管理コンソールの設定
SSO統合のためのKeeper管理コンソールの設定
ノード構造
Keeper管理コンソールにアクセスし、Keeper管理者としてログインします。
米国データセンター https://keepersecurity.com/console
米国公共部門/ GovCloud https://govcloud.keepersecurity.us/console
EUデータセンター https://keepersecurity.eu/console AUデータセンター https://keepersecurity.com.au/console CAデータセンター https://keepersecurity.ca/console
日本データセンター https://keepersecurity.jp/console
SSO統合は、管理コンソール内のルートノード以外の特定のノード (組織単位など) に適用されます。SSOプロビジョニングはルートノードに追加できないため、SSO認証をサポートするには新しいノードを追加する必要があります。
左側のメニューから[管理者]タブをクリックします。 デフォルトでは、メニューの右側にノード構造が表示されます。
SSO用のノードを追加
ルートノード (組織名が表示されている最上位ノード) の3つの点をクリックし、[ノードを追加]ボタンを選択して、Keeper SSO ConnectによるIdPとの統合をホストするノードを新規作成します。 ノードは、ツリー構造内の任意の場所に配置できます。
複数のIdPを利用する組織は、それぞれを異なるノードに関連付けることができます。 たとえば、一部のユーザーはAzureで認証し、別のユーザーグループはOktaで認証する場合、IdPごとに異なるノードで有効化できます。 ユーザーを1つのIdPにのみ関連付けることもできます。
SSO接続を追加
ノードの[プロビジョニング]タブを選択します。
次に、[+ メソッドを追加]を選択して、新しい接続を作成します。
「法人ドメイン」と「新規ユーザープロビジョニング」の2つのパラメータを設定します。
企業ドメイン
すべてのSSO接続は、任意の法人ドメイン名を使用して一意に識別する必要があります。この名前は、ユーザーが覚えやすいもの (my_companyなど) にする必要があります。新しいデバイスに初めてログインする際に、モバイルデバイスやアプリ (iOS、Android、Mac、Windows) に名前を入力する必要がある場合があるためです。
ジャストインタイム (JIT) プロビジョニング
SSOで初めて認証に成功したときに、Keeper Businessアカウントにユーザーを動的にプロビジョニングできます (ジャストインタイムプロビジョニング)。ユーザーの使い勝手を最大限に向上させるために、このオプションを選択することをお勧めします。管理コンソールの[ユーザー]タブから手動でユーザーを招待したり、Keeper Bridgeを使用してユーザーを招待したりすることもできます。
企業ドメインと新規ユーザーのプロビジョニングを設定したら、[保存]を選択します。
これで、Keeper SSO Connectアプリケーションを設定できるようになりました。
ジャストインタイムSSOプロビジョニングではなく、Keeper Bridgeを使用してユーザーをプロビジョニングする予定の場合は、このオプションを無効のままにしてください。
アクセス制御
SSO ConnectでKeeperに対して認証を行うユーザーは、設定されたFQDNおよびポートを使用してSSO Connectインスタンスと通信できる必要があります。 以下のセキュリティ制御をお勧めします。
ロール強制設定のKeeperのIP許可リスト機能を利用して、ボルトへのアクセスを承認されたネットワークに制限します。[ロール] > ]強制ポリシー] > [IPのホワイトリスト化]で設定できます。
信頼できるネットワークに対する、ファイアウォールとアクセスのポリシーをSSO Connectインスタンスに適用します。
Last updated