認」権限を割り当てます。
これで、この役割に追加されたユーザーは誰でも管理コンソールにログインしてデバイスを承認できるようになります。
他の管理権限と同様に、権限は最小限にするようにしてください
Indentを使用して、パスワード、共有フォルダなどのKeeperリソースへのアクセスを安全に付与
KeeperとIndentの連携により、Keeper Enterpriseユーザーが認証情報へのアクセスを安全にリクエストできます。Indentは監査ログを自動的に記録し、指定した期間が経過するとアクセスを自動的に失効させます。
Keeper (Keeper Enterprise、Keeper Secrets Manager、Keeper Connection Managerなど) でSCIMを使用してプロビジョニングされたチームを使用する限り、Indentとの連携が機能します。
新入社員の登録の効率化
ロール間での権限の標準化
メンバーが新しいロールに移行した場合の包括的な権限の移管
アクセス権の即時取り消しによるユーザーの安全な削除
本ページでは、IDプロバイダ (GoogleやOktaなど) を利用してKeeper Enterpriseに接続します。Indentは、これらのグループへの一時的な (または永続的な) アクセスを付与するために使用し、組織が監査とコンプライアンスに必要とする情報を自動的に収集します。
Google/OktaとKeeperの連携により、パスワード、シークレット、共有フォルダなどのKeeperリソースへのアクセスが付与されます。
Indentと連携するには、Keeper SSO Connect Cloud™でチームプロビジョニングを以下のいずれかのIDプロバイダ向けに設定する必要があります。
Azure - まもなくIndentに対応
Configuration (設定) の手順に従います
ガイドのUsing Indent + Okta Groupsの手順に沿って連携をテストします
Configuration (設定) の手順を参照します
ガイドのUsing Indent + Google Groupsの手順に沿って連携をテストします
Keeper SSO Connect CloudをTraitwareと連携させることで、Keeperにパスワードなしでログイン
注: パスワードレス連携は、管理コンソールで特定のノード(組織部門など)にのみ適用できます。
[管理者]タブをクリックし、[ノードを追加]をクリックします。
[プロビジョニング]タブで[メソッドを追加]をクリックします。
[SSO Connect® Cloud を使用したシングルサインオン]を選択して、[次へ]をクリックします。
[環境設定名]と[法人ドメイン]を入力して、[保存]をクリックします。後で法人SSOログインに使用するので、法人ドメインをメモしておきます。
Cloud SSO Connectを使用したSAML 2.0プロビジョニングメソッドが新規作成されて表示されます。メニューから[表示]を選択します。
法人IDとACSエンドポイント (Assertion Consumer Service Endpoint) をメモしておき、後ほどTraitWare側の設定で使用します。
左側のメニューから[Signing Keys] (署名鍵) を選択します。[Generate new Key Pair] (鍵ペアを新規生成) ボタンをクリックします。鍵ペアの表示名を入力し、任意の[Lifetime in Years] (年単位の有効期間)、[Private Key Type] (秘密鍵の種類)、[Private Key Size] (秘密鍵のサイズ) を選択してから、[Generate Key] (鍵を生成)をクリックします。
左側のメニューから[Applications] (アプリケーション) を選択し、[Add Application] (アプリケーションを追加) をクリックします。
SAML 2.0を選択します。
[Use a Template] (テンプレートを使用) をクリックして、Keeperを選択します。
前にメモしたKeeperの法人IDとACSエンドポイントを入力し、[Submit] (送信) をクリックします。
Traitware管理コンソールの[Applications] (アプリケーション) タブからKeeperを選択します。
[Provider Credentials] (プロバイダクレデンシャル) タブを選択し、[Traitware IdP SAML Metadata (XML)] (Traitware IdP SAMLメタデータ (XML))のダウンロードアイコンをクリックします。
[Save Application] (アプリケーションを保存) をクリックします。
Keeper管理コンソールに戻ります。
SAML 2.0 with Cloud SSO Connect™のプロビジョニングメソッドを編集します。
手順2のファイルを[SAML メタデータ]フィールドにアップロードします。
Traitware管理コンソールの[Users] (ユーザー) タブで、[Create User] (ユーザーを作成) を選択します。
フォームにすべて入力し、[Save Changes] (変更を保存) をクリックします
新規作成したユーザーをクリックし、[Applications] (アプリケーション) タブを選択します
Keeperの[Application Access] (アプリケーションアクセス) をオンにします
Traitware管理コンソールの[Applications] (アプリケーション) タブからKeeperを選択します。
[Enable All User Access] (すべてのユーザーアクセスを有効にする) をクリックします。
操作を確認し、[Enable Access] (アクセスを有効にする) をクリックします。
法人ドメインまたはメールアドレスを使用してログインします。
Keeperボルトに移動します。
メールアドレスを入力して、[次へ]をクリックします。
スマートデバイスのTraitwareアプリで、ブラウザに表示されたQRコードをスキャンします。
Keeperボルトにログインします。
法人ドメインを使用してログイン
Keeperボルトに移動します。
[法人SSOログイン]のドロップダウンをクリックし、[法人ドメイン]を選択します。
本ページのKeeper側設定部分で指定した法人ドメイン名を入力して、[接続]をクリックします。
スマートデバイスのTraitwareアプリで、ブラウザに表示されたQRコードをスキャンします。
Keeperボルトにログインします。
Keeper Auatomator向けイングレス設定
Keeper Automatorは、オンプレミス、クラウド、サーバーレスなど、さまざまな方法で導入できます。
ファイアウォールの受信トラフィックルールで以下のいずれかのルールセットを設定します。
USデータセンターをご利用のお客様
54.208.20.102/32
からインバウンドTCPポート443
34.203.159.189/32
からインバウンドTCPポート443
US / GovCloudデータセンターをご利用のお客様
18.252.135.74/32
からインバウンドTCPポート443
18.253.212.59/32
からインバウンドTCPポート443
EU / ダブリンデータセンターをご利用のお客様
52.210.163.45/32
からインバウンドTCPポート443
54.246.185.95/32
からインバウンドTCPポート443
AU / シドニーデータセンターをご利用のお客様
3.106.40.41/32
からインバウンドTCPポート443
54.206.208.132/32
からインバウンドTCPポート443
CA / カナダデータセンターをご利用のお客様
35.182.216.11/32
からインバウンドTCPポート443
15.223.136.134/32
からインバウンドTCPポート443
JP / 東京データセンターをご利用のお客様
54.150.11.204/32
からインバウンドTCPポート443
52.68.53.105/32
からインバウンドTCPポート443
加えて、テストやヘルスチェックの目的でオフィスネットワークからのトラフィックを許可しても良いでしょう。
Keeperのデータセンター地域に基づいて、記載のIPアドレスごとにルールを作成してください。
Keeperの記録への一時的なアクセスを許可
Azure App Servicesでデプロイ
本ページでは、Azure App Services内でKeeperオートメーターをウェブアプリとしてインスタンス化する手順を解説します。GCC HighやDoDなどの環境では、オートメーターをホストするのにこのサービスを利用いただけます。
コマンドラインを開き、オペレーティングシステムに応じて次のいずれかの方法を使用してURLエンコード形式で256ビットAESキーを生成します。
このコマンドによって生成される値を手順 6のために保存します。
Azureポータルから、検索バーで「App Services」を選択し、「+Create」から「+ Web App」を選択して新しいウェブアプリを作成します。
新しい「Resource Group」を作成します。
「Instance」に名前を付けます。
Publishに「Docker Container」を選択します。
Operating Systemに「Linux」を選択します。
サービスをホストする地域を選択します。
ご利用のLinux Planを選択するか新しいプランを作成します。最も低価格の料金プランは「Premium V3 P0V3」ですが、エンドユーザー環境にもよります。
Docker の箇所へ進みます。
Dockerでは以下のように設定します。
Options: Single Container
Image Service: Docker Hub
Access Type: Public
Image and tag: keeper/automator:latest
Monitoringの箇所へ進みます。
「Enable Application Insights」には「Yes」を選択します。
「Application Insights」を選択するか、新規で作成します。
「Review + create」の箇所へ進みます。
「Review + Create」、「Create」の順にクリックします。
数分後、WebAppが作成され、自動的に起動します。
「Go to Resource」をクリックしてコンテナ環境へ移動します。
デフォルトのドメイン値をメモしておきます。これはオートメーターサービスのセットアップと初期化の際に必要になります。
Configurationへ移動し、「New application setting」を選択します。
環境変数の設定は、以下のように左側メニューの「Environment variables」の箇所で行う場合があります。
以下のアプリケーション設定を追加します。
以下の環境変数を作成し、それぞれの値に設定します。
AUTOMATOR_CONFIG_KEY: 手順1からの値
AUTOMATOR_PORT: 8089
SSL_MODE: none
WEBSITES_PORT: 8089
[Apply]をクリックします。
[Diagnostic settings]を選択し、「+ Add diagnostic setting」をクリックします。
診断設定に名前を付けます。
[App Service Console logs]を選択します。
[App Service Application logs]を選択します。
[Send to Log Analytics workspace]を選択します。
Log Analyticsを選択するか、新規で作成します。
メイン メニューから[Logs]を選択します。[X]をクリックしてクエリウィンドウを閉じます。
以下は、Dockerデプロイメントと起動ログを見る手順となります。
AppServicePlatformLogs
以下は、アプリケーションエラーログを見る手順となります。
AppServiceConsoleLogs
メインメニューの「Monitoring」の箇所から[App Service Logs]を選択します。次に、「Application logging」の[File System]を選択し、任意の保持期間を設定します。
[Save]をクリックします。
メインメニューの「Overview」から[Log Stream]を選択し、オートメーターサービスが接続され、正しくログが記録されていることを確認します。
メイン メニューの「Monitoring」から[Health check]を選択します。次に、ヘルス チェック機能を有効にし、パスの値を「/health」に設定します。[Save]をクリックして設定を保存し、もう一度[Save] をクリックして変更を確定します。
Networkingの箇所で簡単なアクセスルールを設定したり、Azure Front Doorを構成したりできます。 メインメニューか[Networking]を選択し、[Enable with no access restrictions] (アクセス制限なしで有効にする) をクリックします。
[Access Restrictions]で、[Enabled from select virtual networks and IP addresses] (選択した仮想ネットワークとIPアドレスを有効にする) を選択し、[Unmatched rule action] (一致しないルールアクション)を[Allow]にします。[+ Add]をクリックして、受信アクセスルールを追加します。
「Add rule」 (ルールの追加) で、受信ファイアウォールルールを追加します。以下のページをご参照の上、それぞれの地域で「Connection verification only」 (接続検証のみ) となっているKeeper公開IPアドレスへのトラフィックを制限する必要があります。
[Add rule]をクリックします。
[Save]をクリックして構成を保存します。
インストール後、Keeperコマンダーを起動するか、既存のターミナルからkeeper shellと入力してセッションを開き、login
コマンドを使用してログインします。オートメーターを設定するには、Keeper管理者またはSSOノードを管理できる管理者としてログインする必要があります。
automator create
から始まる一連のコマンドを使用してオートメーターを作成します。
ノード名 (この場合は「Azure Cloud」) は、以下のように管理コンソールUIから取得します。
コマンドを実行すると、IDプロバイダからのメタデータを含むオートメーター設定が表示されます。
「URL」はまだ入力されていないことにご留意ください。これは、手順5のDefault Domainの値です。
以下のように、「automator edit」コマンドを実行します。これにより、URL が設定され、スキル (team
、team_for_user
、device
) も設定されます。
次に、キーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーが オートメーターに提供されます。
新しい構成でオートメーターを初期化します。
サービスを有効にします。
この時点で構成は完了となります。
外部のヘルスチェックについては以下のURLをご使用ください。
https://<server>/health
以下は curl
コマンドの例となります。
Keeperオートメーターがデプロイされましたので、ユーザー体験をテストできます。ユーザーが SSO IDプロバイダで認証した後は、承認を求めるプロンプトが表示されなくなります。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されません。
SSO Connect Cloud環境を使用した認証に基づく、自動デバイス承認サービス
Keeper Automatorは任意で選択できるサービスで、SSO IDプロバイダーからのログイン成功時に即時デバイスの承認、チームの承認、およびチーム ユーザーの割り当てを実行します。
Automatorが実行されると、ユーザーは ID プロバイダーによる認証に成功した後それ以上の承認手順を踏まずに、新しい (まだ承認されていない) デバイス上のKeeperにそのままアクセスできます。
Automatorサービスが設定されていない場合でも、ユーザーと管理者はプッシュ承認を通じてデバイスの承認実行できます。
Keeper Automatorは、さまざまな方法でクラウドまたはオンプレミス環境に展開できる軽量のサービスです。
Keeper SSO Connectは、IDプロバイダを使用してKeeperボルトへそのまま認証します。通常、新しいデバイスはユーザー自身が承認するか、管理者がユーザーの代わりに新しいデバイスを承認する必要があります。Automatorサービスはデバイスの承認に関連する煩わしい操作をすべて解消したいと考える管理者のために作成された任意で選択できるサービスとなります。
ゼロ知識を維持し、暗号化されたデータキー(EDK)のユーザーデバイスへの転送を自動化するには、サービスをKeeper側でホストするのではなく、 企業側で運用するサービスとして実行する必要があります。このサービスには様々な実行方法があり、クラウドでもセルフホストでも実行可能です。
ご利用の環境に応じて以下のインストール方法からお選びください。Azure Container AppとAWS Elastic Container Serviceのどちらかをご利用の場合はそちらの方法が最善となります。
Keeper SSO Connect CloudをJumpCloudと連携させて、スムーズで安全なSAML 2.0認証を実現
(1) JumpCloud管理者コンソールにログインします。
サイドメニューのSSOタブを選択します。
(2) 次に、左上隅の**+**アイコンを選択します。
「SSOアプリケーションを導入する(Get Started with SSO Application)」ページの検索バーで、Keeperを検索します。Keeperアプリケーションの設定(Configure)を選択します。
(3) 次に、Keeperアプリケーションのコネクタページの一般情報(General Info)セクションで、表示ラベル(Display Label)を設定します。 Keeper Securityパスワードマネージャ
**シングルサインオン設定(Single Sign-On Configuration)**で、メタデータをアップロード(Upload Metadata)ボタンをクリックします。
Keeperのメタデータは管理コンソールで取得できます。 プロビジョニングインスタンス -> 表示(View) -> メタデータをエクスポート(Export Metadata)に移動します。
(4) メタデータをアップロードしたら、JumpCloudのSSO設定ページに戻り、ログインURLを**https://keepersecurity.com/api/rest/sso/ext_login/<ご利用のSSO IDをこちらに入力>**のように入力します。
ご利用のSSO IDは、SPエンティティIDの最後に記載されています。 例: https://keepersecurity.com/api/rest/sso/saml/459561502469
ページの一番下までスクロールして設定を完了し、**有効化(activate)**ボタンを選択します。
(5) 最後の手順では、このコネクタからメタデータをエクスポートして、Keeper SSO Connect Cloud™にインポートします。
IDPタイプ(IDP Type)を汎用(GENERIC)に設定し、このファイルを編集画面にドラッグアンドドロップして、Keeper SSO Connect Cloud™のプロビジョニングインターフェースにアップロードします。
Keeper SSO Connectのセットアップが完了しました。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
Keeper SSO Connect CloudをAmazon AWS SSOと連携させて、スムーズで安全なSAML 2.0認証を実現
AWSにログインし、[AWS Single Sign-On] (AWSシングルサインオン) を選択します。
SSOダッシュボードで、[Configure SSO access to your cloud applications] (クラウドアプリケーションへのSSOアクセスを設定する) を選択します。
[Applications] (アプリケーション) メニューで、[Adda a new application] (新しいアプリケーションを追加) を選択します。
次に、Keeper Securityを選択して[Add] (追加) を選択します。
KeeperとAWSでアプリケーションコネクタを共同開発中です。
[Details] (詳細) セクションで[Display name] (表示名)と[Description] (説明) (任意) を入力します。
[AWS SSO metadata] (メタデータ) セクションで、[Download] (ダウンロード) ボタンを選択して、AWS SSO SAMLメタデータファイルをエクスポートします。このファイルは、設定画面の[SSO Connect IdPMetadata] (メタデータ) セクションでインポートします。
このファイルをKeeper SSO Connectサーバーにコピーし、ファイルを参照するか、設定画面の[SAMLメタデータ]の箇所にドラッグアンドドロップしてKeeper SSO Connectインターフェースにアップロードします。
