ノード構造

Keeper管理コンソールにアクセスし、Keeper管理者としてログインします。

米国データセンター https://keepersecurity.com/console

米国公共部門/ GovCloud https://govcloud.keepersecurity.us/console

EUデータセンター https://keepersecurity.eu/console AUデータセンター https://keepersecurity.com.au/console CAデータセンター https://keepersecurity.ca/console

日本データセンター https://keepersecurity.jp/console

SSO統合は、管理コンソール内のルートノード以外の特定のノード (組織単位など) に適用されます。SSOプロビジョニングはルートノードに追加できないため、SSO認証をサポートするには新しいノードを追加する必要があります。

左側のメニューから[管理者]タブをクリックします。 デフォルトでは、メニューの右側にノード構造が表示されます。

SSO用のノードを追加

ルートノード (組織名が表示されている最上位ノード) の3つの点をクリックし、[ノードを追加]ボタンを選択して、Keeper SSO ConnectによるIdPとの統合をホストするノードを新規作成します。 ノードは、ツリー構造内の任意の場所に配置できます。

複数のIdPを利用する組織は、それぞれを異なるノードに関連付けることができます。 たとえば、一部のユーザーはAzureで認証し、別のユーザーグループはOktaで認証する場合、IdPごとに異なるノードで有効化できます。 ユーザーを1つのIdPにのみ関連付けることもできます。

SSO接続を追加

ノードの[プロビジョニング]タブを選択します。

次に、[+ メソッドを追加]を選択して、新しい接続を作成します。

「法人ドメイン」と「新規ユーザープロビジョニング」の2つのパラメータを設定します。

企業ドメイン

すべてのSSO接続は、任意の法人ドメイン名を使用して一意に識別する必要があります。この名前は、ユーザーが覚えやすいもの (my_companyなど) にする必要があります。新しいデバイスに初めてログインする際に、モバイルデバイスやアプリ (iOS、Android、Mac、Windows) に名前を入力する必要がある場合があるためです。

ジャストインタイム (JIT) プロビジョニング

SSOで初めて認証に成功したときに、Keeper Businessアカウントにユーザーを動的にプロビジョニングできます (ジャストインタイムプロビジョニング)。ユーザーの使い勝手を最大限に向上させるために、このオプションを選択することをお勧めします。管理コンソールの[ユーザー]タブから手動でユーザーを招待したり、Keeper Bridgeを使用してユーザーを招待したりすることもできます。

企業ドメインと新規ユーザーのプロビジョニングを設定したら、[保存]を選択します。

これで、Keeper SSO Connectアプリケーションを設定できるようになりました。

アクセス制御

SSO ConnectでKeeperに対して認証を行うユーザーは、設定されたFQDNおよびポートを使用してSSO Connectインスタンスと通信できる必要があります。 以下のセキュリティ制御をお勧めします。

• ロール強制設定のKeeperのIP許可リスト機能を利用して、ボルトへのアクセスを承認されたネットワークに制限します。[ロール] > ]強制ポリシー] > [IPのホワイトリスト化]で設定できます。

• 信頼できるネットワークに対する、ファイアウォールとアクセスのポリシーをSSO Connectインスタンスに適用します。