その他のSAML 2.0プロバイダ

Keeper SSO Connect CloudをSSO IDプロバイダと連携させて、スムーズで安全なSAML 2.0認証を実現

最初に管理コンソールの設定の手順を完了してください。

Keeperは、すべてのSAML 2.0 SSO IDプロバイダ(IdP)と互換性があります。ご利用のIDプロバイダがリストにない場合は、このガイドの手順に従って設定を完了してください。この設定において、Keeperはサービスプロバイダ(SP)です。

手順1: IDプロバイダを設定

Keeper SSO Connect Cloudについて、以下のような情報をIDプロバイダのアプリケーションに提供する必要があります。

  • エンティティID

  • IdPが起点となるログインエンドポイント

  • ACS(Assertion Consumer Service)エンドポイント

  • シングルログアウト(SLO)サービスエンドポイント

  • SPメタデータファイルまたはKeeper SP証明書ファイル

この情報を取得するには、Keeper管理コンソール内でSSO Connect Cloudプロビジョニングメソッドを見つけて、**表示(View)**を選択します。 そこから、Keeperメタデータファイル、サービスプロバイダ(SP)証明書ファイル、およびダイレクトURLと設定情報をダウンロードできます(IDプロバイダアプリケーションがメタデータファイルのアップロードをサポートしていない場合)。

サービスプロバイダのメタデータをアップロードする方法、または必要なSAMLレスポンス設定フィールドに手動で入力する方法については、IDプロバイダのアプリケーション設定ガイドをご参照ください。

手順2: IdPメタデータを取得

IdPメタデータをKeeperにインポートするには、正しく書式設定されたメタデータファイルが必要です。 ご利用のSSO IDプロバイダのアプリケーションがメタデータファイルをエクスポートできる場合、これがKeeper SSO Connect Cloudプロビジョニングメソッドにメタデータをインポートするための最も便利でお勧めの方法でしょう。

ご利用のIDプロバイダからメタデータファイルをエクスポート/ダウンロードできない場合は、正しく書式設定されたメタデータファイルを作成してください。 手順については、SSOアプリケーションの設定ガイドをご参照ください。

Keeper SSO Connect Cloudに対応したIDプロバイダのシンプルなmetadata.xmlファイルの書式のサンプル/テンプレートを以下に示します。 このサンプル/テンプレートを使用して作成を開始する場合は、お好みの.xmlや.txt用のエディターで、ご利用のIdPの情報に従って、その他のフィールドをコピー、貼り付け、修正、追加してください。

この例に含まれているフィールドは、SSOアプリケーションをKeeperに接続するために最低限必要なものなので、どのフィールドも削除「しない」でください。

<?xml version="1.0" encoding="UTF-8"?>
<md:EntityDescriptor entityID="MySSOApp" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata">
    <md:IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" WantAuthnRequestsSigned="true">
        <md:KeyDescriptor use="signing">
            <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <ds:X509Data>
                    <ds:X509Certificate>MIIDpDCCAoygAwIBAgIGAW2r5jDoMA0GCSqGSIb3DQEBCwUAMIGSMQswCQYDVQQGEwJVUzETMBEG
                        A1UECAwKQ2FsaWZvcm5pYTEWMBQGA1UEBwwNU2FuIEZyYW5jaXNjbzENMAsGA1UECgwET2t0YTEU
                        MBIGA1UECwwLU1NPUHJvdmlkZXIxEzARBgNVBAMMCmRldi0zODk2MDgxHDAaBgkqhkiG9w0BCQEW
                        DWluZm9Ab2t0YS5jb20wHhcNMTkxMDA4MTUwMzEyWhcNMjkxMDA4MTUwNDEyWjCBkjELMAkGA1UE
                        BhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExFjAUBgNVBAcMDVNhbiqGcmFuY2lzY28xDTALBgNV
                        BAoMBE9rdGExFDASBgNVBAsMC1NTT1Byb3ZpZGVyMRMwEQYDVQQDDApkZXYtMzg5NjA4MRwwGgYJ
                        KoZIhvcNAQkBFg1pbmZvQG9rdGEuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA
                        hr4wSYmTB2MNFuXmbJkUy4wH3vs8b8MyDwPF0vCcjGLl57etUBA16oNnDUyHpsY+qrS7ekI5aVtv
                        a9BbUTeGv/G+AHyDdg2kNjZ8ThDjVQcqnJ/aQAI+TB1t8bTMfROj7sEbLRM6SRsB0XkV72Ijp3/s
                        laMDlY1TIruOK7+kHz3Zs+luIlbxYHcwooLrM8abN+utEYSY5fz/CXIVqYKAb5ZK9TuDWie8YNnt
                        7SxjDSL9/CPcj+5/kNWSeG7is8sxiJjXiU+vWhVdBhzkWo83M9n1/NRNTEeuMIAjuSHi5hsKag5t
                        TswbBrjIqV6H3eT0Sgtfi5qtP6zpMI6rxWna0QIDAQABMA0GCSqGSIb3DQEBCwUAA4IBAQBr4tMc
                        hJIFN2wn21oTiGiJfaxaSZq1/KLu2j4Utla9zLwXK5SR4049LMKOv9vibEtSo3dAZFAgd2+UgD3L
                        C4+oud/ljpsM66ZQtILUlKWmRJSTJ7lN61Fjghu9Hp+atVofhcGwQ/Tbr//rWkC35V3aoQRS6ed/
                        QKmy5Dnx8lc++cL+goLjFVr85PbDEt5bznfhnIqgoPpdGO1gpABs4p9PXgCHhvkZSJWo5LobYGMV
                        TMJ6/sHPkjZ+T4ex0njzwqqZphiD9jlVcMR39HPGZF+Y4TMbH1wsTxkAKOAvXt/Kp77jdj+slgGF
                        gRfaY7OsPTLYCyZpEOoVtAyd5i6x4z0c</ds:X509Certificate>
		             </ds:X509Data>
            </ds:KeyInfo>
	      </md:KeyDescriptor>
	      <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
        <md:SingleSignOnService Location="https://sso.mycompany.com/saml2/keepersecurity"
	            Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>
        <md:SingleSignOnService Location="https://sso.mycompany.com/saml2/keepersecurity"
	            Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>
    </md:IDPSSODescriptor>
</md:EntityDescriptor>
名前説明