次に、Keeperのメタデータファイルをダウンロードし、AWSアプリケーションのメタデータファイルにアップロードします。Keeper SSO Connect Cloud™のプロビジョニングの表示画面に移動します。
[メタデータをエクスポート]ボタンをクリックして、config.xmlファイルをダウンロードします。
\
AWS SSOの[Application metadata] (アプリケーションメタデータ) セクションに戻って、[Browse...] (ファイルを参照) ボタンを選択し、上記の手順でダウンロードしたconfig.xmlを選択します。
[Save changes] (変更を保存) をクリックすると、「Configuration for Keeper Password Manager has been saved」 (Keeperパスワードマネージャの設定が保存されました) いうメッセージが表示されます。
Keeper SSL証明書は、2048Kを超えることはできません。超えると、以下のエラーが表示されます。
より小さいサイズのSSL証明書の生成、メタデータファイルの再エクスポートとインポート、AWS SSOの設定でACS URLとAudience URLを手動設定のいずれかを行なってください。
次に、AWS SSOにマッピングするKeeperの属性が正しいことを確かにします (デフォルトで設定されています)。[Attribute mappings] (属性マッピング) タブを選択します。 AWSの文字列値を${user:subject}に、形式を空白またはunspecified (未指定) にします。 Keeper属性を以下のように設定します。
AWSのメールがAD UPNにマッピングされている場合 (ユーザーの実際のメールアドレスではない可能性があります) 、ユーザーのADプロファイルに関連付けられているメールアドレスに再マッピングできます。
この変更を行うには、AWS SSOページの[Connected Directory] (接続されたディレクトリ) へ移動します。
[Edit attribute mappings] (属性マッピングを編集) ボタンを選択します。
AWS SSOのemail (メール) 属性を${dir:windowsUpn}から${dir:email}に変更します。
[Assigned users] (割り当てられたユーザー) タブを選択してから、[Assign users] (ユーザーを割り当て) ボタンをクリックして、アプリケーションを割り当てるユーザーまたはグループを選択します。
[Assign users] (ユーザーを割り当て) ウィンドウで、以下の操作を行います。
グループまたはユーザーを選択
グループまたはユーザーの名前を入力
[Search connected directory] (接続されたディレクトリを検索) を選択して、検索します。
ディレクトリ検索の結果は、検索ウィンドウの下に表示されます。
アプリケーションへのアクセスが必要なユーザーやグループを選択し、[Assign users] (ユーザーを割り当て) ボタンを選択します。
備考: Keeper SSO Connectは、SAMLレスポンスが署名されていることを想定しています。IDプロバイダがSAMLレスポンスに署名するように設定されていることをご確認ください。
これでKeeper SSO Connectの設定は完了です。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
Automatorをv3.2にアップグレードする手順
バージョン3.2以降では以下の新機能がご利用になれます。
チームの承認(チーム作成)
チームユーザーの承認(ユーザーをチームに割り当てる)
すべての設定が環境変数として構成可能
HTTPSセキュリティを向上させるHSTSが有効
デバイス承認用とチーム承認用のIPアドレスフィルタリング
すべてのAPIに対して任意でレート制限
メールドメインによる任意のフィルタリング
任意で特定のネットワークIPへのバインド
バージョン 3.2 では、チームの承認とチームユーザーの承認が導入されました。これは、SCIM を通じてプロビジョニングされ、チームに追加されたユーザーについては、管理者がコンソールにログインするのを待つことなくAutomatorサービスによって即座に処理できることを意味します。
この新機能を有効にするには以下を行います。
Automator コンテナを最新バージョンに更新します
Keeper Commanderからautomator edit
コマンドを使用してデバイスの承認およびチーム ユーザーの承認を行います
例:
スキルを有効にした状態では、ユーザーがボルトにログインする際にAutomatorが発動してチームユーザーが承認されます。
IDプロバイダからSCIMメッセージングでチームの作成がリクエストされた際、誰かが (ゼロ知識を保持するために) 暗号化キーを生成するまで、リクエストが完全に処理されることはありません。通常は、管理者がKeeper 管理コンソールにログインするときに処理されます。
チームは、チームのユーザー少なくとも 1 人がボルトにログインするまで環境には表示されません。
これにより、設定ファイルへのアクセスが難しい Azure コンテナーまたは他の Docker のようなコンテナーに Automator をインストールする場合の構成が簡単になります。
docker-compose.yml
ファイルを使用するDockerやAzure Containersなどの環境では、以下のようにdocker composeファイルに環境変数を設定できます。
docker-compose.yml
ファイルの編集後に環境変数が変更されている場合、コンテナを再構築する必要があります。 コンテナを再起動しただけでは変更は反映されません。
Azure App Gatewayサービスを使用してKeeper AutomatorをAzure Container Instancesにデプロイ
(1) Azureクラウドシェルを開く
portal.azure.comにログインし、クラウドシェルのアイコンをクリックします。
(2) ご希望の地域でリソースグループを作成
Azureにリソースグループがまだ存在しない場合は作成します。こちらの例ではeastusの地域を使用していますが、必ずお客様の地域をご使用ください。
ストレージアカウントがまだ存在しない場合は作成します。正しい地域(useeast)と上のリソースグループ名を使用するようにします。注: keeperautomatotorstorageを置き換えるのに選択する名前は、azureではグローバルで他に存在しないものである必要があります。
ファイルシェアが存在しない場合は作成します。
現在のシェアを表示します。
(5) コンテナー用にバーチャルネットワーク(VNet)と1件のSubnetを作成
(6) バーチャルネットワークをサービスエンドポイントで更新
アカウントのストレージキーを見つけるには以下のコマンドを使用します。 ストレージアカウント名は実際の名前に置き換えます。
以下のようなkey1の値をコピーします。
(8) サブネットIDの取得
サブネットIDを見つけるには以下のコマンドを実行します。
サブネットIDのパスを _subnetで終わるところまで全部コピーします。以下はその例です。
ローカルで、automator
などの名前でフォルダを作成します。
任意のエディタを使用して、そのフォルダー内に以下の内容を含むautomator.ymlというファイルを作成します。
前の手順の設定に基づいて文字列の値を変更する必要がある箇所が複数あります。
サブネットID は、手順8で取得したIDのフルパスと一致する必要があります。
storageAccountNameは手順3の値と一致する必要があります。
storageAccountKeyは手順7の値と一致する必要があります。
(10) SSL証明書とSSLパスワードファイルのアップロード
Azureインターフェイスから、[リソース グループ] > [ストレージ アカウント] > [ファイルシェア]に移動し、作成したAutomatorファイルシェアに移動します。ここから、automator.ymlファイル、SSL証明書ファイル、SSL証明書パスワードファイルをアップロードします。
ファイルの名前が automator.yml ssl-certificate.pfx および ssl-certificate-password.txt であることを確認してください。
(11) 3つのファイルをローカルのCLIワークスペースにコピーします
(12) コンテナーインスタンスの作成
automator.ymlの設定を使用してコンテナーを作成します。
応答でコンテナの内部IPを取得します。
後で使用するために、このIPの変数を設定します。以下はその例となります。
(13) アプリケーションゲートウェイサブネットの作成
(14) アプリケーションゲートウェイの作成
XXXXXXの箇所でSSL証明書のパスワードが置き換えられていることを確かにします。
(15) パブリックIPを見つける
Azure portalのインターフェイスで、[リソースグループ] > [アプリゲートウェイ]に移動し、パブリックIP アドレスをメモします。
(16) DNSのルーティング
AutomatorサービスのDNS(例: automator.company.com)が、Azureコンテナーサービスが手順 15で生成したIPアドレスを指していることを確かにします。
DNS名は SSL 証明書のサブジェクト名と一致する必要があります。一致しない場合、リクエストは失敗します。
(17) 正常性プローブの作成
正常性プローブは、Automatorサービスが実行されていることをApp Gatewayに通知します。Azure portalのインターフェイスからAutomator App Gatewayを開き、左側のメニューから[正常性プローブ]をクリックします。
次に、以下のスクリーンショットに見られる設定で新しい正常性プローブを作成します。必ずホストを手順 6で設定したFQDNに置き換えます。
[テスト]をクリックしてプローブを追加します。コンテナIPがホスト名に適切にアドレス指定されていれば、テストは成功します。
(18) ウェブアプリケーションファイアウォールの設定
Azure portalのインターフェイスからAutomator App Gatewayを開き、左側の[ウェブアプリケーションファイアウォール] をクリックします。 WAF V2を有効にして以下の画面のように設定します。
[ルール]タブをクリックし、[OWASP 3.2]に設定されたルールを選択して、[有効]および[保存]をクリックします(重要な手順となります)。
最後にKeeper Commenderを使ってAutomatorの設定を行います。
(19) Keeper Commanderのインストール
この時点では、サービスは実行されていますがまだKeeperとは通信ができません。
(20) Commanderでの初期設定
Keeper Commanderにログインし、automator createで始まる一連のコマンドを使用してAutomatorを有効にします。
ノード名 (この場合はAzure Cloud) は、以下のように管理コンソールのUIから取得します。
コマンドの出力には、IDプロバイダからのメタデータを含むAutomator設定が表示されます。
URLはまだ入力されていません。選択したFQDNを使用してURLを編集します。
次に、キーを交換します。Automator公開キーで暗号化されたエンタープライズ秘密キーがAutomator に提供されます。
新しい設定でAutomatorを初期化します。
サービスを有効にします。
この時点で設定は完了です。
自動ヘルスチェックには以下のURLをご使用になれます。
https://<server>/health
以下はcurl
コマンドを使用した例です。
当URLはWebブラウザでは開きません。
IDプロバイダとしてAD FSを使用してKeeper Automatorを有効にする場合、以下の手順に従ってKeeper 証明書を更新するまでログインできません。
Keeper管理コンソールへログインします。
[管理] > [SSOノード] > [プロビジョニング]に移動し、SSOクラウド設定を見ます。
[Export SP Cert]をクリックします。
AD FS管理コンソールで、Keeper Cloud SSO証明書利用者信頼プロパティを選択します。
[暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。
[署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。
これでAutomatorサービスが実行された状態になりました。
Azure Portalの「コンテナーインスタンス」システムで、コンテナーが実行されているのを確認できます。 /bin/shを使用してコンテナーに接続し、実行ログを表示することもできます。
この設定に基づいてコンテナーを再起動すると、/24サブネットから新しい IP アドレスが割り当てられることがあります。新しいIPをすばやく見つけて、正しいIPでApplication Gatewayバックエンドプールを更新するには、Azure CLIから以下のスクリプトを実行します。
Keeper Automatorがデプロイされましたので、エンドユーザー体験のテストが可能です。ユーザーが SSO IDプロバイダーで認証した後は、承認を求めるプロンプトは必要ありません。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトが表示されない場合、Automatorが正常に機能しています。
Keeper SSO Connect CloudをGoogle Workspaceと連携させてスムーズで安全なSAML 2.0認証とユーザーおよびチームプロビジョニングを実現
Google WorkspaceとKeeperの連携では以下がサポートされています。
SAML 2.0を使用したSSO認証
Google Cloud APIとSCIMを使用した自動プロビジョニング (ユーザーとグループ)
SCIMを使用した自動プロビジョニング (ユーザーのみ)
SSO、SSOとプロビジョニング、プロビジョニングのみのいずれかを設定できます。
[Apps] (アプリ) > [Web and Mobile Apps] (ウェブアプリおよびモバイルアプリ)画面にアクセスします。
続いて、[Add App] (アプリを追加)、[Search for apps] (アプリを検索)の順に選択します。
[Enter app name] (アプリ名を入力)の箇所で「Keeper」を検索し、「Keeper Web (SAML)」を選択します。
[Option1] (オプション1)を使用して、IdPのメタデータをダウンロードし、[CONTINUE] (続行) を選択します。
[Service Provider Details] (サービスプロバイダの詳細情報) 画面には、入力フィールドがいくつかあります。ACS URLとEntity IDを、SSO Connect Cloudインスタンスで使用する値に置き換えます。
ACS URLとEntity IDを取得するには、Keeper管理コンソール内でSSO Connect Cloudプロビジョニングメソッドを見つけて、[表示]を選択します。
Service providerの箇所に、ACS URLとEntity IDの値が表示されます。
ACS URLとEntity IDをコピーして、Service provider details (サービスプロバイダの情報) に貼り付け、[Signed Response] (署名付きレスポンス) をチェックして、[CONTINUE] (続行)を選択します。
Attributes (属性) 画面で、以下に表示されているとおり3つのマッピングがあることを確かにします。以下に表示されているように、マッピングフィールドをFirst Name (ファーストネーム) 、Last Name (ラストネーム) 、Primary Email (プライマリメール) に設定し、[Finish] (完了)を選択します。 これで、Google WorkspaceのKeeperへのSAML連携が完了しました。
カスタムSAMLアプリを選択または作成した場合は、[Add New Mapping] (新規マッピングを追加) をクリックして、First (名)、Last (姓)、Email (メール)の3つのフィールドを作成する必要があります。
設定が完了すると、Keeper SAMLアプリの詳細ページが表示され、SAML接続およびサービスの詳細を確認できます。SSOを有効にするには、[OFF for everyone] (すべてのユーザーに対してOFF) をクリックします。
全ユーザーでKeeper SSO Connectを有効にするには、[ON for everyone] (すべてユーザーに対してON) を選択して、[SAVE] (保存)をクリックします。
特定のグループでKeeper SSO Connectを有効にするには、[Service status] (サービスステータス) の左側にある[Groups] (グループ) を選択し、Keeper SSO Connectに関連付けたいグループを検索して選択し、ONをチェックして[SAVE] (保存) をクリックします。
注: Googleは現在Keeperチームへのグループプロビジョニングに対応していません。
Keeper管理コンソールに戻り、SSO Connect Cloudプロビジョニングメソッドを見つけて[編集]を選択します。
[Browse Files] (ファイルを参照) を選択し、以前にダウンロードしたGoogleメタデータファイルを選択します。
メタデータファイルがプロビジョニングメソッドに反映されると、成功したことになります。 これで、プロビジョニング設定を終了します。
2022年現在、Googleはシングルログアウトを有効にしない設定をデフォルトにしています。 つまり、KeeperからログアウトしてもGoogleからの完全なログアウトは開始されません。
これでKeeper SSO ConnectをGoogle Workspaceと連携させる設定は完了となります。以下の手順で、Googleアカウントを使用してKeeperにログインできるようになります。
Keeperボルトを開き、[法人SSOログイン]をクリックします。
SSOの設定時にKeeper管理コンソールに指定した法人ドメインを入力します。SSO Connectのステータス画面ではSSO Connectドメインという名前になっています。
[接続]をクリックし、Google Workspaceの認証情報でログインします。
次に、Google Workspaceからユーザーとチームのプロビジョニングを設定する方法を解説します。 Google Workspaceと統合するには以下の2つの方法があります。
Google WorkspaceではSCIMグループがネイティブでサポートされていないため、Keeperではユーザーとグループのプロビジョニングを自動化するためにGoogle Workspaceと統合するGoogle Cloud Functionを開発しました。このサービスの設定手順については、以下をご参照ください。
SCIM直接統合を使用して直接Google WorkspaceからKeeperへのユーザー (グループではなくユーザーのみ) をプロビジョニングする手順については、以下をご参照ください。
ECS (Fargate)サービスを使用してKeeper Automatorを実行し、機密情報のストレージとして Keeper Secrets Managerを実行
本ガイドでは、Fargateを使用してAmazon ECSでKeeper Automatorサービスを起動する方法について解説しながら、公開されたDockerコンテナのシークレット設定を取得するためにKeeper Secrets Managerを使用する方法を解説します。
本デプロイでは、Keeper Secrets Managerを使用する必要があるため、Automatorサービスを公開するためにKeeperボルトおよびSSL証明書を設定するために必要な手順を確認します。
この手順が完了すると、ssl-certificate.pfx
とssl-certificate-password.txt
の2つのファイルが作成されます。
ボルト内に共有フォルダを作成します。このフォルダーは、シークレットマネージャーアプリケーション以外の誰にも共有されません。
共有フォルダに記録を作成し、記録UIDをメモします。SSL証明書とSSL証明書パスワードファイルを共有フォルダの記録にアップロードします。
以下の内容のkeeper.propertiesという新しいファイルをアップロードします。
disable_sni_check=trueは、マネージドロードバランサーでAutomatorサービスを実行する場合に必要になります。
共有フォルダと記録は以下のようになります。
共有フォルダを編集し、Automatorアプリケーションをこのフォルダに追加します。
Secrets Managerアプリケーションを開き、[デバイス]タブをクリックして、[デバイスの追加]をクリックします。Base64設定を選択します。この設定をダウンロードして保存し、ECSタスク定義で使用できるようにします。
VPCが存在しない場合は、複数のサブネット、ルートテーブル、インターネットゲートウェイを持つ基本的なVPCをセットアップする必要があります。こちらの例では、以下のリソースマップに見られるように、インターネットゲートウェイを備えたVPC内に3つのサブネットが含まれています。
[CloudWatch] > [ロググループの作成]に移動します。
