手順1.サーバーをバックアップ

元に戻す必要がある場合に備えて、スナップショットを撮るか、サーバーをバックアップすることをお勧めします。 サービスをアップグレードする際は、停止時間が発生するリスクを抑えるために必要な予防措置を講じてください。

手順2.現在の設定のスクリーンショットを取得

インスタンス上のKeeper SSO Connectサービスにログインして、現在の設定を確認します。 Windowsの場合: デスクトップのSSO Connectのショートカットをダブルクリックするか、またはhttp://localhost:8080/configを開き、Keeper管理者としてログインします。 Linuxの場合: http://localhost:8080/configを開き、Keeper管理者としてログインします。

手順3.SSO Connectのインストーラーをダウンロード

SSO Connectのインストーラーは、管理コンソールにログインし、「プロビジョニング（Provisioning）」タブの下にあるダウンロードリンクをクリックすると入手できます。

手順4.SSO Connectサービスを停止

Windowsの場合: Windowsサービスを開き、Keeperを検索してサービスを停止します。

Linuxの場合: systemctl stop ssoconnectを実行してサービスを停止するか、手動もしくは別の方法でSSO Connectサービスを実行した場合は、CTRL-Cを押すか、もしくはプロセスを強制終了する必要があります。

すべてのプロセスが停止していることを確認します。

手順5.Javaを確認

実行中のJavaのバージョンを確認します。Java 11より前のバージョンを実行している場合は、システム上のすべてのバージョンのJavaをアンインストールしてから、Java 11をインストールする必要があります。

手順6.SSO Connectをインストール

手順2で書き留めたローカルにバインドされたIPアドレスおよびポート番号のメモがあることを確認してください。この情報は再インストール後に必要になる場合があります。 Windowsの場合:

• KeeperSso.zipファイルを解凍します。

• 解凍した.MSIインストーラーを実行します。

Linuxの場合:

• SSO Connectがインストールされているディレクトリに移動します。

• フォルダをバックアップします。

• すべてのファイルとサービスディレクトリを削除します。

• KeeperSso_java.zipファイルをインストールフォルダに解凍します（ファイルは上書きしないでください）。

• 通常どおりサービスを開始します。

以下に例を示します。

cd /path/to/keeper

# インストールフォルダをバックアップします
tar czf keeperbackup.tar.gz keeper/
cd keeper/

# アプリケーションファイルは削除しますが、データとログは残します
rm -f *
rm -fR services/
rm -fR static/

# 新しいSSOのzipファイルをコピーし、上書きせずに解凍します
mv /path/to/KeeperSso_java.zip .
unzip -n KeeperSso_java.zip

# これはサービスの開始方法によって異なります
nohup java -jar SSOConnect.jar &

サービスが起動しないか、またはインストールが異常停止する場合は、以下の手順に従ってください。

• 現在インストールされているすべてのバージョンのJavaをアンインストールします。

• 上記の手順5の指示に従って、Java 11をインストールします。

• インストール後に再起動します。

手順7.SSO Connectサービスを開始

Windowsの場合: サービスは自動的に開始するはずです。 数分かかることもあります。サービスマネージャを使用して、Keeper SSO Connectサービスを開始することもできます。 Linuxの場合: 通常どおりサービスを開始します。標準ガイドに従えば、systemctl start ssoconnectを実行してサービスを開始します。 または、手動でプロセスを実行するなら、java -jar SSOConnect.jarで開始することもできるでしょう。 実行中のプロセスが1つだけであることを確認します。

手順8.SSO Connect Configを確認

Windowsの場合: デスクトップのSSO Connectのショートカットをダブルクリックするか、またはhttp://localhost:8080/configを開き、Keeper管理者としてログインします。 Linuxの場合: http://localhost:8080/configを開き、Keeper管理者としてログインします。

手順9.アップグレードバージョンを確認

ブラウザでこのURLを開くことで、実行中のバージョンを確認できるようになっています（XXXとポートは、アドバタイズされたホスト名とポートに置き換えてください）。以下に例を示します。

https://keeper.xyz.com:8443/ping

IP/名前とPortにアクセスできることをご確認ください。サービスが有効であれば、以下に示すようなJSONレスポンスが返ります。

{
    "configuration":"Running",
    "sync_revision":1336,
    "sync":"Thu Feb 28 14:57:06 PST 2019",
    "version": "o16.0.2",
    "sso":"Running",
    "status":"Ready"
}

「version」応答にインストールしたバージョンが表示されていることを確認します。

手順10.SSOログインを確認

Keeper Webボルト、デスクトップアプリケーション、またはモバイルアプリケーションを使用して、エンドユーザーが正常にSSOログインできることを確認します。

アップグレードは完了です。

トラブルシューティング

サービスが開始されない

Javaのバージョンをご確認ください。 SSO Connectには、Java 11が必要です。

• 現在インストールされているすべてのバージョンのJavaをアンインストールします。

• 上記の手順5の指示に従って、Java 11をインストールします。

• インストール後に再起動します。

400エラー

アップグレード後、ごく一部のお客様で、SSO Connectサービスのステータスにアクセスしようとしたり、SSOでログインしようとしたりすると、400エラーが発生することがあります。SSO Connectバージョン16.x以降では、より厳格なセキュリティポリシーが採用されており、適切な設定が強制されます。

400エラーの原因として考えられる理由:

• SSO Connectに読み込まれたSSL証明書が失効しています。

• SSL証明書のサブジェクト名がフロントエンドのロードバランサーまたはリバースプロキシの設定と一致していません。

• ロードバランサーかリバースプロキシの内部ネットワーク通信で、SSO ConnectにインストールされたSSL証明書に記載されている完全修飾ドメイン名（FQDN）が使用されていることを確認します。

ログファイルを確認

Windowsの場合:ログファイルはシステムの隠しディレクトリにあります。このディレクトリにアクセスするには、ファイルエクスプローラーに以下のパスを入力します。

C:\ProgramData\Keeper SSO Connect\logs

**Linuxの場合:**ログは以下のsso_connectフォルダにありますが、基本的なインストールパスによって異なります。

/<基本パス（base_path）>/sso_connect/logs

起動中にエラーが発生していないか、ログファイルを確認します。詳細なログが不十分な場合は、以下に示すように、このフォルダパスのlog4j2.xmlというファイルを修正し、ログレベルを「Debug」に更新できます。

「debug」に変更した後、サービスを再起動すると詳細なログが生成されます。問題が解決したら、必ず「info」に戻してください。

SAMLリクエスト/レスポンス

SSO Connectインターフェースの左側には、「SAMLデバッグを表示（Show SAML debug）」というボタンがあります。 この画面にはSAMLトランザクションの最新の履歴が表示され、IdPからのエラーが含まれているはずです。