インストール - Windows
Windowsサーバー環境でのKeeper SSO Connectのインストールと設定
Javaランタイムのインストール-必須
システム要件ページに記載されているとおり、互換性のあるバージョンのJavaランタイムをインストールしてください。
以下にリンクされたOpenJDK 11.0.12バージョンをインストールすることをお勧めします。
Java openJDKのインストールが完了したら、Windowsを再起動する「必要」があります。
再起動後、Javaインストールのバージョンをご確認ください。
管理者コマンドプロンプトを開きます。 2. java-versionと入力します。 3. インストールしたJavaバージョンがあることを確認します。
注意:異なるバージョンのJavaがインストールされている場合は、OpenJDK 11.0またはOracle Java SE 11.0をインストールする前に、すべてのJavaバージョンを完全にアンインストールすることをお勧めします。
Javaに関する問題がある場合
コマンドラインでJavaが認識されない場合は、以下の手順に従ってください。
Advanced system settings (システムの詳細設定) を開きます。
Environment Variables (環境変数) をクリックします。System variables (システム変数) セクションで、
PATH
環境変数を見つけて選択します。[Edit] (編集) をクリックします。PATH
環境変数が存在しない場合は、[New] (新規) をクリックします。Edit System Variable (システム変数を編集) (またはNew System Variable (新規システム変数)) ウィンドウで、
PATH
環境変数の値を指定します。[OK]をクリックします。[OK]をクリックして、残りのウィンドウをすべて閉じます。
SSL証明書
Keeper SSO Connectには、パブリック認証局が署名した有効な署名付きSSL証明書が必要です。自己署名証明書はテストではうまくいく場合もありますが、大半のクライアントアプリケーションは接続に失敗します。
ウェブホスティング会社からSSL証明書を取得するか、またはZeroSSLなどで提供されている無料オプションをご利用ください。また、OpenSSLを使用して手順をより細かく制御することもできます。
OpenSSL 3.0で生成された証明書とJava 11で生成された証明書には互換性に関する既知の問題があります。 そのため、OpenSSLを使用したい場合は、最新の1.1.1(2022年11月時点で1.1.1s)をご使用ください。
Windows用OpenSSL - https://slproweb.com/products/Win32OpenSSL.html
直接ダウンロードリンク - https://slproweb.com/download/Win32OpenSSL-1_1_1s.exe
SSO Connectをダウンロード
ダウンロードリンクを表示するには、SSOノードでプロビジョニング中にKeeper管理コンソールで、メソッド「SSO Connect On-Prem」を追加します。
プロビジョニングを追加すると、Keeper SSO Connectをダウンロードするボタンが表示されます。
ダウンロードしたファイルをSSO Connectサーバーにコピーします。
メタデータファイルとSSL証明書をダウンロード
SSO Connectをインストールするには、エンドポイントで使用するSSL証明書ファイルを作成する必要があります。 SSL証明書を生成して、SSL証明書ファイル(.pfx
、.p12
、.jks
)とIDPのSAML XMLメタデータファイルをサーバーにダウンロードします。
インストール - Windows
Keeper SSO Connectインストーラーファイルを解凍します。
管理者としてKeeperSSOConnectを実行します。
新しいデスクトップアイコン「Keeper SSO Connect」をクリックすると、設定用のブラウザが起動します (初期設定の実行には、Google Chromeの使用をお勧めします)。
Keeper SSO Connectサービスへの接続中にエラーが発生した場合は、サーバーを再起動する必要があります。また、ウェブブラウザがポート443でkeepersecurity.comに接続できることを確認する必要があります。Keeper SSO Connectでは、SSLパケットインスペクションを実行するプロキシサーバーもファイアウォールも使用できません。
SSO Connect Web UIの設定
http://127.0.0.1:8080/configに移動するか、またはKeeper SSO Connectデスクトップアイコンを使用して、Keeper管理者マスターパスワードアカウントでSSO Connect Web UIにログインします。
Internet Explorerを使用してSSO Connect Web UIに移動することは推奨されません。 Chrome、Edge Chromium、Firefoxなど別のウェブブラウザをご利用ください。