ロググループをautomator-logsと名付けます。
[IAM] > [ロールの作成]へ行きます。
[AWSサービス]を選択します。
次に、Elastic Container Serviceを検索して選択します。
[Elastic Container Serviceタスク]を選択し、[次へ]をクリックします。
[AmazonECSTaskExecution]ポリシーをロールに追加し、[次へ]をクリックします。
ECSTaskWritetoLogsという名前を割り当てて、ロールを作成します。
このロールのARNをメモして次の手順で使用できるようにします。
本事例ではarn:aws:iam::373699066757:role/ECSTaskWritetoLogs
となります。
[EC2] > [セキュリティ グループ]に移動し、[セキュリティグループの作成]をクリックします。
Keeperテナントがホストされている地域に応じて、Keeperクラウドからのhttpsポート443を許可する受信ルールを作成する必要があります。各テナントの場所のIPのリストについては以下をご覧ください。以下の例では米国データセンターとなります。
また、テストとトラブルシューティングのためにご使用のワークステーションの外部IPアドレスを追加することを推奨します。
MyAutomatorServiceなどの名前を割り当て、[作成]をクリックします。
セキュリティグループを保存した後、受信ルールを再度編集します。今回はHTTPSポート443を追加し、ドロップダウンでセキュリティグループを選択します。これにより、ロードバランサーは状況を監視してトラフィックを分散できるようになります。
クラスターからEFSへのNFSアクセスを制御する別のセキュリティグループを作成します。
[EC2] > [セキュリティ グループ]に移動し、[セキュリティグループの作成]をクリックします。
MyAutomatorEFSのように名前を設定します。
NFSのタイプを選択してカスタムを選択してから、ECSクラスターの前の手順で作成したセキュリティ グループを選択します。
[セキュリティグループの作成]をクリックします。
次の手順のためにセキュリティグループIDをメモしておきます。この場合はsgr-089fea5e4738f3898
となります。
現在、Automatorサービスは2つの異なるフォルダにアクセスする必要があります。本セットアップ例では、SSL証明書とSSLパスフレーズファイルを保存するために1つのボリュームを作成しています。2つ目のボリュームには、Automatorサービスのプロパティファイルが保存されます。これら3つのファイルはKeeperの記録に含まれています。
[AWS] > [Elastic File System]に移動し、[ファイルシステムの作成]をクリックします。
automator_configと名付けて、[作成]をクリックします。
再び[Elastic File System]に移動し、[Create file system]をクリックします。automator_settingsと名付けて[作成]をクリックします。
表示されるファイルシステムID(fs-xxxなど)は、ECSタスク定義で使用されます。
1 分後、2 つのファイルシステムが使用可能になります。それぞれをクリックしてから[ネットワーク]タブを選択し、[管理]をクリックします。
各サブネットのセキュリティグループを上記の手順で作成したもの(MyAutomatorEFSなど)に変更し、[保存]をクリックします。作成された両方のファイルシステムに同じネットワーク変更を加えます。
Amazon Elastic Container Serviceへ進みます。
[クラスターの作成]を選択し、クラスター名とVPCを割り当てます。 こちらの例では、デフォルトの[AWS Fargate(サーバーレス)]インフラストラクチャを使用しています。
デフォルトの名前空間はautomatorで問題ありません
[インフラストラクチャ]は AWS Fargate(サーバーレス)に設定します
[作成]をクリックします
任意のテキストエディタで、以下のJSONタスク定義ファイルをコピーして保存します。
JSONファイルに以下の変更を加えます。
本ガイドの冒頭で作成したKeeper Secrets ManagerのXXXCONFIGXXX値をBase64設定に変更します。
3箇所あるXXXXXを、KSMがアクセスしているボルトの共有フォルダ内のSSL証明書、SSL証明書パスワード、設定ファイルが含間れる記録UIDに変更します。
2つのファイルシステム ID(fs-XXX)を、上記の手順からのものに変更します。
ロールIDのXXXをAWSロールに固有のものに変更します。
2箇所のeu-west-1値を、ECSサービスの地域に変更します。
次に、[Elastic Container Service] > [タスク定義] > [JSONからタスクを作成]に移動します。
既存のJSONを削除し、変更したJSONファイルをボックスにコピーして貼り付けてから[作成]をクリックします。
このタスク定義は、インスタンスのCPU/メモリ要件に応じて変更できます。
AWSのアプリケーションロードバランサーが Automatorのリクエストに対応するには、SSL証明書が AWS Certificate Managerによって管理されている必要があります。
AWS Certificate Managerへ移動し、[インポート]をクリックします。
ご利用のワークステーション上でSSL証明書(.pfx)ファイルを、 PEMエンコードされた証明書本体、PEMエンコードされた秘密キー、PEMエンコードされた証明書チェーンに変換する必要があります。
.pfxファイルはすでに存在するので以下のopensslコマンドを使用します。ssl-certificate.pfxファイルと証明書パスワードをワークステーションへダウンロードし、以下のコマンドを入力します。
PEMエンコードされた証明書本体の生成
PEMエンコードされた秘密キーの生成
PEMエンコードされた証明書チェーンの生成
3つのファイルの内容を画面へコピーします。
[EC2] > [ターゲットグループ]に移動し、[ターゲットグループの作成] をクリックします。
ターゲットの種類として[IPアドレス]を選択します。
ターゲットグループ名にautomatortargetgroupまたは任意の名前を入力します。
ポート443のHTTPプロトコルを選択します。
ECSクラスターを含むVPC を選択します。
HTTP1を選択します。
[ヘルス チェック] で、ヘルスチェックプロトコルとして[HTTPS]を選択します。
ヘルスチェックのパスとして/health
と入力します。
[次へ]をクリックします。
まだターゲットを選択せずに[ターゲットグループの作成]をクリックします。
[EC2] > [ロードバランサー] > [ロードバランサーの作成]に移動します。
[Application Load Balancer] > [作成]を選択します。
automarnalbなどの任意の名前を割り当てます。
スキームはInternet-facingとなります。
IPアドレスの種類: IPv4
[ネットワークマッピング]の箇所で、ECSサービスをホストするVPCとサブネットを選択します。
セキュリティグループで、手順4で作成したMyAutomatorServiceを選択します。
[リスナーとルーティング]の箇所でHTTPSポート443を選択し、ターゲットグループで前の手順で作成したターゲットグループ(automatortargetgroup)を選択します。
[セキュアリスナー設定]で、手順9でAWS Certificate ManagerにアップロードしたACMからのSSL証明書を選択します。
[ロードバランサーの作成]をクリックします。
[Elastic Container Service] > [タスク定義] > 手順8で作成したタスクを選択します。
このタスク定義から、[デプロイ] > [サービスの作成]をクリックします。
automatorの既存のクラスターを選択します。
サービス名にautomatorserviceまたは任意の名前を割り当てます。
必要なタスクの数については、とりあえず1に設定します。設定が完了後に実行したいタスクの数を増やせます。
[ネットワーク]でVPCとサブネットを選択し、既存のセキュリティグループを手順4で作成した ECSセキュリティグループに置き換えます。この場合はMyAutomatorServiceとなります。
パブリックIPはONにします。
[ロードバランシング]で、ロード バランサーの種類として[Application Load Balancer]を選択します。
既存のロードバランサーを使用し、手順11で作成したautomatralbを選択します。
既存のリスナーを使用し、443:HTTPSリスナーを選択します。
既存のターゲットグループを使用し、手順10のターゲットグループを選択します。
[作成]をクリックします。
数分後にサービスが起動します。
DNS名がRoute53によってホストおよび管理されていると仮定します。
Route53 > レコードの作成または編集に移動します。
Aレコードを作成します。
エイリアスとして設定します。
トラフィックを[アプリケーションおよびクラシックロードバランサーへのエイリアス]にルーティングします。
AWS地域を選択します。
automaticalbアプリケーションロードバランサーを選択します。
[シンプルルーティング]を選択します。
[保存]を選択します。
次の手順では、タスクを1件だけ実行した状態でKeeper Commanderを使用してAutomatorを設定します。
この時点ではサービスは実行されていますが、まだKeeperと通信できない状態です。
ノード名 (この場合はAzure Cloud) は、以下のように管理コンソールUIから取得します。
コマンドの出力には、IDプロバイダからのメタデータを含むAutomator設定が表示されます。
以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます(team
、 team_for_user
、device
)。
次にキーを交換します。Automator公開キーで暗号化されたエンタープライズ秘密キーがAutomator に提供されます。
新しい設定でAutomatorを初期化します。
サービスを有効にします。
この時点で設定は完了となります。
自動ヘルスチェックには以下のURLをご使用になれます。
https://<server>/health
以下はcurl
コマンドを使用した例です。
本セットアップ例では、ロードバランサーがターゲットインスタンスにヘルスチェックを転送します。
Keeper Automatorが1件のタスクを実行した状態でデプロイされましたので、エンドユーザーの体験をテストできます。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。
承認が機能しましたので、実行するタスクの数を増やせます。
ECS画面からAutomatorサービスを開き、[サービスの更新]をクリックします。 次に、実行するタスクの数を設定します。
Automatorログは、ECSサービスの[ログ]タブまたはCloudWatchで検索およびモニターできます。
既存のデバイスを使用するSSOデバイス承認方法
ユーザーは以前に承認されたデバイスを使用して追加のデバイスを承認できます。たとえば、すでにコンピュータでウェブボルトにログインしている状態で初めて携帯電話アプリにログインする場合、ウェブボルトにデバイス承認プロンプトが表示され、その携帯デバイスを承認したり拒否したりできます。デバイス承認により暗号化キーの交換を実行して新しいデバイスでボルトを復号化できるようにします。
Keeperプッシュ通知は、ユーザーが自ら処理する承認方式です。[Keeper プッシュ通知]を選択すると、ユーザーの承認済みデバイスに通知が送信されます。携帯アプリおよびデスクトップアプリの場合、プッシュ通知はポップアップとして表示され、簡単にデバイスを承認できます。
以下は、携帯電話を承認用デバイスとして使用したKeeperプッシュ通知承認の例となります。
[Keeperプッシュ通知]を選択します。
ログイン済みのデバイスにプッシュ通知による承認が表示されるのを待ちます。
ユーザーが通知を受信するには、以前に承認済みの別のデバイスにすでにログインしている状態でなければなりません。
Keeper SSO Connect CloudをTrusonaと連携させることで、Keeperにパスワードなしでログイン
Keeper管理者としてKeeper管理コンソールへログインします。
注: パスワードレス連携は、管理コンソールで特定のノード(組織部門など)にのみ適用できます。
[管理者]タブをクリックし、[ノードを追加]をクリックします。
ノードに名前を付け、[ノードを追加]をクリックします。
[プロビジョニング]タブで[メソッドを追加]をクリックします。
[SSO Connect® Cloud を使用したシングルサインオン]を選択して、[次へ]をクリックします。
[環境設定名]と[法人ドメイン]を入力して、[保存]をクリックします。後で法人SSOログインに使用するので、法人ドメインをメモしておきます。
Cloud SSO Connectを使用したSAML 2.0プロビジョニングメソッドが新規作成されて表示されます。メニューから[表示]を選択します。
これらは、後ほどTrusona側の設定に使用します。
法人ID、ACSエンドポイント、シングルログアウトサービスエンドポイントをメモしておきます。
[SP 認証エクスポート]をクリックします。
Trusonaアカウントのダッシュボードで、左側のナビゲーションからKeeperを選択します。
[Create Keeper Integration] (Keeperとの連携を作成) をクリックします。
連携に名前を付け、[Save] (保存) をクリックします。
[Download XML] (XMLをダウンロード) をクリックして、Keeper管理コンソールで使用するXMLメタデータをダウンロードします。
左側のナビゲーションでKeeperを選択します。
[Actions] (操作) ドロップダウンメニューから[Edit] (編集) をクリックします。
Keeper管理コンソールで連携を作成する際に、前にメモした以下の情報を該当フィールドに貼り付けます。
ACSエンドポイント
IDPが起点となるログインエンドポイント
シングルログアウト (SLO) サービスエンドポイント
[Certificate] (証明書) で、Keeper管理コンソールからエクスポートしたSP証明書をアップロードして、[保存] (Save) をクリックします。
Keeper管理コンソールに戻ります。
任意でジャストインタイムプロビジョニングを有効にし、ユーザーがサインアップ時に法人ドメイン名を入力することでノードにアカウントを作成できるようにします。
[SAML メタデータ]にTrusonaのダッシュボードからダウンロードしたmetadata.xmlファイルをアップロードします。
[アイデンティティプロバイダ属性マッピング]で、以下のように入力します。
名前: 名
名字: 姓
メールアドレス: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
法人ドメインまたはメールアドレスを使用してログインします。
Keeperボルトに移動します。
メールアドレスを入力して、[次へ]をクリックします。
スマートデバイスのTraitwareアプリで、ブラウザに表示されたQRコードをスキャンします。
Keeperボルトにログインします。
法人ドメインを使用してログイン
Keeperボルトに移動します。
[法人SSOログイン]のドロップダウンをクリックし、[法人ドメイン]を選択します。
本ページのKeeper側設定部分で指定した法人ドメイン名を入力して、[接続]をクリックします。
スマートデバイスのTraitwareアプリで、ブラウザに表示されたQRコードをスキャンします。
Keeperボルトにログインします。
Azureコンテナーアプリでのデプロイ
本ページでは、KeeperオートメーターをAzure Container Appsサービスに公開するための手順を解説します。これにより、オートメーターサービスを簡単にクラウドでホストしていただけます。
Azure Government、GCC High、DoDなどの環境では、Azure Container Appsサービスがこれらのリージョンで利用できない可能性があるため、Azure App Services方式を使用します。
コマンドラインを開き、オペレーティングシステムに応じて次のいずれかの方法を使用してURLエンコード形式で256ビットAESキーを生成します。
このコマンドによって生成される値を手順 3のために保存します。
Azureから新しいコンテナーアプリを作成します。
新しいリソースグループを選択または作成します。
コンテナアプリ名をkeeperautatorまたは任意の名前に設定します。
サービスをホストしたい地域を選択します。
新しいアプリ環境を作成するか、既存の環境を選択します。
[次へ]: [コンテナ] >をクリックします。
コンテナーの手順では以下のように設定します。
[クイックスタートイメージを使用する]のチェックを外します
[Docker Hub または他のレジストリ]を選択します
[パブリック]を選択します
レジストリログインサーバーにdocker.io
を選択します
イメージを設定し、keeper/automator:latest
としてタグを付けます
CPUとメモリについては、0.5 CPUコアと1Gi メモリで十分ですが、新しいデバイスのログイン量に基づいて変更できます
上記の手順1の値を使用してAUTOMATOR_CONFIG_KEY
という環境変数を作成します
8089の値を使用してAUTOMATOR_PORT
という環境変数を作成します
noneの値でSSL_MODE
という環境変数を作成します
[次へ]: バインド >をクリックします
[次へ]: イングレス > をクリックします
イングレスセットアップ画面で以下を選択します。
イングレスを有効(
Enable
)
にします
イングレスのトラフィックをAccepting traffic from anywhere
にします(後ほど変更します)
イングレスタイプをHTTP
にします
ターゲットポートを8089
に設定します
[Review + Create]をクリックしてから[Create]をクリックします。
数分後、コンテナーアプリが作成され自動的に起動します。
[リソースに移動]をクリックするとコンテナー環境に移動します。
Keeperオートメーターサービスへの通信を制限するには、画面左側の[Ingress]リンクをクリックします。
[Ingress]をクリックします。
[Allow traffic from IPs configured below, deny all other traffic]を選択します。
[Save]をクリックします。
Azureがゼロインスタンスにダウンスケールしないようにするには、インスタンスの最小数を1に設定することが重要となります。
[Application]の下の[コンテナー]セクションへ進みます。
上部の[Scale]セクションをクリックし、「Min replicas」と「Max replicas」を1に設定します。
[Container]タブをクリックします。
下部の「keeperautomator」リンクをクリックします。
[Liveness probes]の箇所で以下のように設定します。
Enable liveness probesをチェック
Transport: HTTP
Path: /health
Port: 8089
Initial delay seconds: 5
Period seconds: 30
[Startup probes]の箇所で以下のように設定します。
Enable startup probesをチェック
Transport: HTTP
Path: /health
Port: 8089
Initial delay seconds: 5
Period seconds: 30
[Volume Mounts]のタブで以下のように設定します。
[Create new volume]をクリックします。
「Ephemeral Storage」を選択します。
Volume nameをautomatordata
にします。
Mount Pathを/usr/mybin/config
にします。
設定を完了します。
[保存]をクリックします。
[Create]をクリックして新しい設定を作成します。
数分後に新しいコンテナーが起動します。
コンテナーアプリの概要の右側に、割り当てられた「アプリケーションURL」が表示されます。このURLをコピーして次の手順で使用します。
(例: https://craigautomator1.xyx-1234.azurecontainerapps.io)
オートメーター設定の最後の手順を行うのに、Keeperコマンダーが必要となります。どこからでも実行でき、サーバーにインストールする必要はありません。
automator create
で始まる一連のコマンドを使用してオートメーターを作成します。
ノード名 (この場合はAzure Cloud) は、以下のように管理コンソールUIから取得します。
コマンドの出力には、IDプロバイダからのメタデータを含むAutomator設定が表示されます。
URLはまだ入力されていないことにご留意ください。手順8のアプリケーションURLとなります。
以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます(team
