AWS SSOの設定

KeeperオンプレミスSSOコネクトをAmazon AWS SSOと連携するように設定して、シームレスで安全なSAML 2.0認証を実現する方法。

AWSとの完全なクラウドベースの統合については、KeeperクラウドSSOコネクトをご参照ください

AWS SSO

AWSにログインし、AWSシングルサインオン (AWS Single Sign-On) を選択します。

SSOダッシュボードで、クラウドアプリケーションへのSSOアクセスを設定する (Configure SSO access to your cloud applications) を選択します。

アプリケーション (Applications) メニューで、新しいアプリケーションを追加 (Add a new application) を選択します。

次に、Keeper Securityを選択し、追加 (Add) を選択します。

Keeperは、AWSとアプリケーションコネクタを共同開発しています。

アプリケーションの詳細セクションで表示名と説明 (任意) を入力します。

AWS SSOメタデータセクションで、ダウンロード (Download) ボタンを選択して、AWS SSO SAMLメタデータファイルをエクスポートします。このファイルは、設定画面のSSOコネクトIdPメタデータ (SSO Connect IdP Metadata) セクションでインポートします。

このファイルをKeeper SSOコネクトサーバーにコピーし、ファイルを以下の設定 (Configuration) 画面にドラッグアンドドロップして、Keeper SSOコネクトインターフェースにアップロードします。 保存 (Save) を選択します。

Keeper SSOコネクトサーバーに関する残りの手順は、Keeper sso_connect.xmlメタデータファイルをダウンロードして、AWSアプリケーションにアップロードすることです。 Keeper SSOコネクトでメタデータをエクスポート (Export Metadata) を選択します。

sso_connect.xmlファイルをアプリケーション設定画面のアプリケーションメタデータセクションにインポートします。

変更を保存すると、Keeperパスワードマネージャの設定が保存されました (Configuration for Keeper Password Manager has been saved) という成功メッセージが表示されます。

Keeper SSL証明書は、2048Kを超えることはできません。超えると、以下のエラーが表示されます。

  • より小さいSSL証明書を生成するか、メタデータファイルを再エクスポートしてインポートするか、またはAWS SSOアプリケーションの設定でACS URLとAudience URLを手動で設定してください。

次に、AWS SSOにマッピングするKeeperアプリケーションの属性が正しいことを確認します (これらはデフォルトで設定されているはずです)。属性マッピング (Attribute mappings) タブを選択します。 AWSの文字列値を${user:subject}に、形式を空白または未指定にします。 Keeper属性を以下のように設定します。

Keeper属性
AWS SSO文字列値
形式

メール (Email)

${user:email}

未指定 (unspecified)

名 (First)

${user:givenName}

未指定 (unspecified)

姓 (Last)

${user:familyName}

未指定 (unspecified)

AWSのメールがAD UPNにマッピングされている場合 (ユーザーの実際のメールアドレスではない可能性があります)、ユーザーのADプロファイルに関連付けられているメールアドレスに再マッピングできます。

この変更を行うには、AWS SSOページの接続されたディレクトリ (Connected Directory) に移動します。

属性マッピングを編集 (Edit attribute mappings) ボタンを選択します。

AWS SSOのメール (email) 属性を${dir:windowsUpn}から${dir:email}に変更します。

割り当てられたユーザー (Assigned users) タブを選択してから、ユーザーを割り当て (Assign users) ボタンをクリックして、アプリケーションを割り当てるユーザーまたはグループを選択します。

ユーザーを割り当て (Assign Users) ウィンドウで、以下の操作を行います。

  • グループまたはユーザーを選択

  • グループまたはユーザーの名前を入力

  • 接続されたディレクトリを検索 (Search connected directory) を選択して、検索を開始します。

ディレクトリ検索の結果は、検索ウィンドウの下に表示されます。

アプリケーションにアクセスする必要のあるユーザー/グループを選択し、ユーザーを割り当て (Assign users) ボタンを選択します。

Keeper SSOコネクトは、SAMLレスポンスが署名されていることを想定しています。 IDプロバイダがSAMLレスポンスに署名するように設定されていることをご確認ください。

これでKeeper SSOコネクトの設定は完了です。

Last updated