SSOのクラウドへの移行
Keeperでは、オンプレミスSSOコネクトインスタンスからクラウドSSOへの自動移行が可能です。
概要
オンプレミスSSOコネクトからKeeperクラウドSSOコネクトにユーザーを移行する自動化プロセスのサポートがKeeperに加わりました。
クラウドSSOコネクトに移行すると、特に新しいデバイスの承認に関するユーザー体験が変化します。KeeperクラウドSSOコネクトのドキュメントを必ずお読みください。
この移行プロセスには、デバイスの承認は含まれません。デバイスの承認は、こちらに記載のKeeper標準メソッドを使用して設定する必要があります。ユーザーおよび管理者は、自動メソッドを設定するまでは、手動でデバイスの承認を処理することもできます。
移行プロセスを開始する前に、Keeperサポート技術者と移行の計画とスケジュールを立てることをお勧めします。
ユーザーが完全に移行するまで、既存のオンプレミスSSOインスタンスを削除しないでください。 ユーザーが完全に移行するまで、IDプロバイダからオンプレミスKeeperアプリケーションを削除しないでください。 すべてのユーザーが少なくとも1回ログインし、移行がすべて完了するまで、インスタンスは両方ともアクティブにしておく必要があります。
前提条件
すべてのオンプレミスIdPユーザーがCloud IdPインスタンスでもプロビジョニングされていることを確認します。 たとえば、Azure内で、ユーザーがクラウドSSOエンタープライズアプリケーションに割り当てられていることを確認します。
デバイスをこのSSO移行プロセスの中で自動的に承認するには、Keeperオートメーターのインストールをお勧めします。Keeperオートメーターのプロビジョニング手順については、こちらをご確認ください。
クラウドSSOコネクトへの移行を設定
Keeper管理コンソールを起動するには、左側のメニューから「管理者 (Admin)」にアクセスします。ユーザーの移行元となるオンプレミスのSSOコネクトインスタンスを実行するノードを選択します。
次に、その同じノード内に新しいクラウドSSOコネクトのプロビジョニングメソッドを追加します。続行すれば、ユーザー認証をクラウドに移行するものと見なされることを説明するポップアップメッセージが表示されます。「続行 (Continue)」を選択して移行の設定を完了します。
新しいクラウドSSOコネクト環境の設定は、SSO移行の開始前または開始後に行うことができます。移行開始後にクラウドSSOコネクト環境を設定する場合、移行中のクラウドSSOコネクトインスタンスの表示は、「保留中 (Pending)」になります。
クラウドSSOコネクトの環境は、こちらで説明した手順に従って設定できます。
KeeperクラウドSSOコネクト新しいクラウドSSOインスタンスの設定中に、「企業ドメイン」の指定を求められることにご注意ください。これは、IDプロバイダの設定を参照するために使用される単なる一意の識別子です。実際のところ、これはドメイン名ではなく、任意の識別子にすぎず、自由に設定できます。オンプレミスインスタンスにご利用のドメイン名 (company.comなど) を使用するなら、新しいクラウドSSOの企業ドメインには、new.company.comなどの名前を自由に設定できるでしょう。 できればユーザーが覚えやすい名前が望ましいでしょう。
クラウドSSOコネクトインスタンスの設定が完了したら、新しいユーザーで手順をテストしてください。新しいユーザーがクラウドSSOインスタンスで認証できること、およびデバイスを承認できることを確認します。
Keeper SSOコネクトが実行されているノードにKeeperクラウドSSOコネクトを割り当てると、移行が開始され、プロビジョニング画面のステータス表示が「移行中 (Migration in Progress)」になり、クラウドSSOコネクトに移行済みのユーザー数も表示されます。
既存ユーザーも新規ユーザーもログインすると、クラウドSSOコネクトに自動的に移動して認証されます。クラウドSSOコネクト環境が未設定の場合は、クラウドインスタンスのステータス表示が「アクティブ (Active)」ではなく「保留中 (Pending)」になります。
クラウドインスタンスが「保留中 (Pending)」状態の場合でも、Keeperでユーザーを移行できます。つまり、ユーザーはログイン済みで、鍵交換も済んでいるため、インスタンスがアクティブになれば、クラウドSSOコネクトを使用してユーザーをプロビジョニングできるようになります。移行されたユーザーは、クラウドSSOコネクト環境が有効になるまで、引き続きオンプレミスのSSOコネクトを使用して認証されます。
オンプレミスSSOとクラウドSSOにはそれぞれ固有の「企業ドメイン」が設定されていることにご注意ください。クラウドインスタンスに移行しようとして、誤ってオンプレミスインスタンスに再びログインしないようにするには、「戻る (Back)」ボタンをクリックして企業ドメイン (Enterprise Domain) 画面から移動し、ユーザーのメールアドレスを入力して認証を開始します。
最終的にすべてのユーザーがKeeperにログインし、クラウドSSOコネクトに移行されると、移行のステータスが「移行完了 (Migration Complete)」に変わります。クラウドSSOコネクトも「アクティブ (Active)」の場合は、「移行完了 (Migration Complete)」の下のメッセージに次の指示が表示されます。「このノードのオンプレミスSSOコネクトメソッドを削除できます。(You can delete the SSO Connect On-Prem Method for this node.)」
ユーザーが全員完全に移行し、安全に削除できるとKeeperに表示されるまで、このノードのオンプレミスSSOコネクトのプロビジョニングメソッドは削除しないでください。
SSOの移行中にいつでも、管理者は移行ステータスレポートをCSV形式でエクスポートできます。レポートには、SSOユーザーごとに、ユーザーUID、ユーザー名、ユーザーのメールアドレス、ユーザーの移行ステータスが表示されます。
この自動化プロセスを使用して、クラウドSSOコネクトに正常に移行できないユーザーがいる場合は、以下のドキュメントに記載された手動プロセスを使用してこれらのユーザーを移行できます。
オンプレミスからの移行KeeperオンプレミスSSOコネクトからクラウドSSOコネクトに移行する方法Last updated