、 team_for_user
、device
)。
次にキーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。
新しい設定でオートメーターを初期化します。
サービスを有効にします。
この時点で設定は完了となります。
外部ヘルスチェックには以下のURLをご使用になれます。
https://<server>/health
以下はcurl
コマンドを使用した例です。
Keeperオートメーターがデプロイされましたので、ユーザー体験をテストできます。ユーザーが SSO IDプロバイダで認証した後は、承認を求めるプロンプトが表示されなくなります。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されません。
Azureコンテナーアプリにはこの資料には含まれていない多くの高度な機能があります。以下はその一部となります。
複数のコンテナでKeeperオートメーターサービスを実行したい場合は以下を行います。
[Scale and replicas]をクリックします。
[Edit and deploy]をクリックします。
[Scale]タブをクリックします。
コンテナーの最小数および最大数を選択します。最小数は少なくとも1にします。
[Create]をクリックします。
1分後に新しいバージョンがデプロイされます。
コンテナーの数に応じて何度かautomator setup xxx
を実行します (コンテナーにつき1回)。
コンテナーの数に応じて何度かautomator init xxx
を実行します (コンテナーにつき1回)。
Keeperオートメーターのログは、「コンソール」または「ログストリーム」を使用して表示および監視できます。
たとえば、実行中のオートメーターサービスのログファイルを追跡するには以下のようにします。
コンソールをクリックします。
「/bin/sh」を選択します。
Connectをクリックします。
プロンプトが表示されるとtail -f logs/keeper-automator.log
と入力します。
AWS ECS (Fargate)サービスでKeeper Automatorを使う
この例では、必要最小限の依存関係で最も簡単な方法でAmazon ECSでKeeper Automatorサービスを起動する方法について解説します。
要件:
AWSを介したマネージドSSL証明書
オペレーティングシステムに応じて以下のいずれかの方法を使用してURL エンコード形式で256ビットAESキーを生成します。
タスク定義に設定された環境変数としてこの値を保存します。
VPCが存在しない場合は、複数のサブネット、ルートテーブル、インターネットゲートウェイを持つ基本的なVPCをセットアップする必要があります。こちらの例では、以下のリソースマップに見られるようにインターネットゲートウェイを備えたVPC内に3つのサブネットがあります。
ログをキャプチャしたい場合 (推奨)、[CloudWatch] > [ロググループの作成]に移動します。
ロググループにautomator-logsという名前を付けます。
[IAM] > [ロールの作成]へ行きます。
[AWSサービス]を選択します。
次に、Elastic Container Serviceを検索して選択します。
[Elastic Container Serviceタスク]を選択し、[次へ]をクリックします。
[AmazonECSTaskExecution]ポリシーをロールに追加し、[次へ]をクリックします。
ECSTaskWritetoLogsという名前を割り当てて、ロールを作成します。
次の手順で使用するため、このロールのARNをメモしておきます。
本事例ではarn:aws:iam::373699066757:role/ECSTaskWritetoLogs
となります。
[EC2] > [セキュリティ グループ]に移動し、[セキュリティグループの作成]をクリックします。
Keeperテナントがホストされている地域に応じて、Keeperクラウドからのhttpsポート443を許可する受信ルールを作成する必要があります。各テナントの場所のIPのリストについては以下をご覧ください。以下の例では米国データセンターとなります。
また、テストとトラブルシューティングのためにワークステーションの外部IPアドレスを追加することを推奨します。
MyAutomatorServiceなどの名前を割り当て、[作成]をクリックします。
以下のURLから見つけられるご自身のIPを忘れずに追加してください。
セキュリティグループを保存した後、受信ルールを再度編集します。 今回は以下の内容を追加します。
ソースがセキュリティ グループに設定された状態のHTTPポート8089 を追加します。これにより、ALBからネットワーク内のコンテナへのトラフィックとヘルスチェック処理が可能となります。
Amazon Elastic Container Serviceへ進みます。
[クラスターの作成]を選択し、クラスター名とVPCを割り当てます。 こちらの例では、デフォルトの[AWS Fargate (サーバーレス)]インフラストラクチャを使用しています。
デフォルトの名前空間はautomatorで問題ありません
[インフラストラクチャ]は AWS Fargate(サーバーレス)に設定します
[作成]をクリックします
任意のテキストエディタで、以下のJSONタスク定義ファイルをコピーして保存します。
重要: JSONファイルに以下の変更を加えます。
24行目の XXX (REPLACE THIS) XXX を上記の手順1で作成した秘密キーに変更します。
37行~39行を手順3のロググループの名前と場所に置き換えます。
44行目のXXXをAWSロールに固有のロールIDに変更します(手順4の373699066757)。
次に、[Elastic Container Service] > [タスク定義] > [JSONからタスクを作成]に移動します。
既存のJSONを削除し、変更したJSONファイルをボックスにコピーして貼り付け、[作成] をクリックします。
このタスク定義は、インスタンスのCPU/メモリ要件に応じて変更できます。
AWSのアプリケーションロードバランサーが Automatorのクエストに対応するには、SSL 証明書が AWS Certificate Managerによって管理されている必要があります。AWSが管理する証明書をインポートするか作成します。
AWSコンソールから[Certificate Manager]を開きます。
[リクエスト]をクリックします。
パブリック証明書をリクエストし、[次へ]をクリックします。
automator.lurey.comなど、Automatorサービスのドメイン名を入力します。
任意の検証方式とキーアルゴリズムを選択します。
[リクエスト]をクリックします。
証明書の一覧から証明書リクエストをクリックします。
Route53を使用してドメインを管理している場合は証明書をクリックし、[Route53でレコードを作成]を選択するとドメインが即座に検証され証明書が作成されます。別のDNSプロバイダーを使用する場合は、画面に見られるようにCNAMEレコードを作成する必要があります。
CNAMEレコードを作成すると、ドメインは数分以内に有効となります。
この証明書は、手順11でアプリケーションロードバランサーを作成する際に参照されます。
[EC2] > [ターゲットグループ]に移動し、[ターゲットグループの作成] をクリックします。
ターゲットの種類として[IPアドレス]を選択します。
ターゲットグループ名にautomatortargetgroupまたは任意の名前を入力します。
ポート8089のHTTPプロトコルを選択します。
ECSクラスターを含むVPC を選択します。
HTTP1を選択します。
[ヘルス チェック] で、ヘルスチェックプロトコルとして[HTTP]を選択します。
ヘルスチェックのパスとして/health
と入力します。
[ヘルスチェックの詳細設定]を展開します。
[オーバーライド]を選択し、ポート8089を入力します。
[次へ]をクリックします。
まだターゲットを選択せずに[ターゲットグループの作成]をクリックします。
[EC2] > [ロードバランサー] > [ロードバランサーの作成]に移動します。
[Application Load Balancer] > [作成]を選択します。
automarnalbなどの任意の名前を割り当てます。
スキームはInternet-facingとなります。
IPアドレスの種類: IPv4
[ネットワークマッピング]の箇所で、ECSサービスをホストするVPCとサブネットを選択します。
セキュリティグループで、手順4で作成したMyAutomatorServiceを選択します。
[リスナーとルーティング]の箇所でHTTPSポート443を選択し、ターゲットグループで前の手順で作成したターゲットグループ(automatortargetgroup)を選択します。
[セキュアリスナー設定]で、手順9でAWS Certificate ManagerにアップロードしたACMからのSSL証明書を選択します。
[ロードバランサーの作成]をクリックします。
[Elastic Container Service] > [タスク定義] > 手順8で作成したタスクを選択します。
このタスク定義から、[デプロイ] > [サービスの作成]をクリックします。
automatorの既存のクラスターを選択します。
サービス名にautomatorserviceまたは任意の名前を割り当てます。
必要なタスクの数については、とりあえず1に設定します。設定が完了後に実行したいタスクの数を増やせます。
[ネットワーク]でVPCとサブネットを選択し、既存のセキュリティグループを手順4で作成した ECSセキュリティグループに置き換えます。この場合はMyAutomatorServiceとなります。
パブリックIPONにします。
[ロードバランシング]で、ロード バランサーの種類として[Application Load Balancer]を選択します。
既存のロードバランサーを使用し、手順11で作成したautomatralbを選択します。
既存のリスナーを使用し、443:HTTPSリスナーを選択します。
既存のターゲットグループを使用し、手順10のターゲットグループを選択します。
ヘルスチェックのパスを/healthに設定します。
ヘルスチェックプロトコルをHTTPに設定します。
[作成]をクリックします。
数分後にサービスが起動します。
DNS名がRoute53によってホストおよび管理されていると仮定します。
Route53 > レコードの作成または編集に移動します。
Aレコードを作成します。
エイリアスとして設定します。
トラフィックを[アプリケーションおよびクラシックロードバランサーへのエイリアス]にルーティングします。
AWS地域を選択します。
automaticalbアプリケーションロードバランサーを選択します
[シンプルルーティング]を選択します。
[保存]を選択します。
次の手順では、タスクを1件だけ実行した状態でKeeper Commanderを使用してAutomatorを設定します。
この時点ではサービスは実行されていますが、まだKeeperと通信できない状態です。
Commanderをインストールした後、keeper shell
と入力してセッションを開いてからlogin
コマンドを使用してログインします。Automatorをセットアップするには、Keeper管理者またはSSO ノードを管理する権限を持つ管理者としてログインする必要があります。
ノード名 (この場合はAzure Cloud) は、以下のように管理コンソールUIから取得します。
コマンドの出力には、IDプロバイダからのメタデータを含むAutomator設定が表示されます。
以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます(team
、 team_for_user
、device
)。
次にキーを交換します。Automator公開キーで暗号化されたエンタープライズ秘密キーがAutomator に提供されます。
新しい設定でAutomatorを初期化します。
サービスを有効にします。
この時点で設定は完了となります。
自動ヘルスチェックには以下のURLをご使用になれます。
https://<server>/health
以下はcurl
コマンドを使用した例です。
本セットアップ例では、ロードバランサーはHTTP ポート8089経由でターゲットインスタンスにヘルスチェックを転送します。
Keeper Automatorが1件のタスクを実行した状態でデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。
承認が機能しましたので、実行するタスクの数を増やせます。
Keeper Automatorサービスは、処理するリクエストの数が少ないため単一のコンテナ上で問題なく快適に実行できます。ただし、複数のコンテナを実行したい場合は以下の手順に従ってください。
ECSサービス画面からautomatorserviceをクリックします。
[サービスを更新]をクリックします。
[新規デプロイメントを強制]するのチェックボックスを選択します。
最新のタスクリビジョンが選択されていることを確かにします。
[必要なタスク]を実行したいコンテナの数に設定します。
[更新]をクリックします。
数分後、新しいコンテナがデプロイされます。すべてのコンテナがアクティブになるまで待ちます。
Keeper Commanderを起動します(あるいはまだ開いたままである可能性があります)。
各コンテナーに対して、Automatorセットアップ、初期化、有効化を実行する必要があります。
以下は3つのコンテナが実行されている場合となります。
Automatorログは、ECSサービスの[ログ]タブまたはCloudWatchで検索およびモニターできます。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、をご覧ください。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、をご覧ください。
詳細についてはををご参照ください。
ジャストインタイムプロビジョニングが有効になっているの場合、ボルトへのログイン画面でメールアドレスを入力するだけで正しいSSOプロバイダにルーティングされます。ここからボルトを作成するか、既存のボルトにログインできます。
ボルトでを有効にしてから、左側のメニューからSecrets Manager をクリックし、[アプリケーションの作成]を選択します。
フィールド | 値 |
---|---|
Destructiveフィールドの値 | 説明 |
---|---|
Verboseフィールドの値 | 説明 |
---|---|
メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、をご覧ください。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、をご覧ください。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、をご覧ください。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、をご覧ください。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、をご覧ください。
メールアドレスを入力して[次へ]をクリックしてもユーザーが目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。ルーティングとドメイン予約の詳細については、をご覧ください。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、をご覧ください。
IdPのユーザー属性 | Keeperのユーザー属性 |
---|---|
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、をご覧ください。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、をご覧ください。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、をご覧ください。
CloudGate SCIMユーザーとグループのプロビジョニングを有効にする方法については、Keeperエンタープライズガイドのをご参照ください。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、をご覧ください。
最初にの手順を完了してください。
最初にの手順を完了してください。
名前 | 説明 |
---|
IdPのユーザー属性 | Keeperのユーザー属性 |
---|
IDプロバイダがアプリケーションのアイコンやロゴファイルを必要とする場合は、をご参照ください。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、をご覧ください。
既存のユーザーデバイスへ(プッシュ通知)
を使用した自動承認(推奨)
を介した半自動の管理者承認
KeeperとIndentとの連携による機能
Okta と
Google Workspace と
Indentのガイドを開きます
Indentのガイドを開きます
Keeper管理者としてKeeper管理コンソールへログインします。 (米国/グローバル) (EUでホストされているお客様) (AUでホストされているお客様) (GovCloudのお客様)
からTraitWare管理コンソール (TCC) にログインします。
注: 同じメールアドレスを持つユーザーがKeeper管理コンソール内にも存在している必要があります。Keeperユーザーの作成の詳細については、エンタープライズガイドのをご参照ください。
オートメーター構成の最終ステップを実行するには、Keeperコマンダーが必要です。これはどこからでも実行できます。サーバーにインストールする必要はありません。 ワークステーションまたはサーバーに、KeeperコマンダーCLI をインストールします。バイナリインストーラーを含むインストール手順については、をご参照ください。
SSO Connect暗号化モデルの詳細な説明は、されています。
Automatorサービスを使用するとユーザー体験は向上しますが、IDプロバイダーは完全に保護されている必要があります。Keeper環境を保護するためのをご参照ください。
最初にの手順を完了してください。
JumpCloud®はSCIM(System for Cross Domain Identity Management)によるユーザーおよびチームの自動プロビジョニングをサポートしており、JumpCloud®で変更が加えられると、Keeperユーザーアカウントを更新して無効化します。 順を追った説明は、こちらでご確認ください。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、をご覧ください。
最初にの手順を完了してください。
Keeper属性 | AWS SSO文字列値 | 形式 |
---|
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ]をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、をご覧ください。
簡素化された展開に対応
簡素化された展開に対応
Automatorサービスの詳細については、をご参照ください。
本ガイドでは、Azure Application Gatewayを使用して安全なVNetでKeeper Automatorを公開するための手順を解説します。この方式は、Azureコンテナーアプリの設定よりも高度となりますので、Azure App Gatewayや暗号化されたSAMLリクエストを使用する必要がない場合は、方式をご使用ください。
この方式では、すでにSSL証明書をお持ちであることを確かにしてください。お持ちでない場合は、ページの手順をご参照ください。
Azure内でのインストールは完了です。
ワークステーション、サーバー、コンピューターのどれかにKeeper Commander CLIをインストールします。初期設定にのみ使用します。バイナリインストーラーを含むインストール手順についてはをご覧ください。 Commanderを開いた後、loginコマンドでログインします。AutomatorをセットアップするにはKeeper 管理者、またはSSOノードを管理する権限を持つ管理者としてログインする必要があります。
最初にの設定を完了してください。
Google Workspace管理コンソールにアクセスするには、にログインします。
エンドユーザーの操作手順(Keeperが起点となるログイン)については、以下をご参照ください。
以下はSSOエンドユーザー向け動画です。
の説明に従ってSSL 証明書を作成します。
コンテナー内にKeeper Secrets Manager(KSM)アプリケーションを作成します。Secrets Manager をご使用でない場合は、をご参照ください。アプリケーションの名前はAutomatorですが問題ありません。
Keeperテナント地域 | IP1 | IP2 |
---|
ご利用のワークステーション、サーバー、コンピューターのどれかにKeeper Commander CLIをインストールします。初期設定にのみ使用します。バイナリインストーラーを含むインストール手順についてはをご覧ください。
Commanderをインストールした後、keeper shell
と入力してセッションを開いてからlogin
