# デバイス承認

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FWZLPY4hZFD53vTSpO14O%2FDevice%20Approvals.jpg?alt=media&#x26;token=be3cfd67-9aac-4276-ae26-5a4a80303024" alt=""><figcaption></figcaption></figure>

## 概要

デバイス承認はSSO Connect Cloudプラットフォームで必須となる要素です。 承認は、ユーザーまたは管理者が実行することも、Keeperオートメーターサービスを使用して自動的に実行することもできます。

KeeperクラウドSSOコネクトで認証するカスタマーの場合、デバイスの承認によりキー転送が実行され、ユーザーの暗号化されたデータキーがデバイスに届けられてから楕円曲線秘密キーを使用してローカルで復号化されます。

### 技術的詳細

KeeperクラウドSSOコネクトでは、どのSAML 2.0IDプロバイダを使用しても簡潔なログイン処理を維持しつつゼロ知識暗号化を実現できます。

過去に使用したことのないデバイスでログインしようとすると、楕円曲線暗号の秘密鍵と公開鍵のペアが新しいデバイスで生成されます。 IDプロバイダの認証に成功すると、ユーザーが新しいデバイスでボルトを復号化できるように鍵交換を実行する必要があります。これを「デバイス承認」と呼びます。

{% hint style="info" %}
ブラウザでゲストモード、プライベートモード、またはシークレットモードを使用すると、ブラウザを起動するたびに新しいデバイスとしてKeeperに識別されるため、デバイス承認が新たに必要になります。
{% endhint %}

ゼロ知識を維持し、Keeperのサーバーが暗号鍵に一切アクセスできないようにするために、ユーザーまたは指定された管理者が実行できるプッシュ通知による承認方式を開発しました。また、Keeperを使用するとデバイス承認と鍵交換を自動的に実行するサービスをホストできるため、ユーザーの操作は一切不要となります。

### 承認方式

デバイス承認方式には以下が含まれます。

* 既存のユーザーデバイスへ[Keeperプッシュ](https://docs.keeper.io/jp/sso-connect-cloud/device-approvals/push-approvals) (プッシュ通知)
* 管理コンソールからの[管理者承認](https://docs.keeper.io/jp/sso-connect-cloud/device-approvals/guan-li-zhe-cheng-ren)
* [Keeperオートメーターサービス](https://docs.keeper.io/jp/sso-connect-cloud/device-approvals/automator)を使用した自動承認 (推奨)
* [コマンダーCLI](https://docs.keeper.io/jp/sso-connect-cloud/device-approvals/commander-cli)を介した半自動の管理者承認