Azure ADの設定

KeeperオンプレミスSSOコネクトをMicrosoft Azure ADと連携するように設定して、シームレスで安全なSAML 2.0認証を実現する方法。

Azureとの完全なクラウドベースの統合については、KeeperクラウドSSOコネクトをご参照ください

Azure

https://portal.azure.comでご利用のAzure管理者アカウントにアクセスして、Azure Active Directory > エンタープライズアプリケーション (Enterprise Applications) をクリックします。

SCIMプロビジョニング用にKeeperアプリケーションがすでに設定されている場合は、既存のアプリケーションは編集できますが、新しいアプリケーションは作成しないでください。

まだAzureでKeeperを設定していない場合は、 「新規アプリケーション (New Application)」 をクリックし、Keeperを検索して、「Keeperパスワードマネージャー&デジタルボルト (Keeper Password Manager & Digital Vault)」を選択します。 右側の「追加 (Add)」 をクリックしてアプリケーションを追加します。

アプリケーションを追加したら、「シングルサインオン (Single Sign On)」セクションをクリックし、「SAML」オプションを選択します。

シングルサインオンの設定

基本的なSAML設定を編集

鉛筆アイコンをクリックして、 「基本的なSAML設定 (Basic SAML Configuration)」 を編集します。

基本的なSAML設定を編集

Keeper SSOコネクトインストールのURLに該当する、識別子 (Identifier)返信URL (Reply URL)サインオンURL (Sign on URL) を入力します。 「パターン (Patterns)」のテキストは無視します。

SAML設定URL

設定例: 識別子 = https://xyz.domain.com:8443/sso-connect 返信URL = https://xyz.domain.com:8443/sso-connect/saml/sso サインオンURL = https://xyz.domain.com:8443/sso-connect/saml/login

(ドメインとポートは SSOコネクトの設定に合わせて置き換えてください)

設定を保存します。

ユーザー属性と要求を編集

ユーザー属性と要求

ユーザー属性 (User Attributes) セクションで、ユーザーID、名、姓、メールに対する要求が自動的に作成されます。

「追加要求 (Additional Claims)」 セクションの4つの要求は不要なため、削除することをお勧めします。

追加要求を削除

ご利用の環境で、user.userprincipalname (UPN) がユーザーの実際のメールアドレスと同じでない場合は、メール (Email) 要求を編集して、メール属性の値である、user.mailに変更できます。

SAML署名証明書を編集SAML

SAML署名証明書 (SAML Signing Certificate) セクションで、編集 (Edit) をクリックします。

新規証明書を作成 (Create new certificate) を選択します。 有効期限を入力して保存します。

SAML署名証明書を新規作成

証明書を作成したら、新規証明書を有効化 (Make new certificate active) を選択します。

証明書を有効化 (Make Certificate Active)

署名オプション「SAMLレスポンスとアサーションに署名する (Sign SAML response and assertion)」とSHA-256署名方式を選択します。

署名オプションを設定

メタデータXMLを取得

Microsoft AzureとKeeper SSOコネクトの統合を完了するには、メタデータXMLファイルを取得して、このファイルをKeeper SSOコネクト画面にインポートする必要があります。 フェデレーションメタデータXML (Federation Metadata XML) のリンクを選択します。

メタデータXMLをダウンロード

これにより、Keeper Password Manager & Digital Vault.xmlファイルがコンピュータにダウンロードされます。このファイルは、次の手順のために、Keeper SSOコネクトを実行しているサーバーに転送する必要があります。

Azureメタデータをインポート

前の手順で保存したファイルを、SAMLメタデータ (SAML Metadata) セクションにドラッグアンドドロップして、Keeper SSOコネクトの設定画面にインポートします。

SSOコネクトにXMLメタデータをインポート

IDプロバイダタイプにAzureを選択することを忘れないでください。

ユーザープロビジョニング

Keeperパスワードマネージャに特定のユーザーまたはグループのみを割り当てる場合は、以下の設定を変更する必要があります。Azureコンソールで、Azure Active Directory > エンタープライズアプリケーション (Enterprise Applications) > Keeperパスワードマネージャー&デジタルボルト (Keeper Password Manager & Digital Vault) に移動し、プロパティ (Properties) を選択します。

プロパティ

ユーザーの割り当てが必要ですか (User assignment required) をはい (Yes) に変更して保存します。これにより、アプリケーションに割り当てられたユーザーとグループのみが使用できるようになります。

ユーザー割り当ての設定

ユーザーおよびグループ (Users and groups) セクションで、Keeperアプリケーションにプロビジョニングするユーザーやグループを選択します。

ユーザーおよびグループの割り当て

これでKeeper SSOコネクトの設定は完了です。

Last updated