コマンドを使用してログインします。Automatorをセットアップするには、Keeper管理者またはSSO ノードを管理する権限を持つ管理者としてログインする必要があります。
にログインし、automator create
で始まる一連のコマンドを使用してAutomatorを有効にします。
最初にの手順を完了してください。
(米国/グローバル) (EUでホストされているお客様) (AUでホストされているお客様) (GovCloudのお客様)
または用のTrusonaアプリを使用して、モバイル端末からQRコードをスキャンし、Trusonaのダッシュボード()にログインします。
SSO Connect Cloudを使用してユーザーをプロビジョニングする方法についてはをご覧ください。
[Add]をクリックしてとテストに必要なIPをどれか追加します。
Keeperテナント地域 | IP1 | IP2 |
---|
ヘルスチェックの実行をご希望の場合は、ご自身のIPアドレスを追加します。ご自身のIPアドレスについては、にてご確認になれます。
ご利用のワークステーションまたはサーバーにKeeperコマンダーCLIをインストールします。 バイナリインストーラーを含むインストール手順についてはをご覧ください。
コマンダーをインストールした後、コマンダーを起動するか既存の端末からkeeper shell
と入力してセッションを開いてから、login
コマンドを使用してログインします。オートメーターをセットアップするには、Keeper管理者として、または SSOノードを管理する権限を持つ管理者としてログインする必要があります。
環境変数をコンテナに渡してランタイム環境の機能を有効にしたり無効にしたりできます。変数およびその説明については、をご覧ください。
Keeperテナント地域 | IP1 | IP2 |
---|
ご利用のワークステーション、サーバー、コンピューターのどれかにKeeper Commander CLIをインストールします。初期設定にのみ使用します。バイナリインストーラーを含むインストール手順についてはをご覧ください。
にログインし、automator create
で始まる一連のコマンドを使用してAutomatorを有効にします。
ユースケース
Keeperパスワードマネージャ
SSO IDプロバイダ
パスワードベースのアプリ
✅
-
パスワードとシークレットの共有
✅
-
暗号化されたデータストレージ
✅
-
ソーシャルメディアサイト
✅
-
ネイティブアプリ
✅
-
オフラインアクセス
✅
-
SSH鍵
✅
-
暗号化されたプライベートファイル
✅
-
ゼロ知識暗号化
✅
-
SAMLベースのアプリ
✅ [SSO Connect Cloudを使用]
-
ログイン
Google Workspace admin email
パスワード
手順9で生成したSCIMトークン
ウェブサイトアドレス
手順9で生成したSCIM URL
credentials.json
手順3のGoogle Serviceアカウント認証情報の添付ファイル
SCIM Group
プロビジョニングされるすべてのグループのリストを含む複数行のカスタムテキストフィールド。名前はグループメールかグループ名のいずれかとなります。
-1
同期中Keeper側では何も削除されません
0 (デフォルト)
同期中、SCIM で制御されているグループとメンバーシップのみが削除されます (デフォルト設定)
1
同期中、手動で作成されたグループやメンバーシップとSCIMで制御されたグループやメンバーシップが削除されます。
0 (デフォルト)
ログなし
1
詳細ログが有効
<Email Address>
<First Name>
First
<Last Name>
Last
EntityDescriptor | これはエンティティIDで、**発行者(Issuer)**と表記される場合もあり、IdPアプリケーションに固有の名前です。 |
X509Certificate | これはX509証明書で、IDプロバイダから送信されたSAMLレスポンスの署名を検証するためにKeeperが使用します。 |
NameIDFormat | Keeperにログインするときに使用する名前識別子の形式を定義します。 Keeperは以下の種類の識別子をサポートしています。 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress または urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified |
SingleSignOnService "POST" | これは、Keeper からのリクエストに対するレスポンスとして使用されるIDプロバイダの「POST」バインディングです。 |
SingleSignOnService "Redirect" | これは、Keeper からのリクエストに対するレスポンスとして使用されるIDプロバイダの「Redirect」バインディングです。 |
|
| First |
| Last |
Email (メール) | ${user:email} | unspecified (未指定) |
First (名) | ${user:givenName} | unspecified (未指定) |
Last (姓) | ${user:familyName} | unspecified (未指定) |
US | 54.208.20.102/32 | 34.203.159.189/32 |
US GovCloud | 18.252.135.74/32 | 18.253.212.59/32 |
EU | 52.210.163.45/32 | 54.246.185.95/32 |
AU | 3.106.40.41/32 | 54.206.208.132/32 |
CA | 35.182.216.11/32 | 15.223.136.134/32 |
JP | 54.150.11.204/32 | 52.68.53.105/32 |
US | 54.208.20.102/32 | 34.203.159.189/32 |
US GovCloud | 18.252.135.74/32 | 18.253.212.59/32 |
EU | 52.210.163.45/32 | 54.246.185.95/32 |
AU | 3.106.40.41/32 | 54.206.208.132/32 |
CA | 35.182.216.11/32 | 15.223.136.134/32 |
JP | 54.150.11.204/32 | 52.68.53.105/32 |
US | 54.208.20.102/32 | 34.203.159.189/32 |
US GovCloud | 18.252.135.74/32 | 18.253.212.59/32 |
EU | 52.210.163.45/32 | 54.246.185.95/32 |
AU | 3.106.40.41/32 | 54.206.208.132/32 |
CA | 35.182.216.11/32 | 15.223.136.134/32 |
JP | 54.150.11.204/32 | 52.68.53.105/32 |
Commanderを使用した承認
KeeperのCLI/SDKプラットフォームであるCommanderを使用すると、管理コンソールにログインしなくとも自動で管理者によるデバイス承認を実行できます。また、Keeper Commanderが実行可能であればどのコンピュータ (Mac、PC、Linux) でも設定できます。
この方法はKeeperクラウドからの着信接続を必要としないため、入力ポートが開けない環境に適しています。この方法ではポーリングメカニズムが使用されます (送信接続のみ)。
インストール手順についてはこちらをご参照ください。
Mac/PC/Linux用のバイナリバージョンをインストールするか、pip3
を使用します。
keeper shellコマンドを使用してCommander CLIを起動します。Commanderのバイナリをインストールした場合はそのファイルを実行します。
loginコマンドを使用して、デバイスの承認権限を持つKeeper管理者としてログインします。 Commanderでは、マスターパスワードと2FAがサポートされています。自動化を目的として、デバイスの承認専用のKeeper管理アカウントを作成することを推奨します。 これにより、ユーザーアカウントへの何らかの変更 (強制ポリシーなど) によって、Commanderの処理が中断されることがなくなります。
すべてのデバイスを表示するには、device-approveと入力します。
特定のデバイスを手動で承認するには、以下のコマンドを使用します。
過去に正常なログインが認識されたIPからのデバイスをすべて承認するには、以下のコマンドを使用します。
IPアドレスに関係なくすべてのデバイスを承認するには、以下のコマンドを使用します。
特定のデバイス承認リクエストを拒否するには、denyコマンドを使用します。
すべての承認リクエストを拒否するには、デバイスIDパラメータを削除します。
シェルを終了せずに最新のデバイス承認をリロードするには、reloadコマンドを使用します。
Commanderでは、X秒ごとに承認を実行する自動化モードがサポートされています。設定するには、自動作成されたconfig.jsonファイルを変更します。このファイルは、ユーザーフォルダの.keeperフォルダ内(WindowsではC:\Users\Administrator.keeper\config.json
、Mac/Linuxでは/home/user/.keeper/config.json
)にあります。
既存のデータは変更せずに以下の行を追加します。
JSONファイルでは、最後の行を除くすべての行の後にコンマが必要となります。
これでCommanderを開く(またはkeeper shellを実行する)と、以下のように指定した時間ごとにCommanderがコマンドを実行するようになります。
上記の例と同様に、Commanderを使用してAzure、Okta、JumpCloudなどのSCIMプロバイダによって作成されたチームおよびユーザー割り当てを自動的に承認できます。
設定するには、team-approve
というコマンドをJSON設定ファイルに追加します。
Keeper Commanderでは持続的ログインセッションがサポートされていますので、実行中はマスターパスワードでログインしたりconfigrationファイルにマスターパスワードをハードコードしたりする必要はありません。
以下はデバイス上で30日間 (最大) 持続的ログインを有効にするコマンドとなります。
値には秒数 (例えば60秒の場合は60)、または数字と文字の組み合わせ (例えbば1分の場合は1m、5時間の場合は5h、7日間の場合は7d) を使用できます。
「logout」と入力するとセッションが無効になりますのでご留意ください。 Commander セッション終了するには「quit」します。
デバイスで持続的ログインが設定されると、ローカルフォルダ内のconfig.jsonは以下のようになります。
永続的ログインについてはCommanderの資料の設定ページをご参照ください。
Keeper Commanderを使用して自動化コマンドをカスタマイズする方法は数多くありますので、詳細についてはCommanderの資料をご参照ください。
Automatorの設定と機能
本ドキュメントの設定でAutomatorサービスの機能と安全性を制御します。
automator_debug
Env変数: AUTOMATOR_DEBUG
説明: Automatorで簡単にデバッグログをオン/オフします。
automator_config_key
Env変数: AUTOMATOR_CONFIG_KEY
初期値: Empty
説明: Base64 URLエンコードされた256ビットAES キーで、通常環境変数としてのみ使用されます (v3.1.0以降)。この設定は、コンテナインスタンス間で共有される/usr/mybin/configファイルストレージがない場合に、暗号化された設定をKeeperクラウドからロードするために必要となります。
automator_host
Env変数: AUTOMATOR_HOST
初期値: "unknown"
説明: Automator サービスがローカルでリッスンしているホスト名または IP アドレスです。SSLが有効になっている場合 (ssl_mode
パラメータ)、automator_hostの値がSSL証明書のサブジェクト名に一致する必要があります。サブジェクト名が一致しない場合、disable_sni_check
設定をfalse
に設定できます。
サービスが複数のネットワークIPを持つマシンで実行されている場合、この設定によりAutomatorサービスが指定されたIPにバインドされます。
automator_port
Env変数: AUTOMATOR_PORT
初期値: 8089
説明: Automator がリッスンするポートです。Dockerで実行している場合は、デフォルトの8089を使用します。
disable_sni_check
Env変数: DISABLE_SNI_CHECK
初期値: false
説明: SSLが使用中である場合は、証明書のサブジェクト名に対するSNIチェックを無効にします。
email_domains
Env変数: EMAIL_DOMAINS
初期値: null
説明: Automatorがデバイスまたはチームを承認するための、ユーザーのメールドメインのカンマ区切りのリストで、example.com、test.com、mydomain.comなど。filter_by_email_domains設定が有効になっているかどうかにも依存します。
filter_by_email_domains
Env変数: FILTER_BY_EMAIL_DOMAINS
説明: trueの場合、Keeperがemail_domainsリストを参照します。falseの場合、email_domainsリストは無視されます。
enabled
Env変数: N/A
初期値: false
説明: Automatorが有効か無効かを決定します。
enable_rate_limits
Env変数: ENABLE_RATE_LIMITS
初期値: false
説明: trueの場合、Automatorは以下のスケジュールに従って受信するコールのレート制限を行います。
approve_device
: 100コール/分(バースト最大 200)
approve_teams_for_user
: 100コール/分(バースト最大 200)
full_reset
: 1 分に4回、バーストは6回まで
health
: 1 分に4回
initialize
: 1 分に4回、バーストは6回まで
setup
: 1 分に4回、バーストは6回まで
status
: 1 分に5回
ip_allow
and ip_deny
Env変数: IP_ALLOW
and IP_DENY
初期値: ""
説明: この制限によりユーザーは自動承認を利用できるようになります。IP制限フィルターによって受け入れられたユーザーも、Automatorによる通常の方法で承認される必要があります。IP制限フィルターで拒否されたユーザーは自動承認されません。
ip_allowが空の場合、ip_denyリストに記載されているものを除くすべてのIPアドレスが許可されます。この設定を使用した場合、許可範囲外のIPアドレスにあるデバイスはAutomatorによって承認されなくなります。 値は、単一のIPアドレスまたはIP範囲のカンマ区切りのリストとなります。 最初にip_allowリストがチェックされ、次にip_denyリストがチェックされます。
例1: ip_allow=
ip_deny=
例2:
ip_allow=10.10.1.1-10.10.1.255, 172.58.31.3, 175.200.1.10-175.200.1.20
ip_deny=10.10.1.25
name
Env変数: N/A
初期値: Automator-1
説明: Automatorの名前です。エンタープライズ内で固有である必要があります。Automatorは名前またはIDで参照できます。
persist_state
Env変数: N/A
初期値: true
説明: trueの場合、Automatorの状態がシャットダウン後も保持されます。オンのままにしておきます。
skill
Env変数: N/A
初期値: device_approval
説明: device_approvalはデバイスの承認を意味します。team_for_user_approvalはチームの承認を意味します。Automatorは複数のスキルを持つことができます。device_approvalがデフォルト値となります。
ssl_certificate
Env変数: SSL_CERTIFICATE
初期値: null
説明: SSL証明書に使用されるPFXファイルの内容を含んだBase64でエンコードされた文字列です。たとえば、UNIXでは、base64 -i my-certificate.pfx
によって必要な値が生成されます。
この環境変数を使用すると、ssl_certificate_filename
設定が上書きされます。
ssl_certificate_file_password
Env変数: SSL_CERTIFICATE_PASSWORD
初期値: ""
説明: SSLファイルのパスワードです。使用する場合、キーのパスワードは空であるか同じである必要があります。使用するライブラリでは異なるパスワードは使用できません。
ssl_certificate_key_password
Env変数: SSL_CERTIFICATE_KEY_PASSWORD
初期値: ""
説明: SSLファイル内の秘密キーのパスワードです。空かファイルのパスワードと同じである必要があります。
ssl_mode
Env変数: SSL_MODE
初期値: certificate
説明: Automatorサービスでの通信方式です。certificate
、self_signed
、none
のいずれかになります。 none
の場合、AutomatorサーバーはHTTPSの代わりにHTTPを使用します。 AutomatorがSSLトラフィックを復号化するロードバランサーの下でホストされている場合はそれでも良いかもしれません。
url
Env変数: N/A
初期値: ""
説明: Automatorに接続できるURLです。
Automatorサービスによくある問題とトラブルシューティング
Keeper CommanderがAutomatorサービスと通信できない理由はいくつかあります。
AutomatorサービスがKeeperのIPアドレスに対して解放されていることを確かにします。解放が必要なIPのリストについては、イングレス要件のページをご参照くださす。接続の問題が発生した場合に解決できるよう、ご自身のIPアドレスも追加することを推奨します。
カスタムSSL証明書をご使用の場合は、SSL証明書がロードされていることを確かにします。 Automatorのログファイルを確認すれば、サービスの再起動によって証明書がロードされたかどうかが確認できます。そのIPアドレスにアクセスできる場合は、以下のようにコマンドラインでcurlを使用することで正常性チェックを実行できます。
curl https://automator.mycompany.com/health
証明書のサブジェクト名がFQDNと一致することを確認します。
SSL証明書にCA中間証明書チェーンが含まれていることを確認します。中間証明書チェーンが欠落している場合、KeeperはAutomatorへの接続を拒否します。以下のようにopensslコマンドを使用してご確認ください。
このコマンドで、チェーン内の証明書の数が表示されます。証明書が1つしか表示されない場合は、証明書チェーンがすべてはロードされていないということになります。この問題を解決するには、証明書作成の手順ページの手順4をご参照ください。
当エラーは、ヘルスチェックのリクエストURIがSSL証明書ドメインと一致しない場合に発生する可能性があります。ヘルスチェックを完了させるにはサービスでSNIチェックを無効にする必要がありますので、Automator設定でdisable_sni_check=trueを設定するか、環境変数 DISABLE_SNI_CHECKにtrueの値を渡します。
Docker Composeメソッドを使用したKeeper Automatorのインストール
本ガイドでは、Dockerを実行できるLinuxインスタンスでKeeper Automatorを実行するための手順を解説します。
SSL証明書が必要となりますので、お持ちでない場合はカスタムSSL証明書の作成ページをご参照ください。
コンテナの更新間でデータが保持されます
将来の更新のインストールと保守が簡単です
Docker Composeメソッドを使用したAutomatorのインストール手順は以下のとおりです。
DockerとDocker Composeのインストール手順はプラットフォームによって異なります。以下の公式ドキュメントをご参照ください。
https://docs.docker.com/compose/install/
Amazon Linux 2インスタンスの場合、こちらのdocker-composeのインストールのチュートリアルをご参照ください。
https://www.cyberciti.biz/faq/how-to-install-docker-on-amazon-linux-2/
注: 新バージョンのDocker Composeは以下のコマンドを使用して実行します。
docker compose
旧バージョンでは以下のようにダッシュを使用します。