EntityDescriptor

これはエンティティIDで、**発行者(Issuer)**と表記される場合もあり、IdPアプリケーションに固有の名前です。

X509Certificate

これはX509証明書で、IDプロバイダから送信されたSAMLレスポンスの署名を検証するためにKeeperが使用します。

NameIDFormat

Keeperにログインするときに使用する名前識別子の形式を定義します。 Keeperは以下の種類の識別子をサポートしています。

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

または

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

SingleSignOnService "POST"

これは、Keeper からのリクエストに対するレスポンスとして使用されるIDプロバイダの「POST」バインディングです。

SingleSignOnService "Redirect"

これは、Keeper からのリクエストに対するレスポンスとして使用されるIDプロバイダの「Redirect」バインディングです。

手順3: ユーザー属性をマッピング

Keeperでは、認証中に送信される特定のユーザー属性をマッピングする必要があります。 Keeper SSO Connect Cloudのデフォルトのユーザー属性は、以下の表に示したEmailFirstLastです。 IDプロバイダのユーザー属性がKeeperの属性と一致するようにしてください。 手順については、ご利用のIDプロバイダの設定ガイドをご参照ください。

IdPのユーザー属性Keeperのユーザー属性

<Email Address>

Email

<First Name>

First

<Last Name>

Last

手順4: IdPメタデータをKeeperにアップロード

IDプロバイダのメタデータファイルの作成、またはIDプロバイダのメタデータファイルのダウンロードが完了したら、Keeper管理コンソールに戻り、SSO Connect Cloudプロビジョニングメソッドを見つけて、**編集(Edit)**を選択します。

**IDプロバイダ(Identity Provider)セクションまで下にスクロールし、IDPタイプ(IDP Type)を汎用(GENERIC)**に設定して、**ファイルを参照(Browse Files)**を選択し、作成したメタデータファイルを選択します。

引き続き、Keeper管理コンソール内のSSO Connect Cloudプロビジョニングメソッドで、編集(Edit)ビューを終了して、**表示(View)**を選択します。 IDプロバイダ(Identity Provider)セクション内のエンティティID(Entity ID)、シングルサインオンサービス(Single Sign On Service)、**シングルログアウトサービスエンドポイント(Single Logout Service Endpoint)**のメタデータ値が入力されたことを確認できます。

グラフィックアセット

IDプロバイダがアプリケーションのアイコンやロゴファイルを必要とする場合は、グラフィックアセットページをご参照ください。

成功です。 これでKeeper Security SSO Cloudの設定が完了しました。 これで、SSOを使用してKeeperへのログインを試すことができます。

アプリケーションが機能していない場合は、IDプロバイダのアプリケーション設定を見直し、メタデータファイルとユーザー属性にエラーがないか確認してください。

確認が済んだら、手順4を繰り返します。

サポートが必要な場合は、enterprise.support@keepersecurity.comまでメールでご相談ください。

既存のユーザー/初期管理者をSSO認証に移動

ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。

管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。

ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます

前へCloudGate UNO次へパスワードレスプロバイダ

最終更新