SSOのクラウドへの移行

Keeperでは、SSO Connect On-PremインスタンスからCloud SSOへの自動移行が可能です。

概要

SSO Connect On-PremからKeeper SSO Connect Cloudにユーザーを移行する自動化プロセスのサポートがKeeperに加わりました。

注意:この移行プロセスには、デバイスの承認は含まれません。デバイスの承認は、こちらに記載のKeeper標準メソッドを使用して設定する必要があります。ユーザーおよび管理者は、自動メソッドを設定するまでは、手動でデバイスの承認を処理することもできます。

重要 移行プロセスを開始する前に、Keeperサポート技術者と移行の計画とスケジュールを立てることをお勧めします。

重要 ユーザーが完全に移行するまで、既存のOn-Prem SSOインスタンスを削除しないでください。 ユーザーが完全に移行するまで、IDプロバイダからOn-Prem Keeperアプリケーションを削除しないでください。 すべてのユーザーが少なくとも1回ログインし、移行がすべて完了するまで、インスタンスは両方ともアクティブにしておく必要があります。

前提条件

  • すべてのオンプレミスIdPユーザーがCloud IdPインスタンスでもプロビジョニングされていることを確認します。 たとえば、Azure内で、ユーザーがSSO Cloudエンタープライズアプリケーションに割り当てられていることを確認します。

SSO Connectクラウドへの移行を設定

Keeper管理コンソールを起動するには、左側のメニューから**「管理者(Admin)」**にアクセスします。ユーザーの移行元となるオンプレミスのSSO__Connectインスタンスを実行するノードを選択します。

次に、その同じ****ノード内に新しいSSO Connect Cloudのプロビジョニングメソッドを追加します。続行すれば、ユーザー認証をクラウドに移行するものと見なされることを説明するポップアップメッセージが表示されます。「続行(Continue)」を選択して移行の設定を完了します。

新しいSSO Connect Cloud環境の設定は、SSO移行の開始前または開始後に行うことができます。移行開始後にSSO Connect Cloud環境を設定する場合、移行中のSSO Connect Cloudインスタンスの表示は、「保留中(Pending)」になります。

SSO Connect Cloudの環境は、こちらで説明した手順に従って設定できます。

新しいSSO Cloudインスタンスの設定中に、「企業ドメイン」の指定を求められることにご注意ください。これは、IDプロバイダの設定を参照するために使用される単なる一意の識別子です。実際のところ、これはドメイン名ではなく、任意の識別子にすぎず、自由に設定できます。オンプレミスインスタンスにご利用のドメイン名(company.comなど)を使用するなら、新しいSSO Cloudの企業ドメインには、new.company.comなどの名前を自由に設定できるでしょう。 できれば、ユーザーが覚えやすい名前が望ましいでしょう。

SSO Connect Cloudインスタンスの設定が完了したら、新しいユーザーで手順をテストしてください。新しいユーザーがSSO Cloudインスタンスで認証できること、およびデバイスを承認できることを確認します。

Keeper SSO Connectが実行されているノードにKeeper SSO Connect Cloudを割り当てると、移行が開始され、プロビジョニング画面のステータス表示が「移行中(Migration in Progress)」になり、SSO Connect Cloudに移行済みのユーザー数も表示されます。

移行プロセス中は、オンプレミスとクラウドの両方のインスタンスをそのまま維持する必要があります。 これは、ゆっくり進める移行方法で、エンドユーザーがログインしたときに実行されます。

既存ユーザーも新規ユーザーもログインすると、SSO Connect Cloudに自動的に移動して認証されます。SSO Connect Cloud環境が未設定の場合は、クラウドインスタンスのステータス表示が**「アクティブ(Active)」**ではなく「保留中(Pending)」になります。

クラウドインスタンスが「保留中(Pending)」状態の場合でも、Keeperでユーザーを移行できます。つまり、ユーザーはログイン済みで、鍵交換も済んでいるため、インスタンスがアクティブになれば、SSO Connect Cloudを使用してユーザーをプロビジョニングできるようになります。移行されたユーザーは、SSO Connect Cloud環境が有効になるまで、引き続きオンプレミスのSSO Connectを使用して認証されます。

On-Prem SSOとCloud SSOにはそれぞれ固有の「企業ドメイン」が設定されていることにご注意ください。 Cloudインスタンスに移行しようとして、誤ってOn-Premインスタンスに再びログインしないようにするには、「戻る(Back)」ボタンをクリックして企業ドメイン(Enterprise Domain)画面から移動し、ユーザーのメールアドレスを入力して認証を開始します。

最終的にすべてのユーザーがKeeperにログインし、SSO Connect Cloudに移行されると、移行のステータスが「移行完了(Migration Complete)」に変わります。SSO Connect Cloudも**「アクティブ(Active)」**の場合は、「移行完了(Migration Complete)」の下のメッセージに次の指示が表示されます。「このノードのSSO Connect On-Premメソッドを削除できます。(You can delete the SSO Connect On-Prem Method for this node.)」 __

ユーザーが全員完全に移行し、安全に削除できるとKeeperに表示されるまで、このノードのSSO Connect On-Premのプロビジョニングメソッドは削除しないでください。

SSOの移行中にいつでも、管理者は移行ステータスレポートをCSV形式でエクスポートできます。レポートには、SSOユーザーごとに、ユーザーUID、ユーザー名、ユーザーのメールアドレス、ユーザーの移行ステータスが表示されます。

この自動化プロセスを使用して、SSO Connect Cloudに正常に移行できないユーザーがいる場合は、以下のドキュメントに記載された手動プロセスを使用してこれらのユーザーを移行できます。

Previousトラブルシューティングとよくある質問Nextテクニカルサポート

Last updated