docker-compose
インストール後にDockerサービスが動作していない場合は、Dockerサービスの起動が必要になる場合があります。
次に、サービスが自動的に開始するように設定します。
root以外のユーザーにDockerの実行を許可するには(セキュリティ要件を満たしている場合)、以下のコマンドを実行します。
以下のスニペットをdocker-compose.yml
ファイルとして、サーバーのdocker composeコマンドを実行する場所に保存します。
この時点でサービスは実行中ですが、Keeperとはまだ通信できない状態です。
ご利用のワークステーション、サーバー、コンピュータなどにKeeper Commander CLIをインストールします。初期設定に使用のみとなります。バイナリインストーラーを含むインストール手順についてはこちらをご覧ください。
Commanderをインストールした後、keeper shell
と入力してセッションを開いてからlogin
コマンドを使用してログインします。Automatorをセットアップするには、Keeper管理者、またはSSOノードを管理できる管理者としてログインする必要があります。
(7) Commanderで初期化します
Keeper Commanderにログインし、automator create
で始まる一連のコマンドを使用してAutomatorを有効化します。
ノード名(この場合は、Azure Cloud)は、以下に示すように管理コンソールのUIに表示されます。
コマンドの出力には、IDプロバイダから取得したメタデータを含むAutomatorの設定が表示されます。
URLはまだ設定されていないませんので、選択したFQDNを使用してURLを編集します。
以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます(team
、 team_for_user
、device
)。
次にキーを交換します。Automator公開キーで暗号化されたエンタープライズ秘密キーがAutomator に提供されます。
新しい設定でAutomatorを初期化します。
Automatorサービスを有効にします。
この時点で設定は完了となります。
自動ヘルスチェックには以下のURLをご使用になれます。
https://<server>/health
以下はその例です。
Docker Compose コマンドを使用してAutomator ログをモニターできます。
IDプロバイダとしてAD FSを使用してKeeper Automatorを有効にする場合、以下の手順に従ってKeeper 証明書を更新するまでログインできません。
Keeper管理コンソールへログインします。
[管理] > [SSOノード] > [プロビジョニング]に移動し、SSOクラウド設定を見ます。
[Export SP Cert]をクリックします。
AD FS管理コンソールで、Keeper Cloud SSO証明書利用者信頼プロパティを選択します。
[暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。
[署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。
Keeperのサーバーおよびご利用のワークステーションからサービスへのネットワークアクセスを制限することを推奨します。許可するKeeper IPアドレスのリストについては、イングレス要件をご参照ください。
Keeper Automatorがデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。
KubernetesサービスとしてKeeper Automatorをインストール
本ガイドでは、Keeper AutomatorをKubernetesサービスとして実行するための手順を解説します。
SSL証明書が必要となりますので、お持ちでない場合はカスタムSSL証明書の作成ページをご参照ください。
Kubernetesのインストールとデプロイについては詳しく触れませんが、デモの目的でプラットフォームに依存しない2つのEC2インスタンス(マスターとワーカー)を使用する、非常に基本的な単一ノード環境について記載しました。K8環境がすでに整っている場合には手順2へお進みください。
Kubernetesはコンテナランタイムを要しますのでDockerを使用します。
これらのパッケージは、マスターノードとワーカーノードの両方にインストールする必要があります。 今回の例ではAWS Amazon Linux 2インスタンスタイプを使用しています。
マスターノードとして使用をご希望のマシンで以下を実行します。
--pod-network-cidr
引数は、特定のネットワークプロバイダーで必要となります。ポッドに設定するIP範囲を置き換えます。
kubeadm init
が完了後、ワーカーノードをマスターに参加させるために使用できるコマンドが表示されます。レスポンスと初期化コードをメモして次の手順で使えるようにします。
ローカルのkubeconfigをセットアップします。
クラスターが機能する前にポッドネットワークをインストールする必要があります。簡単にflannel
を使用できます。
ワーカーノードとして追加する各マシンで、初期化コードを含む以下のコマンドを実行します。
セキュリティグループ内のワーカーノードとマスターノードの間でポート6443 が開いている必要があリます。
ワーカーが参加した後、Kubernetesクラスターが稼働します。マスター上でkubectl get nodes
を実行すると、ノードのステータスを確認できます。
Keeper AutomatorのSSL証明書がSecretとしてKubernetesサービスに提供されます。SSL証明書とSSL証明書パスワード(SSL 証明書ガイドから作成)を保存するには、以下のコマンドを実行します。
以下は、automator-deployment.yamlとして保存できるマニフェストファイルです。デプロイメントリソースとサービスリソースの両方の設定が含まれています。
デプロイメントリソースはKeeper Automator Dockerコンテナを実行します。
SSL証明書と証明書パスワードファイルは、マウントされたSecretとして参照されます。
Secretは初期化コンテナ内のポッドにコピーされます。
Automatorサービスはポート30000でリスンしてから、コンテナーのポート443にルーティングします。
本手順では、単一のコンテナ(replicas: 1)のみをデプロイしてコンテナを設定できるようにします。最後の手順でreplicasの数を増やします。
30秒以内にサービスが起動します。
ウェブブラウザでサービスが実行されていることを確認します(テストしているデバイスからポート 30000を開く必要があります)。 今回の場合、URLはhttps://automator2.lurey.com:30000/api/rest/statusとなります。
自動ヘルスチェックには以下のURLもご利用になれます。
https://<server>/health
例:
これで単一ポッドのサービスが実行されていますので、Keeper Commanderを使用してAutomatorをご利用の環境に統合します。
ポッドを設定してAutomator機能を使うには、Keeper Commanderが必要となります。Keeper Commanderはどこからでも実行できます。
ご利用のワークステーションにKeeper Commander CLIをインストールします。バイナリインストーラーを含むインストール手順についてはこちらをご覧ください。
Commanderをインストールした後、keeper shell
と入力してセッションを開いてからlogin
コマンドを使用してログインします。Automatorをセットアップするには、Keeper管理者またはSSO ノードを管理する権限を持つ管理者としてログインする必要があります。
Keeper Commanderにログインし、automator create
で始まる一連のコマンドを使用してAutomatorを有効にします。
ノード名 (この場合はAzure Cloud) は、以下のように管理コンソールUIから取得します。
コマンドの出力には、IDプロバイダからのメタデータを含むAutomator設定が表示されます。
URLはまだ入力されていませんので、以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます(team
、 team_for_user
、device
)。
次にキーを交換します。Automator公開キーで暗号化されたエンタープライズ秘密キーがAutomatorに提供されます。
次に、他のIdPメタデータをAutomatorに送信します。
Automatorサービスを有効にします。
この時点で設定は完了となります。
Keeperのサーバーおよびご利用のワークステーションからサービスへのネットワークアクセスを制限することを推奨します。許可するKeeper IPアドレスのリストについては、イングレス要件をご参照ください。
単一のポッドでAutomatorサービスが適切に動作していることを確認するには、以下の手順を行います。
ブラウザのシークレットモードでウィンドウを開きます。
SSOユーザーアカウントを使用してKeeperウェブボルトにログインします。
SSOログインの成功後にデバイスの承認が必要ないことを確認します。
この時点では、単一のポッド設定を実行しています。最初のポッドにAutomatorサービスがセットアップされKeeper クラウドに設定されましたので、ポッドの数を増やせます。以下のように、YAMLファイル内のreplicasステートメントを実行したいポッドの数に更新します。
次に変更を適用します。
複数のポッドが実行されている場合、コンテナはラウンドロビン方式のセットアップで負荷が分散されます。最初の承認リクエスト時に構成設定がKeeperクラウドからAutomatorポッドへ自動的かつ安全にロードされます。
Automatorサービスを実行しているログファイルでエラーを監視できます。ポッドのリストを取得するには以下を実行します。
以下のコマンドを使用して、ターミナル経由でAutomatorコンテナに接続します。
ログファイルはlogs/フォルダにあります。ターミナルに接続する代わりに、以下のコマンドからコンテナのログファイルを追跡することもできます。
Keeper Automatorをシンプルなdocker環境にデプロイする方法
本ガイドでは、Dockerを実行できるLinux インスタンスでKeeper Automatorを実行するための手順を解説します。
SSL証明書が必要となりますので、お持ちでない場合はカスタムSSL証明書の作成ページをご参照ください。
(1) Dockerのインストール
Dockerをインストールしていない場合は、ご利用のプラットフォームの手順に従ってセットアップします。たとえば、yumパッケージインストーラーを使用する場合、以下のようになります。
Dockerサービスが実行されていない場合は、Dockerサービスを開始します。
次に、サービスが自動的に開始するように設定します。
root以外のユーザーにDockerの実行を許可するには(セキュリティ要件を満たしている場合)、以下のコマンドを実行します。
(2) Automatorイメージの取得
docker pull
コマンドを使用して、最新のKeeper Automatorイメージを取得します。
(3) サービスの開始
以下のコマンドを使用してサービスを開始します。以下の例では、ポート443をリッスンしています。
(4) 証明書の更新
dockerコンテナ内にconfigフォルダを作成します。
証明書ガイドで作成したssl-certificate.pfx
ファイルをコンテナにコピーします。
.pfxファイルがパスフレーズで保護されている場合は、ssl-certificate-password.txt
という名前のファイルも作成して、dockerコンテナにコピーする必要があります。
(5) SSL証明書を使用してコンテナを再起動
証明書がインストールされましたので、Dockerコンテナを再起動します。
(6) Keeper Commanderをインストール
この時点でサービスは実行中ですが、Keeperとはまだ通信でない状態です。
ご利用のワークステーション、サーバー、コンピュータなどにKeeper Commander CLIをインストールします。バイナリインストーラーを含むインストール手順についてはこちらをご覧ください。
Commanderをインストールした後、keeper shell
と入力してセッションを開いてからlogin
コマンドを使用してログインします。Automatorをセットアップするには、Keeper管理者、またはSSOノードを管理できる管理者としてログインする必要があります。
(7) Commanderで初期化
Keeper Commanderにログインし、automator create
で始まる一連のコマンドを使用してAutomatorを有効化します。
ノード名(この場合はAzure Cloud)は、以下のように管理コンソールのUIに表示されます。
コマンドの出力には、IDプロバイダから取得したメタデータを含むAutomatorの設定が表示されます。
以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます(team
、 team_for_user
、device
)。
次にキーを交換します。Automator公開キーで暗号化されたエンタープライズ秘密キーがAutomator に提供されます。
新しい設定でAutomatorを初期化します。
Automatorサービスを有効にします。
この時点で設定は完了となります。
自動ヘルスチェックには以下のURLをご使用になれます。
https://<server>/health
以下はその例です。
IDプロバイダとしてAD FSを使用してKeeper Automatorを有効にする場合、以下の手順に従ってKeeper 証明書を更新するまでログインできません。
Keeper管理コンソールへログインします。
[管理] > [SSOノード] > [プロビジョニング]に移動し、SSOクラウド設定を見ます。
[Export SP Cert]をクリックします。
AD FS管理コンソールで、Keeper Cloud SSO証明書利用者信頼プロパティを選択します。
[暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。
[署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。
Keeperのサーバーおよびご利用のワークステーションからサービスへのネットワークアクセスを制限することを推奨します。許可するKeeper IPアドレスのリストについては、イングレス要件をご参照ください。
Keeper Automatorがデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。
Keeper Automatorサービスを停止/開始する際、Dockerサービスは自動的に状態を保持します。
Keeper Automatorのログを確認してください。通常これで問題がわかります。Docker環境では、以下のコマンドを使用してログファイルを追跡できます。
以下のコマンドを使用して、コンテナに接続してログファイルを確認できます。
スタンドアロンJavaサービスを使用したKeeper Automatorの実装例
本ガイドでは、Dockerを実行できるLinuxインスタンスでKeeper Automatorを実行するための手順を解説します。
SSL証明書がすでに用意できていることをご確認ください。用意できていない場合は、SSL証明書作成のページの手順に従ってください。
サービスの準備としてJava 17以上がインストールされていることを確かにします。標準のAmazon AWS Linux 2インスタンスでは、以下のコマンドを使用してJava 17 SDKをインストールできます。
どのバージョンが実行中かを確認するには、以下のように入力します。
Automatorインスタンスから、Keeper Automatorサービスをダウンロードして解凍します。
このフォルダが存在しない場合は、解凍先にconfigフォルダを作成します。
SSL証明書作成のページで作成した.pfxファイルをAutomatorのconfig/
フォルダにアップロードし、ファイル名がssl-certificate.pfx
になっていることを確認します。
以下は、scpを使用した例です。
ssl-certificate.pfx
ファイルがパスフレーズで保護されている場合は、ssl-certificate-password.txt
という名前のファイルも作成して、dockerコンテナにコピーする必要があります。
以下に例を示します。
Automatorインスタンスから、java -jar
を使用してサービスを開始します。以下の例では、nohup
を使用してバックグラウンドで実行します。
Windowsのコマンドラインまたはpowershellでは、コマンドは以下の記載通りに実行する必要があります。
サービスが実行中であることをウェブブラウザで確認します(テストしているデバイスからポート 443を開く必要があります)。 この場合、URLはhttps://<server>/healthとなります。
このURLは自動ヘルスチェックにもご使用になれます。
以下に例を示します。
サービスは実行中となりましたので、Keeper Commanderを使用してAutomatorをご利用の環境に統合します。
Keeper CommanderでAutomator設定の最後の手順を実行する必要があります。これはどこからでも実行可能で、サーバーにインストールする必要はありません。
ご利用のワークステーション、サーバー、コンピュータなどにKeeper Commander CLIをインストールします。バイナリインストーラーを含むインストール手順についてはこちらをご覧ください。
Commanderをインストールしたら、keeper shell
と入力してセッションを開き、login
コマンドを使用してログインできます。Automatorを設定するには、Keeper管理者、またはSSOノードを管理できる管理者としてログインする必要があります。
Keeper Commanderにログインし、automator create
で始まる一連のコマンドを使用してAutomatorを有効化します。
ノード名(この場合は、「Azure Cloud」)は、以下に示すように管理コンソールのUIに表示されます。
コマンドの出力には、IDプロバイダから取得したメタデータを含むAutomatorの設定が表示されます。
以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます(team
、 team_for_user
、device
)。
次にキーを交換します。Automator公開キーで暗号化されたエンタープライズ秘密キーがAutomator に提供されます。
次に、他のIdPメタデータをAutomatorに送信します。
Automatorサービスを有効にします。
この時点で設定は完了となります。
IDプロバイダとしてAD FSを使用してKeeper Automatorを有効にする場合、以下の手順に従ってKeeper 証明書を更新するまでログインできません。
Keeper管理コンソールへログインします。
[管理] > [SSOノード] > [プロビジョニング]に移動し、SSOクラウド設定を見ます。
[Export SP Cert]をクリックします。
AD FS管理コンソールで、Keeper Cloud SSO証明書利用者信頼プロパティを選択します。
[暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。
[署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。
Keeperのサーバーおよびご利用のワークステーションからサービスへのネットワークアクセスを制限することを推奨します。許可するKeeper IPアドレスのリストについては、イングレス要件をご参照ください。
Keeper Automatorがデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。
Keeper Automatorサービスを停止/開始する場合、あるいはサーバーを再起動する場合は、Keeper Commanderを使用してサービスエンドポイントを再初期化する必要がある場合があります。
Keeper Automatorのログを確認してください。通常これで問題がわかります。Linuxではログはインストールディレクトリにあります。
Keeper Automatorサービスを再設定する際、Keeper Commanderを使用してサービスエンドポイントを再初期化する必要がある場合があります。Keeper Commanderについてはこちらをご覧ください。
Keeper CommanderでAutomatorインスタンスを再初期化するのに必要なコマンドは以下のとおりです。
SSO Connect Cloudのシステムアーキテクチャ
KeeperとIdP間のシングルログアウト(SLO)の設定オプション
ユーザーがKeeperボルトからの「ログアウト」をクリックしたときにどのような動作を期待するかは、顧客によって異なる場合があります。 以下の2つの選択肢があります。
Keeperボルトの「ログアウト(Logout)」をクリックすると、ボルトが閉じるだけで、IDプロバイダとのログイン状態を維持します。\
