Azure ADの設定
KeeperオンプレミスSSOコネクトをMicrosoft Azure ADと連携するように設定して、シームレスで安全なSAML 2.0認証を実現する方法。
Azureとの完全なクラウドベースの統合については、KeeperクラウドSSOコネクトをご参照ください
Azure
https://portal.azure.comでご利用のAzure管理者アカウントにアクセスして、Azure Active Directory > エンタープライズアプリケーション (Enterprise Applications) をクリックします。
SCIMプロビジョニング用にKeeperアプリケーションがすでに設定されている場合は、既存のアプリケーションは編集できますが、新しいアプリケーションは作成しないでください。
まだAzureでKeeperを設定していない場合は、 「新規アプリケーション (New Application)」 をクリックし、Keeperを検索して、「Keeperパスワードマネージャー&デジタルボルト (Keeper Password Manager & Digital Vault)」を選択します。 右側の「追加 (Add)」 をクリックしてアプリケーションを追加します。
アプリケーションを追加したら、「シングルサインオン (Single Sign On)」セクションをクリックし、「SAML」オプションを選択します。
基本的なSAML設定を編集
鉛筆アイコンをクリックして、 「基本的なSAML設定 (Basic SAML Configuration)」 を編集します。
Keeper SSOコネクトインストールのURLに該当する、識別子 (Identifier)、返信URL (Reply URL)、サインオンURL (Sign on URL) を入力します。 「パターン (Patterns)」のテキストは無視します。
設定例: 識別子 = https://xyz.domain.com:8443/sso-connect 返信URL = https://xyz.domain.com:8443/sso-connect/saml/sso サインオンURL = https://xyz.domain.com:8443/sso-connect/saml/login
(ドメインとポートは SSOコネクトの設定に合わせて置き換えてください)
設定を保存します。
ユーザー属性と要求を編集
ユーザー属性 (User Attributes) セクションで、ユーザーID、名、姓、メールに対する要求が自動的に作成されます。
「追加要求 (Additional Claims)」 セクションの4つの要求は不要なため、削除することをお勧めします。
ご利用の環境で、user.userprincipalname (UPN) がユーザーの実際のメールアドレスと同じでない場合は、メール (Email) 要求を編集して、メール属性の値である、user.mailに変更できます。
SAML署名証明書を編集SAML
SAML署名証明書 (SAML Signing Certificate) セクションで、編集 (Edit) をクリックします。
新規証明書を作成 (Create new certificate) を選択します。 有効期限を入力して保存します。
証明書を作成したら、新規証明書を有効化 (Make new certificate active) を選択します。
署名オプション「SAMLレスポンスとアサーションに署名する (Sign SAML response and assertion)」とSHA-256署名方式を選択します。
メタデータXMLを取得
Microsoft AzureとKeeper SSOコネクトの統合を完了するには、メタデータXMLファイルを取得して、このファイルをKeeper SSOコネクト画面にインポートする必要があります。 フェデレーションメタデータXML (Federation Metadata XML) のリンクを選択します。
これにより、Keeper Password Manager & Digital Vault.xmlファイルがコンピュータにダウンロードされます。このファイルは、次の手順のために、Keeper SSOコネクトを実行しているサーバーに転送する必要があります。
Azureメタデータをインポート
前の手順で保存したファイルを、SAMLメタデータ (SAML Metadata) セクションにドラッグアンドドロップして、Keeper SSOコネクトの設定画面にインポートします。
IDプロバイダタイプにAzureを選択することを忘れないでください。
ユーザープロビジョニング
Keeperパスワードマネージャに特定のユーザーまたはグループのみを割り当てる場合は、以下の設定を変更する必要があります。Azureコンソールで、Azure Active Directory > エンタープライズアプリケーション (Enterprise Applications) > Keeperパスワードマネージャー&デジタルボルト (Keeper Password Manager & Digital Vault) に移動し、プロパティ (Properties) を選択します。
ユーザーの割り当てが必要ですか (User assignment required) をはい (Yes) に変更して保存します。これにより、アプリケーションに割り当てられたユーザーとグループのみが使用できるようになります。
ユーザーおよびグループ (Users and groups) セクションで、Keeperアプリケーションにプロビジョニングするユーザーやグループを選択します。
これでKeeper SSOコネクトの設定は完了です。
Last updated