Javaランタイムのインストール-必須

システム要件ページに記載されているとおり、互換性のあるバージョンのJavaランタイムをインストールしてください。

以下にリンクされたOpenJDK 11.0.12バージョンをインストールすることをお勧めします。

https://github.com/ojdkbuild/ojdkbuild/releases/download/java-11-openjdk-11.0.12.7-1/java-11-openjdk-11.0.12.7-1.windows.ojdkbuild.x86_64.msi

Java openJDKのインストールが完了したら、Windowsを再起動する「必要」があります。

C:\Users\Administrator>java -version
openjdk version "11.0.12" 2021-07-20 LTS
OpenJDK Runtime Environment 18.9 (build 11.0.12+7-LTS)
OpenJDK 64-Bit Server VM 18.9 (build 11.0.12+7-LTS, mixed mode)

Javaに関する問題がある場合

コマンドラインでJavaが認識されない場合は、以下の手順に従ってください。

• Advanced system settings (システムの詳細設定) を開きます。

• Environment Variables (環境変数) をクリックします。System variables (システム変数) セクションで、PATH環境変数を見つけて選択します。[Edit] (編集) をクリックします。PATH環境変数が存在しない場合は、[New] (新規) をクリックします。

• Edit System Variable (システム変数を編集) (またはNew System Variable (新規システム変数)) ウィンドウで、PATH環境変数の値を指定します。[OK]をクリックします。[OK]をクリックして、残りのウィンドウをすべて閉じます。

SSL証明書

Keeper SSO Connectには、パブリック認証局が署名した有効な署名付きSSL証明書が必要です。自己署名証明書はテストではうまくいく場合もありますが、大半のクライアントアプリケーションは接続に失敗します。

ウェブホスティング会社からSSL証明書を取得するか、またはZeroSSLなどで提供されている無料オプションをご利用ください。また、OpenSSLを使用して手順をより細かく制御することもできます。

OpenSSL 3.0で生成された証明書とJava 11で生成された証明書には互換性に関する既知の問題があります。 そのため、OpenSSLを使用したい場合は、最新の1.1.1（2022年11月時点で1.1.1s）をご使用ください。

Windows用OpenSSL - https://slproweb.com/products/Win32OpenSSL.html

直接ダウンロードリンク - https://slproweb.com/download/Win32OpenSSL-1_1_1s.exe

SSO Connectをダウンロード

ダウンロードリンクを表示するには、SSOノードでプロビジョニング中にKeeper管理コンソールで、メソッド「SSO Connect On-Prem」を追加します。

プロビジョニングを追加すると、Keeper SSO Connectをダウンロードするボタンが表示されます。

ダウンロードしたファイルをSSO Connectサーバーにコピーします。

メタデータファイルとSSL証明書をダウンロード

SSO Connectをインストールするには、エンドポイントで使用するSSL証明書ファイルを作成する必要があります。 SSL証明書を生成して、SSL証明書ファイル（.pfx、.p12、.jks）とIDPのSAML XMLメタデータファイルをサーバーにダウンロードします。

インストール - Windows

Keeper SSO Connectインストーラーファイルを解凍します。

管理者としてKeeperSSOConnectを実行します。

新しいデスクトップアイコン「Keeper SSO Connect」をクリックすると、設定用のブラウザが起動します (初期設定の実行には、Google Chromeの使用をお勧めします)。

Keeper SSO Connectサービスへの接続中にエラーが発生した場合は、サーバーを再起動する必要があります。また、ウェブブラウザがポート443でkeepersecurity.comに接続できることを確認する必要があります。Keeper SSO Connectでは、SSLパケットインスペクションを実行するプロキシサーバーもファイアウォールも使用できません。

SSO Connect Web UIの設定

http://127.0.0.1:8080/configに移動するか、またはKeeper SSO Connectデスクトップアイコンを使用して、Keeper管理者マスターパスワードアカウントでSSO Connect Web UIにログインします。

プロンプトが表示されたら、二要素認証コードを入力します。

SSO接続 (法人ドメイン) を選択します。

管理コンソールに対する、Keeper SSO Connectの認証が成功すると、ステータスタブが表示されます。

左のメニューから[環境設定]を選択して、設定を開始します。

アドバタイズされたホスト名またはIPアドレスを入力します。このアドレスは、KeeperクライアントアプリケーションがSSO認証プロセスを開始するためにアクセスするアドレスです。HA (High Availability) 構成でKeeper SSO Connectをインストールする場合、これはロードバランサーを指すアドレスです。このアドレスは、IPアドレスでもホスト名でも構いません。

Bound IP Address (バインドされたIPアドレス) とは、サーバーのNICの物理IPアドレスです。ホスト名を使用せず、サーバーに関連付けられたアドレスが1つしかない場合、このエントリーは「ホスト名またはIPアドレス」フィールドと同じになります。

上記の例では、「sso-1.test-keeper.com」がローカルアドレス10.1.0.4にルーティングされるアドバタイズされたホスト名です。Keeper SSO Connectサービスは、プライベートIPアドレスにバインドされます。

SSO Connect SSL鍵と証明書

Keeper SSO Connectサービスには、SSL証明書が必要です。 認証局 (CA) の署名のある適切なSSL証明書のご使用をお勧めします。 SSL証明書には、SSO Connectサーバー (ホスト名またはIPアドレス) 専用に生成された証明書や、ご利用のドメイン（*.yourcompany.com）に一致するワイルドカード証明書があります。

証明書のファイルタイプは、PKCS 12証明書の場合は、.pfxまたは.p12、Javaキーストア証明書の場合は.jksであることが必要です。ほとんどの認証局は、元々これらの特定形式の証明書を発行していなかった場合、これらのファイルタイプに変換する方法についての説明をサイトに掲載しています。 SSL証明書の生成について詳しくは、証明書の作成に関するセクションをご参照ください。

特定のIDPを選択します。ご利用のIDPがプルダウンメニューにない場合は、「デフォルト」を選択します。

IdPメタデータ

IdPプロバイダを選択します。ご利用のプロバイダが一覧にない場合は、「デフォルト」を選択します。

次の手順で、IdP SAMLメタデータファイルをアップロードします。このファイルは、ご利用のIdPからダウンロードできます。

IDプロバイダの属性マッピング

属性マッピングは一切変更不要です。[保存]を選択します。

SSO Connectのステータス

ステータスがStopped (停止) と表示される場合がある理由は以下のとおりです。

• SSL証明書が見つからないか、または間違っています。

• SSL証明書のホスト名がSSO Connectのホスト名と一致しません。ワイルドカードSSL証明書を使用することも、特定のホスト名用に作成された証明書を使用することもできます (ホスト名がKeeper.DOMAIN.comの場合、証明書は*.DOMAIN.com用に設定する必要があります)。

• デフォルトでは、「Use Certificate to Decrypt and Sign SAML Response/Request」 (証明書を使用してSAMLレスポンス/リクエストを復号および署名する) が選択されているはずです。

SSL証明書のテストまたはトラブルシューティングのために自己署名SSL証明書を作成する必要がある場合は、付録をご参照ください。

WindowsでのKeeper SSO Connectサービスの再起動

Keeper SSO Connectは、Windows上でサービスとして実行されます。Webインターフェースを閉じてもサービスは停止しません。このサービスは、WindowsのサービスMMCから停止および開始できます。