Keeperボルトへの再ログインは、IDプロバイダのログインロジックに従います。 たとえば、Oktaには設定変更可能なサインオン規則があり、アプリケーションを開く前に、ユーザーにMFAコードの入力を求めることができます。 ご利用のIDプロバイダのサインオンロジックを確認して、ユーザーにとって最適な運用を決定してください。
Keeperボルトの「ログアウト(Logout)」をクリックすると、IDプロバイダからもユーザーがログアウトされます。\
これにより、ユーザーはIdPと接続されたサービスからもログアウトするため、ユーザーの不満を招くおそれがあります。\
G Suiteやその他の一部のIDプロバイダは、この問題にうまく対処できていません。\
この動作を好ましくないと考える場合は、「ログアウト」をクリックするのではなく、単にボルトを閉じるようにユーザーに指示する必要があります。
IDプロバイダに「シングルログアウト」オプションがある場合は、IDプロバイダの設定画面からこの機能をONにできます。 たとえば、Oktaには「シングルログアウト」チェックボックスがあり、「Keeper SP証明書」のアップロードを求められます。 この設定を変更すると、IdPからメタデータをエクスポートして、Keeper SSOの設定画面に再度インポートする必要があります。\
IDプロバイダに「シングルログアウト」オプションがある場合は、IDプロバイダの設定画面からこの機能をOFFにして、新しいメタデータファイルをKeeperにアップロードしてください。\
IdPのユーザーインターフェースに設定画面がない場合は、IdPのメタデータファイル(以下のスクリーンショット)を手動で編集すればよいだけです。 テキストエディターまたはvimで、SLO値を表す以下の強調表示された行を削除します。 次にこのファイルを保存して、Keeper SSOの設定画面にメタデータをアップロードします。
SSO Connect Cloudを使用してユーザーをプロビジョニングする方法
SSOが設定されたノード内のユーザーをオンボーディングするには、以下のオプションがあります。
IDプロバイダがSCIMプロトコルを使用した自動プロビジョニングに対応している場合、Keeperボルトに自動的にプロビジョニングされます。
まだプロビジョニングを行っていない場合、ユーザーとチームのプロビジョニングガイドをご参照の上、IDプロバイダにSCIMを設定してください。
SCIMを使用してプロビジョニングされたユーザーは、ボルトのログイン画面でメールアドレスを入力するだけで、自動的にIdPのログイン画面に移動してサインインを完了します。IdPにルーティングされるようKeeperでメールドメインが予約されていることを確かにしてください。ドメインの予約についてはこちらをご参照ください。
IdPでの認証が済むと、ユーザーは最初のデバイスで自分のボルトにログインした状態になります。それ以降に使用するデバイスについてはデバイス承認が必要となります。
SSO設定でジャストインタイム (JIT) プロビジョニングが有効になっている場合、ユーザーがボルトにアクセスする方法は複数あります。
(1) IDプロバイダのダッシュボードにユーザーを誘導して、Keeperアイコンをクリックしてもらいます(IdPが起点となるログイン)。
(2) IDプロバイダ内にKeeperへのハイパーリンクを表示します (正確なURLについては、IdPのアプリケーション設定画面をご参照ください)。
(3) ユーザーをKeeperボルトに誘導し、メールアドレスを入力して[次へ]をクリックしてもらいます。
自動ルーティング用にKeeperでドメインが予約されていることを確かにします。
(4) メールアドレスの使用が望ましくない場合、管理コンソールでSSO用に設定した法人ドメインを使用して、[法人SSOログイン]を選択することもできます。
(5) 以下の形式を使用して、ユーザーをKeeperの法人ドメインログイン画面に直接ハイパーリンクします。
<ドメイン>を以下のKeeperのテナントがホストされているデータセンターのエンドポイントに置き換えます。
keepersecurity.com
keepersecurity.eu
keepersecurity.com.au
govcloud.keepersecurity.us
keepersecurity.jp
keepersecurity.ca
<名前>は、管理コンソールで割り当てられた法人ドメインの名前に置き換えます。
ジャストインタイムプロビジョニングを使用せずに、管理コンソールからユーザーを手動で招待したい場合は、以下の手順を行います。
Keeper管理コンソールにログインします。
IDプロバイダが設定されたノードを開きます。
[ユーザーを追加]をクリックして、ユーザーを手動で招待します。
ボルトへのログイン画面からメールアドレスを入力するだけでサインインできます。
備考: 招待メールにグラフィックやコンテンツなどのカスタマイズを加えるには、管理コンソールの[環境設定]画面を開きます。
Keeperを組織内のユーザーにデプロイする前に、管理者以外のテストユーザーアカウントを使用して設定とオンボーディングプロセスをテストするようにしてください。
テストではKeeper管理者アカウントでSSOを使用しないようにしてください。Keeper管理者は管理コンソールのルートノードに含めて、マスターパスワードログインを使用することを推奨します。 これにより、IDプロバイダを利用できない場合 (Microsoft側で障害が発生した場合など) でも、常にアクセスが得られ、ユーザーを管理できます。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
Keeper AutomatorのWindowsサーバーでの実装例
本ガイドでは、Dockerを使用せずにAutomatorサービスをWindowsサーバーで実行するための手順を解説します。
SSL証明書が必要となりますので、お持ちでない場合はカスタムSSL証明書の作成ページをご参照ください。
Automatorインスタンスで、以下のURLからKeeper Automatorのインストーラーをダウンロードし、解凍して実行します。
https://keepersecurity.com/automator/keeper-automator-windows.zip
設定画面でJavaのチェックボックスをオンにして、Javaランタイムをインストールに含めます。現在はJava 17ランタイムが同梱されており、新バージョンのリリースに合わせて更新されます。
これにより、Keeper Automatorが以下のフォルダにインストールされます。
C:\Program Files\Keeper Security\Keeper Automator\
設定は以下のフォルダに保存されます。
C:\ProgramData\Keeper Automator\
C:\ProgramData\Keeper Automatorフォルダにconfigというフォルダを作成します。
ssl-certificate.pfx
ファイル(SSL証明書作成のページで保存)をC:\ProgramData\Keeper Automator\Configに配置します。
ssl-certificate.pfx
ファイルがパスフレーズで保護されている場合は、ssl-certificate-password.txt
という名前のファイルもC:\ProgramData\Keeper Automator\Configに作成する必要があります。
サービス画面でKeeper Automatorを選択し、サービスを再起動します。
ウェブブラウザでサービスが実行中であることを確認します(テストしているデバイスからポート443が解放されている必要があります)。 この場合のURLは、https://automator.company.com/api/rest/statusとなります。
自動ヘルスチェックには以下のURLもご使用になれます。
https://automator.company.com/health
Defenderファイアウォールが実行されているWindowsでデプロイしている場合は、Windows Defenderファイアウォールでポート443(または任意の指定ポート)を開く必要がありますので、 以下の手順に従います。
[スタート]メニューを開き、[Windows Defenderファイアウォール]と入力して、結果の一覧から選択します。横のナビゲーションメニューで[詳細設定]を選択し、[受信の規則]を選択します。ポートを開くには、[新しい規則]を選択して手順を完了します。
サービスが実行中となりましたので、Keeper Commanderを使用してAutomatorをご利用のKeeperの環境に統合します。
(5) Keeper Commanderをインストールします
ご利用のワークステーション、サーバー、コンピュータなどにKeeper Commander CLIをインストールします。バイナリインストーラーを含むインストール手順についてはこちらをご覧ください。
(6) Keeper Commanderにログインし、automator create
で始まる一連のコマンドを使用してAutomatorを有効化し、Automatorに任意の名前を付けます。
ノード名(この場合は、Azure Cloud)は、以下に示すように管理コンソールのUIに表示されます。
コマンドの出力には、IDプロバイダから取得したメタデータを含むAutomatorの設定が表示されます。
URLがまだ入力されいませんので、以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます(team
、 team_for_user
、device
)。
次にキーを交換します。Automator公開キーで暗号化されたエンタープライズ秘密キーがAutomator に提供されます。
この手順でエラーが発生した場合は、Windows サービスを停止してから開始し、ポートが使用可能であることを確かにします。
次に、以下のコマンドを使用して新しい設定でAutomatorを初期化します。
最後に、以下のコマンドでAutomatorサービスを有効にします。
この時点で設定は完了となります。
IDプロバイダとしてAD FSを使用してKeeper Automatorを有効にする場合、以下の手順に従ってKeeper 証明書を更新するまでログインできません。
Keeper管理コンソールへログインします。
[管理] > [SSOノード] > [プロビジョニング]に移動し、SSOクラウド設定を見ます。
[Export SP Cert]をクリックします。
AD FS管理コンソールで、Keeper Cloud SSO証明書利用者信頼プロパティを選択します。
[暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。
[署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。
Keeper Automatorがデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。
Keeper Automatorサービスを再設定する際は、Keeper Commanderを使用してサービスエンドポイントを再初期化する必要があります。
Keeper Automatorのログを確認してください。通常これで問題がわかります。Windowsの場合、ログはC:\ProgramData\Keeper Automator\logsにあります。
Keeper Automatorサービスを再インストールする際、Keeper Commanderを使用してサービスエンドポイントを再初期化する必要がある場合があります。Keeper Commanderについてはこちらをご覧ください。
Keeper CommanderでAutomatorインスタンスを再初期化するのに必要なコマンドは以下のとおりです。
カスタムSSL証明書でKeeper Automatorを設定
Keeper AutomatorによりKeeperバックエンドとお客様の環境で実行されているAutomatorサービスの間の通信を暗号化されます。
カスタム証明書を使用しない場合、Keeper Automatorがデフォルトで自己署名証明書を生成します。
SAMLが署名だけでなくリクエストを暗号化するように設定されている場合は、カスタム SSL証明書が必要となります。
ZeroSSLで簡単に無料でSSL証明書を取得できます。あるいはプロセスの各過程をより詳細に制御したい場合は、以下の手順にお進みください。
Keeper Automatorには、公的認証局によって署名された有効な署名付きSSL証明書が必要です。SSL 証明書を生成するプロセスはプロバイダによって異なりますが、ここでは一般的なフローについて記載します。
以下の手順に従ってAutomatorの実行に必要な2つの証明書ファイルを作成します。これらのファイルにはssl-certificate.pfx
およびssl-certificate-password.txt
という名前を付けます。
(1) opensslコマンド プロンプトを使用して秘密キーを生成します。
(2) Automatorに使用する予定のホスト名を使用してCSRを生成します。この場合、automator.lurey.comを使用します。Common Nameはドメインと完全に一致します。
(3) SSL証明書を購入するか 90日間の無料証明書を取得し、CSRをSSL証明書プロバイダに送信します。
Automatorインスタンス用に作成したSSL証明書はこの目的にのみ使用するようにしてください。他のサービスと共有されているワイルドカード証明書は使用しないでください。
まだプロバイダをお持ちでない場合は、https://www.ssls.com/をご利用になれます。1つのドメインに対して最も安価なSSL証明書で問題ありません。
automator.company.comなどのURLを選択し、Automatorに限定したドメインの証明書を作成します。
SSL証明書プロバイダが署名付き証明書(.crt ファイル)と中間CA証明書を含むzipファイルを配信します。バンドルのファイル拡張子は .crt または .ca-bundleのいずれかとなります。このファイルを、前に作成した.keyファイルと同じ場所に解凍します。
(4) 証明書が発行された後、OpenSSL を使用して完全な証明書チェーン(ルート、中間、CA 証明書)を含む.pfx形式に変換する必要があります。
Windows では、必ずOpenSSLコマンドプロンプトを起動し、ファイルが存在するフォルダへ移動してください。
特殊文字を含まないエクスポートパスワードを設定します。
重要: エクスポートパスワードには特殊文字を使用しないようにしてください。
次に、ssl-certificate-password.txtという名前の新しいテキストファイルを作成し、そのファイルにエクスポートパスワードを入力して保存します。
automator.key
は手順1で生成された秘密キーです。
automator.yourcompany.com.crt
は手順3で配信された署名付き証明書です。
automator.yourcompany.com.ca-bundle
はCAバンドルです。
ssl-certificate.pfx
は、Automatorによって使用されるパスワードで暗号化済みの出力ファイルです。
ssl-certificate-password.txt
には、.pfxファイルの暗号化に使用されるパスワードが含まれています。
5つのファイルすべてをKeeperボルトに保存することを推奨します。
.pfx ファイルに、発行した証明書とプロバイダからの完全な証明書チェーンが含まれていることを確かにしてください。完全な証明書チェーンを提供しない場合は通信が失敗し、AutomatorがURLに接続できません。
.pfxを確認するにはopensslを使用します。
openssl pkcs12 -in ssl-certificate.pfx -info
.pfx が正しい場合は、3 つの証明書が表示されます。
証明書が1つしか表示されない場合、4つまたは5つの証明書が表示される場合は.pfxが間違っているため、プロセスを繰り返す必要があります。
(5) ssl-certificate.pfx
とssl-certificate-password.txt
を保存し、後述のデプロイ手順で使用できるようにします。
また、後でサービスを更新したり証明書を再入力したりするときに参照できるように、Keeperコンテナ内のファイルは必ずバックアップしておいてください。
(6) 以下に記載されている年次証明書更新プロセスを確認してください。
Keeper Automatorには、公的認証局によって署名された有効な署名付きSSL証明書が必要です。自己署名証明書はサポートされていません。SSL 証明書を生成するプロセスはプロバイダによって異なりますが、ここでは一般的なフローについて記載します。
OpenSSLをダウンロードしてインストールします。サードパーティ(slproweb.com)がバイナリインストーラーを作成しています。一般的なバイナリインストーラーについては以下をご参照ください。
https://slproweb.com/products/Win32OpenSSL.html 下部にあるWin32 OpenSSL vX.X.X Lightというバージョンをインストールします。
インストール中にデフォルトのオプションを選択できます。Microsoft Visual Studio拡張機能もインストールするように求められる場合がありますので、OpenSSLのセットアップを完了する前にこの拡張機能をインストールしてください。
OpenSSLコマンドプロンプトを実行します。
スタートメニューにOpenSSLフォルダがありますので、[Win32 OpenSSLコマンドプロンプト]をクリックします。
毎年SSL証明書の更新が必要となりますが、ほとんどの証明書プロバイダーで新しい証明書を生成してくれます。証明書の更新後、Automatorインスタンス内の.pfx証明書ファイルを置き換えてからサービスを再起動します。ファイルの更新とサービスの再起動の正確なプロセスについては、特定のAutomatorインストール方法のドキュメントをご参照ください。
ID プロバイダーとしてAD FSを使用してKeeper Automatorを使用している場合、以下の手順に従って Keeper証明書を更新するまでログインできません。
Keeper管理コンソールへログインします。
[管理] > [SSOノード] > [プロビジョニング]に移動し、SSOクラウド設定を見ます。
[Export SP Cert]をクリックします。
AD FS管理コンソールで、Keeper Cloud SSO証明書利用者信頼プロパティを選択します。
[暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。
[署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。
証明書の更新後、IDプロバイダで新しいSP証明書を発行する必要がある場合があります。以下がその手順となります。
Keeper管理コンソールへログインします。
[管理] > [SSOノード] > [プロビジョニング]に移動し、SSOクラウド設定を見ます。
[Export SP Cert]をクリックして証明書ファイルを保存します。
[メタデータのエクスポート]をクリックして証明書が含まれるメタデータファイルを保存します。
IDプロバイダポータルにログインし、KeeperのSSO設定を見ます。
サービスプロバイダーの証明書更新の指示に従って、KeeperのSP証明書ファイル(または必要に応じてメタデータ)をアップロードし、保存します。
Automatorサービスが本質的にサービスプロバイダーになるのが理由となります。署名プロセスには、お客様が生成したSSL証明書が使用されます。
SSLを終了するカスタムドメインを持つアプリケーションゲートウェイまたはロードバランサーを利用する環境でSSL証明書を更新する場合は、そのデバイス上の証明書も更新する必要があります。
App Gatewayを使用したAzureデプロイの場合、ゲートウェイのhttpsリスナーで.pfx 証明書も更新する必要があります。[Azure] > [リソースグループ] > [アプリゲートウェイ] > [リスナー]に移動し、新しい証明書をアップロードします。
Keeper SSO Connect Cloudの技術的説明
Keeperはゼロ知識セキュリティプロバイダです。ゼロ知識は、以下の原則を守ることで、最高レベルのセキュリティとプライバシーを保証するシステムアーキテクチャです(SSO Cloudモデル)。
データは、(サーバー上ではなく)デバイスレベルで暗号化および復号化します
アプリケーションはプレーンテキスト(人間が読める)データを保存しません
サーバーはプレーンテキストのデータを受信しません
Keeperの従業員または第三者が暗号化されていないデータを見ることはできません
データを復号化および暗号化する鍵は、ユーザー(および企業の管理者)が管理します
マルチレイヤー暗号化により、ユーザー、グループ、管理者レベルでアクセス制御します
データの共有には公開鍵暗号を使用し、安全な鍵配布を実現します
データは、ユーザーのデバイス上でローカルに暗号化されてから、Keeper's Cloud Security Vaultに送信されて保存されます。データが他のデバイスに同期されると、そのデバイスで復号化されるまでデータは暗号化されたままになります。