SSO Connect Web UIに正常にログインするには、以下のいくつかの要件を満たすKeeper管理者アカウントを使用する必要があります。
このアカウントはマスターパスワード認証アカウントであることが「必要」です。
このアカウントはSSOプロビジョニングノード内に存在してはなりません。
このアカウントは、ノードに対するブリッジ/SSOの管理権限を持つ管理ロールに属している必要があります。
プロンプトが表示されたら、二要素認証コードを入力します。
SSO接続 (法人ドメイン) を選択します。
管理コンソールに対する、Keeper SSO Connectの認証が成功すると、ステータスタブが表示されます。
左のメニューから[環境設定]を選択して、設定を開始します。
アドバタイズされたホスト名またはIPアドレスを入力します。このアドレスは、KeeperクライアントアプリケーションがSSO認証プロセスを開始するためにアクセスするアドレスです。HA (High Availability) 構成でKeeper SSO Connectをインストールする場合、これはロードバランサーを指すアドレスです。このアドレスは、IPアドレスでもホスト名でも構いません。
Bound IP Address (バインドされたIPアドレス) とは、サーバーのNICの物理IPアドレスです。ホスト名を使用せず、サーバーに関連付けられたアドレスが1つしかない場合、このエントリーは「ホスト名またはIPアドレス」フィールドと同じになります。
上記の例では、「sso-1.test-keeper.com」がローカルアドレス10.1.0.4にルーティングされるアドバタイズされたホスト名です。Keeper SSO Connectサービスは、プライベートIPアドレスにバインドされます。
IP/ホスト名は、Keeperにアクセスするユーザーがアクセスできる必要があります。IPアドレスとポートを使用したアクセスを許可するには、ファイアウォールの更新が必要になる場合があります。
SSO Connect SSL鍵と証明書
Keeper SSO Connectサービスには、SSL証明書が必要です。 認証局 (CA) の署名のある適切なSSL証明書のご使用をお勧めします。 SSL証明書には、SSO Connectサーバー (ホスト名またはIPアドレス) 専用に生成された証明書や、ご利用のドメイン(*.yourcompany.com)に一致するワイルドカード証明書があります。
自己署名証明書を使用すると、ほとんどのブラウザやモバイルデバイスでセキュリティエラーが発生します。
証明書のファイルタイプは、PKCS 12証明書の場合は、.pfx
または.p12
、Javaキーストア証明書の場合は.jks
であることが必要です。ほとんどの認証局は、元々これらの特定形式の証明書を発行していなかった場合、これらのファイルタイプに変換する方法についての説明をサイトに掲載しています。
SSL証明書の生成について詳しくは、証明書の作成に関するセクションをご参照ください。
SSL証明書は、毎年または四半期ごとに失効する場合があります。 突然サービスが停止しないように、有効期限前に証明書を更新するようにリマインダーを設定してください。
SSO Connectのバージョンが14.1.0より前の場合は、両方のフィールドにパスワードを入力してください。
特定のIDPを選択します。ご利用のIDPがプルダウンメニューにない場合は、「デフォルト」を選択します。
IdPメタデータ
IdPプロバイダを選択します。ご利用のプロバイダが一覧にない場合は、「デフォルト」を選択します。
次の手順で、IdP SAMLメタデータファイルをアップロードします。このファイルは、ご利用のIdPからダウンロードできます。
IDプロバイダの属性マッピング
属性マッピングは一切変更不要です。[保存]を選択します。
SSO Connectのステータス
ステータスがStopped (停止) と表示される場合がある理由は以下のとおりです。
SSL証明書が見つからないか、または間違っています。
SSL証明書のホスト名がSSO Connectのホスト名と一致しません。ワイルドカードSSL証明書を使用することも、特定のホスト名用に作成された証明書を使用することもできます (ホスト名がKeeper.DOMAIN.comの場合、証明書は*.DOMAIN.com用に設定する必要があります)。
デフォルトでは、「Use Certificate to Decrypt and Sign SAML Response/Request」 (証明書を使用してSAMLレスポンス/リクエストを復号および署名する) が選択されているはずです。
SSL証明書のテストまたはトラブルシューティングのために自己署名SSL証明書を作成する必要がある場合は、付録をご参照ください。
WindowsでのKeeper SSO Connectサービスの再起動
Keeper SSO Connectは、Windows上でサービスとして実行されます。Webインターフェースを閉じてもサービスは停止しません。このサービスは、WindowsのサービスMMCから停止および開始できます。
Last updated