Keeperは、世界で最も多くの認証、テスト、監査を受けた、最も安全なパスワードセキュリティプラットフォームです。Keeperは、業界で唯一のSOC 2およびISO 27001認証パスワード管理ソリューションであり、米国商務省のEU-米国間プライバシーシールドプログラムに準拠し、データ保護に関する欧州委員会の指令にも適合しています。最も安全なレベルの暗号化を実装するだけでなく、第三者によって絶えず監査される極めて厳格な社内規範を遵守し、安全なソフトウェアの開発と、世界で最も安全なサイバーセキュリティプラットフォームの提供を確実に継続できるように努めています。
Keeper SSO Connect Cloudは、完全なクラウド環境で標準のSAML 2.0プロトコルを使用するサードパーティのIDプロバイダ(IdP)を利用して認証することによって、ユーザーを認証し、ゼロ知識暗号化ボルトに保存されたデータを復号化する方法をKeeper Enterpriseのお客様に提供します。
この実装では、ユーザーはSSO IDプロバイダを使用して認証を受け、ローカルのユーザーデバイス上で自分のボルトの暗号文を復号化できます。デバイスごとに独自のEC(楕円曲線)公開鍵/秘密鍵のペアと暗号化されたデータキーを設定します。 ユーザーごとに独自のデータキーを設定します。新しいデバイスにサインインするには、ユーザーが既存のデバイスを利用して承認を実行するか、または特権を持つ管理者が新しいデバイスを承認する場合もあります。
この新機能の重要性は、ユーザーがKeeperクラウドに保存された暗号鍵を使用して、自分のボルトを復号化できることにあります。 Keeperクラウドはユーザーのデバイス上でユーザーのデータキーを復号化できないため、ゼロ知識が維持されるのです。ユーザーのデータキー(「DK」)はデバイスの秘密鍵(「DPRIV」)で復号化されます。暗号化されたデータキー(「EDK」)をユーザーが利用できるのは、指定されたIDプロバイダ(Okta、Azure、AD FSなど)による認証に成功した場合のみです。
SSO Connect Cloudのユーザーの場合、デバイスごとに楕円曲線の秘密鍵が生成されて、ローカルに保存されます。Chromiumベースのウェブブラウザの場合、Keeperボルトは、ローカルデバイスの楕円曲線秘密鍵(「DPRIV」)をエクスポートできない暗号鍵として保管します。 iOSおよびMacデバイスでは、鍵はデバイスのキーチェーンに保存されます。 利用可能な場合、Keeperは安全なストレージメカニズムを利用します。
デバイスの秘密鍵がボルトデータの暗号化や復号化に直接使用されることはありません。 IDプロバイダによる認証が成功すると、ボルトデータの復号化には(保管されていない)別の鍵が使用されます。 ローカルデバイスの秘密鍵をオフラインで抽出しても、ユーザーのボルトは復号化できません。
デバイス/プラットフォームによってセキュリティレベルが異なるため、最適なセキュリティを提供するには、最新のChromiumベースのウェブブラウザの使用をお勧めします。
不正アクセスされたデバイスによる攻撃に対する一般的な防御として、すべてのデバイス(デスクトップコンピュータなど)をディスクレベルの暗号化と最新のマルウェア対策ソフトウェアで保護することもお勧めします。
新しいデバイスにサインインするには、ユーザーが既存のデバイスを利用して承認を実行するか、または特権を持つ管理者が新しいデバイスを承認する場合もあります。 新しいデバイスで公開鍵/秘密鍵のセットが新たに生成されます。承認デバイスは、この新しいデバイスの公開鍵でユーザーのデータキーを暗号化します。 新しいデバイスの暗号化されたデータキー(EDK)が要求元のユーザーやデバイスに送信されると、ユーザーはこのデータキーを復号化できるため、自分のボルトデータも復号化できます。 ユーザーは復号化されたボルトデータ内で、記録鍵、フォルダ鍵、チーム鍵などの他の秘密暗号鍵を復号化できます。
この機能の重要性は、ユーザーがKeeperクラウドに保存された暗号鍵を使用して自分のボルトを復号化できるという点と、暗号鍵を管理するためにオンプレミスのサービスもユーザーがホストするアプリケーションサービスも必要としないという点にあります。 Keeperクラウドはユーザーのデバイス上でユーザーのデータキーを復号化できないため、ゼロ知識が維持されるのです。ユーザーのデータキーはデバイスの秘密鍵(DPRIV)で復号化されます。EDKをユーザーが利用できるのは、指定されたIDプロバイダ(Okta、Azure、AD FSなど)による認証に成功した場合のみです。
管理者の目から見たメリットは、Keeper の現行SSO Connectの暗号化モデルで説明されている通り、設定が簡単で、暗号鍵の管理にホスト型のソフトウェアが必要ないことです。
Keeper SSO Connectのオンプレミス実装に対する、このモデルのワークフローの唯一の違いは、ユーザーが有効なデバイスで新しいデバイスの承認を実行するか、またはKeeper管理者にデバイス承認を実行する責務を委任する必要があるという点です。
Keeper SSO Connect Cloudは、以下に記載した、SPが起点となるログインフローとIdPが起点となるログインフローの両方をサポートしています。
1) SPが起点となるログイン(「企業ドメイン」を使用)
ユーザーは、Keeperボルトのログイン画面で「企業ドメイン」を入力します。
Keeperは、Keeper SSO Cloudインスタンスに設定されたSAMLログインURLを取得します(https://keepersecurity.com/api/rest/sso/saml/login/12345678など)。
ユーザーはこのSAMLログインURLにリダイレクトされます。
Keeperは、エンティティIDとKeeperの公開鍵、およびセッションを識別する「Relay State」を含むエンコードされたSAMLリクエストをIdPに送信します。
ユーザーは通常どおりIdPのログイン画面にサインインします。
IdPへのサインインに成功すると、ユーザーは事前に定義された「ACS URL」でKeeperにリダイレクトされます(これは、IdPの設定に応じて「Redirect」または「Post」を使用できます)。
IdPからKeeperへのSAMLメッセージには、ユーザーがIdPで正常に認証されたことを検証した署名付きアサーションが含まれています。 Keeperはこの署名付きアサーションを検証します。
SAML属性「First」、「Last」、「Email」は、IdPからKeeperに送信されます。
Keeper SSO Connect Cloudは、ユーザーをボルトにリダイレクトします。
ユーザーのデバイスを認識できない場合、Keeperはデバイスの検証を実行します(「Keeper プッシュ通知」または「管理者承認」を使用)。
デバイスの検証と鍵交換が成功すると、Keeperは暗号化されたデータキーをユーザーに送信します。
ユーザーは、自分のデバイスの秘密鍵を使用して、デバイスでデータキーを復号化します。
ユーザーはこのデータキーを使用してボルトを復号化します。
2) SPが起点となるログイン(メールを使用)
Keeperのボルトログイン画面から、ユーザーは自分のメールアドレスを入力します。
ユーザーが認証済みのデバイスを使用している場合は、メールが検索されて、SAMLログインURLに変換されます。
デバイスが認識されていない場合、Keeperはドメイン部(@company.com)をチェックして、Keeper SSO Cloudインスタンスに設定されたSAMLログインURLを取得します(https://keepersecurity.com/api/rest/sso/saml/login/12345678など)。
ユーザーはこのKeeperログインURLにリダイレクトされます。
後は、前述のSPが起点となるログインと同じ手順に従います。
3) IdPが起点となるログイン
ユーザーは、IDプロバイダのウェブサイト(https://customer.okta.comなど)にログインします。
ユーザーは、IDプロバイダのポータルでKeeperアイコンをクリックします。
ユーザーは事前に定義された「ACS URL」でKeeperにリダイレクトされます(これは、IdPの設定に応じて「Redirect」または「Post」を使用できます)。
IdPからKeeperへのSAMLメッセージには、ユーザーがIdPで正常に認証されたことを検証した署名付きアサーションが含まれています。 Keeperは、IdPの公開鍵で署名付きアサーションを検証し、アサーションが改ざんされていないことを確認します。 Keeperは、メッセージがKeeperの公開鍵で署名されていることも検証します。
SAML属性「First」、「Last」、「Email」は、IdPからKeeperに送信されます。
Keeper SSO Connect Cloudは、ユーザーをボルトにリダイレクトします。
ユーザーのデバイスを認識できない場合、Keeperはデバイスの検証を実行します(Keeperプッシュ通知または管理者承認を使用)。
デバイスの検証と鍵交換が成功すると、Keeperは暗号化されたデータキーをユーザーに送信します。
ユーザーは、自分のデバイスの秘密鍵を使用して、デバイスでデータキーを復号化します。
ユーザーはこのデータキーを使用してボルトを復号化します。
Keeper暗号化モデルの詳細は、以下のリンクをご参照ください。 https://docs.keeper.io/enterprise-guide/keeper-encryption-model
質問:管理者がKeeper Webコンソールを使用して新しいユーザーデバイスを承認する場合、ユーザーの暗号化されたデータキーはどのような方法で新しいデバイスに転送されますか。 各デバイスは、一意の楕円曲線(EC)公開鍵と秘密鍵のペアをデバイス内で生成します。公開鍵はサーバーに保管されています。 ユーザーがデバイス承認を要求すると、新しいデバイスの公開鍵がサーバーに送信されます。「デバイス承認」権限を持つ管理者は、デバイスの承認処理中にユーザーのデータキーを復号化できます。管理者がデバイスを審査して承認すると、ユーザーのデータキー(DK)は新しいデバイスの(EC)公開鍵で再度暗号化され、暗号化されたデータキーはそのユーザーのデバイスに関連付けられたサーバーに保管され、新しいデバイスにも送信されます。新しいデバイスは、デバイスの(EC)秘密鍵でデータキーを復号化します。
質問:データキーを復号化するのは、新しいデバイスの秘密鍵で暗号化するためですか。 管理者は、承認を実行する際に、メモリ内のデータキーを復号化し、管理コンソール内で新しいデバイスの公開鍵を使用して再度暗号化します。ユーザーがSSOにサインインすると、サーバーは認証を検証して、暗号化されたデータキーを新しいデバイスに送信します。すると、新しいデバイスは、デバイス内のEC秘密鍵でデータキーを復号化します。ユーザーがログインしてIDPの認証を受けるたびに、暗号鍵がデバイスに送信され、メモリ内で復号された後、記録鍵、フォルダ鍵などの暗号化/復号化に使用されます。
質問:データキーは、復号化された状態でどこに保管されていますか。 データキーは、復号化された状態で保管されることはありません。データキーは、デバイスの公開鍵で暗号化されてクラウドに保管されています。つまり、ユーザーが10台のデバイスを保有している場合、各デバイスの公開鍵で暗号化された10個のデータキーを保管しているということです。データキーの再暗号化は、ゼロ知識を維持するために、ユーザーまたは管理者によって必ずデバイス内で行われます。
質問:Automatorが新しいユーザーデバイスを承認する場合、同じ質問になりますが、ユーザーのデータキーの暗号化処理はどこで行われているのですか。 Automatorが実行する処理はまったく同じです。リクエスト時にユーザーのデータキーを復号化し、認証を検証して、新しいデバイスのEC公開鍵でデータキーを再度暗号化した後、暗号化されたデータキーをユーザーのデバイスに転送します。
質問:ユーザーがデータをボルトに暗号化しているにもかかわらず、ユーザーのデータキーの共有を実行できるデバイスがない場合はどうなりますか。 Automatorと管理者は、ユーザーがすべてのデバイスを紛失した場合でも、常にデバイス承認を実行できます。
質問:新しいデバイスを追加するには、新しいユーザーデバイスと古いユーザーデバイスの両方がオンラインである必要がありますか。 いいえ、承認は非同期で実行できます。
質問:データキーがデバイス上でしか復号化されないのであれば、データキーを新しいデバイスの公開鍵で暗号化するには、古いデバイスがオンラインでなければならないように思われます。 承認プロセス全体は、リアルタイムで実行することも段階を分けて実行することもできます。アプリは、ログイン時にユーザーに承認を求め、データキーを新しい公開鍵で暗号化して、サーバーに送信します。その過程を以下のビデオでご紹介します。
IdP設定用のKeeperパスワードマネージャのグラフィックアセット
このページでは、必要に応じてIDプロバイダで使用できるKeeperのアイコンとロゴのグラフィックアセットをご用意しました。
Zipファイル (様々なサイズのアイコンとロゴ)
512 x 512 PNG正方形アイコン
https://keeper-email-images.s3.amazonaws.com/common/512x512_icon.png
256 x 256 PNG正方形アイコン
https://keeper-email-images.s3.amazonaws.com/common/256x256_icon.png
128 x 128 PNG正方形アイコン
https://keeper-email-images.s3.amazonaws.com/common/128x128_icon.png
Keeperロゴ-JPG白背景
https://keeper-email-images.s3.amazonaws.com/common/keeper-no-tag.jpg
Keeperロゴ-PNG透明背景
https://keeper-email-images.s3.amazonaws.com/common/keeper-no-tag.png
Keeperロゴ-JPG黒地に白
https://keeper-email-images.s3.amazonaws.com/common/keeper-header-logo-short.jpg
Keeper SSO On-PremからCloud SSOに移行する方法
以下の手順をご参照ください。
単一Automatorインスタンスに複数のテナントをセットアップ定
Keeper Automatorではマルチテナントがサポートされていますので、一度のデプロイで複数のKeeper Enterprise環境を自動化できます。
MSP環境では、単一のKeeper Automatorインスタンスを使用して複数の企業に対応できます。
Enterpriseユーザーの場合、単一のインスタンスで様々なIDプロバイダの承認を処理できます。
サーバーが実行中となると、企業が異なっても複数のSSOノードに使用できます。
単一のAutomatorインスタンスを発動して複数の企業を管理する手順は以下のとおりです。
(1) MSP管理者としてCommanderにログインします
(2) コンテキストを管理対象企業に切り替えます
設定したい企業を見つけてIDを選択し、以下のように入力します。
(3) Automatorインスタンスを作成します
以下のように、editの手順では共通のAutomator URLを使用します。
(4) MSPに戻ります
MSP管理者コンテキストに戻ります
管理対象の企業ごとに、上記の4つの手順を繰り返します。
同じ企業テナントの複数のノードで、単一のAutomatorインスタンスを有効化する手順は以下のとおりです。
(1) 管理者としてCommanderにログインします
(2) Automatorインスタンスを作成します
以下のように、各ノードでeditには同じURLを使用します。
同一のURLエンドポイントを持つ別のインスタンスを設定します。
新たに作成したインスタンスは、名前とIDが異なり、割り当てられたノードも異なりますが、同じURLを使用します。
各ノードで手順(2)を繰り返し、同じAutomatorインスタンスに複数のテナントをセットアップします。
Keeper SSO Connect CloudをBeyond Identityと連携させて、Keeperにパスワードなしでログイン
Keeper管理者としてKeeper管理コンソールへログインします。
注: パスワードレス連携は、管理コンソールで特定のノード(組織部門など)にのみ適用できます。
[管理者]タブをクリックし、[ノードを追加]をクリックします。
ノードに名前を付け、[ノードを追加]をクリックします。
[プロビジョニング]タブで[メソッドを追加]をクリックします。
[SSO Connect® Cloud を使用したシングルサインオン]を選択して、[次へ]をクリックします。
[環境設定名]と[法人ドメイン]を入力して、[保存]をクリックします。後で法人SSOログインに使用するので、法人ドメインをメモしておきます。
Cloud SSO Connectを使用したSAML 2.0プロビジョニングメソッドが新規作成されて表示されます。メニューから[表示]を選択します。
これらは、後ほどBeyond Identity側の設定に使用します。
法人ID、ACSエンドポイント、シングルログアウトサービスエンドポイントをメモしておきます。
[SP 認証エクスポート]をクリックします。
Beyond Identityの管理コンソールで、左側のナビゲーションから[Integrations] (連携) を選択します。
SAMLタブをクリックします。
[Add SAML Connection] (SAML接続を追加)をクリックします。
[Edit SAML Connection] (SAML接続を編集) ダイアログで、以下の表を参考にして入力します。
[Attribute Statements] (属性ステートメント) セクションで、以下の2つの属性を追加します。
[Save Changes] (変更を保存) をクリックします。
[Download Metadata] (メタデータをダウンロード) アイコン</>
をクリックして、Keeper管理コンソールで使用するXMLメタデータをダウンロードします。
Keeper管理コンソールに戻ります。
Beyond Identityのプロビジョニングメソッドで[編集]をクリックして設定を表示します。
任意でジャストインタイムプロビジョニングを有効にし、ユーザーがサインアップ時に法人ドメイン名を入力して、ノードにアカウントを作成できるようにします。
[SAML メタデータ]にBeyond Identityの管理コンソールからダウンロードしたmetadata.xmlファイルをアップロードします。
法人ドメインまたはメールアドレスを使用してログインします。
Keeperボルトに移動します
メールアドレスを入力して、[次へ]をクリックします。
Keeperボルトにログインします。
Beyond Identity Authenticatorがインストールされたデスクトップで法人ドメインを使用してログイン
Keeperボルトに移動します
[法人SSOログイン]のドロップダウンをクリックし、[法人ドメイン]を選択します。
本ページのKeeper側設定部分で指定した法人ドメイン名を入力して、[接続]をクリックします。
Keeperボルトにログインします。
iOSまたはAndroid用のBeyond Identityをインストールし、法人ドメインを使用してログイン
Keeperボルトに移動します
[法人 SSO ログインを使用]ドロップダウンをタップします
本ページのKeeper側設定部分で指定した法人ドメイン名を入力して、[接続]をタップします
Beyond Identityアプリからのプッシュ通知を承諾します。
Keeperボルトにログインします。
iOSまたはAndroid用のBeyond Identityをインストールし、メールアドレスを使用してログイン
Keeperアプリを開きます
メールアドレスを入力して、[次へ]をクリックします。
Beyond Identityアプリからのプッシュ通知を承諾します。
Keeperボルトにログインします。
最初にの手順を完了してください。
(米国/グローバル) (EUでホストされているお客様) (AUでホストされているお客様) (GovCloudのお客様)
ご利用のデバイス用のをダウンロードします。
Beyond Identityの管理コンソール () にログインします。
Beyond Identityの登録および使用に関する手順は、をご参照ください。
Beyond Identityのフィールド | 使用する値 |
---|
Name | Name Format | Value |
---|
SSO Connect Cloudを使用してユーザーをプロビジョニングする方法については、をご覧ください。
Name | SAML接続の表示名 |
SP Single Sign On URL | Keeper管理コンソールのACSエンドポイント値 |
SP Audience URI | Keeper管理コンソールの法人ID |
Name ID format | emailAddress |
Subject User Attribute |
Request Binding | http post |
Authentication Context Class | X509 |
Signed Response | SIGNEDをオン |
X509 Signing Certificate | Keeper管理コンソールからエクスポートしたSP証明書 |
unspecified | {{Email}} |
First | unspecified | {{DisplayName}} |