> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/keeper-privileged-cloud/using-privileged-cloud-jit-elevation-with-idp-authentication.md).

# IDP認証を使用したPrivileged Cloud JIT昇格

<figure><img src="/files/ftGI8pj3SSOdIYPfoSB8" alt=""><figcaption></figcaption></figure>

### 概要 <a href="#overview" id="overview"></a>

本ページでは、Keeper Privileged Cloudが直接IDプロバイダまたはフェデレーションIDプロバイダ経由で昇格を処理する方法を取り扱います。

対象プラットフォームが独自のプロバイダでIDを管理する場合は直接認証を使用します。対象プラットフォームが認証と認可のために別のプロバイダに依存する場合はフェデレーション認証を使用します。

どちらのモデルでも、ワークフローとJIT設定に基づき、承認された時間枠の間、IDプロバイダ経由で一時アクセスが付与されます。

### 認証モデルの選択 <a href="#choose-the-authentication-model" id="choose-the-authentication-model"></a>

**直接認証:** 対象PAM構成で定義されたIDプロバイダに対するユーザー認証と認可。AWSがPAMネットワークとして構成されている場合、ゲートウェイはAWS IAMと直接通信します。

**フェデレーション認証:** 対象PAMネットワークが認証と認可のために別のIDプロバイダを使用する方式。AWS Identity CenterはAzure Entra IDにフェデレーションでき、昇格はAzureテナント経由で適用されます。

### 例: Identity Centerを使用するAWSと、フェデレーションIdPとしてのAzure Entra ID <a href="#example-aws-using-identity-center-with-azure-entra-id-as-federated-idp" id="example-aws-using-identity-center-with-azure-entra-id-as-federated-idp"></a>

以下の例では、AWSテナントが認証と認可のソースとしてEntra IDを使用するよう構成されています。

これを機能させるには、以下の手順が必要です。

1. Keeperボルトで、各テナント用に別々のフォルダを作成します。この例では以下のとおりです。
   1. `AWS Resources Folder`
   2. `Azure Resources Folder`
2. 各テナント用にKeeperボルトでシークレットマネージャーアプリケーションを作成します。
3. フェデレーションIDアプリケーションは、ゲートウェイがそのアプリケーション内のリソース設定を読み取るために必要なアクセス権限を持つ必要があります。フェデレーションIDを使用してアプリケーションへアクセスできるようにしてください。この例では、`AWS Resources Folder` が `Azure Application` からアクセスできる状態にし、最低限読み取り専用アクセスを付与します。
4. [PAM構成](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration.md)ページで説明されている手順に従い、各クラウドプロバイダ用のPAM構成を作成します。
   1. [AWS環境のセットアップ](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration/aws-environment-setup.md)
   2. [Azure環境のセットアップ](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration/azure-environment-setup.md)
5. Azureテナントにアクセスできるゲートウェイをプロビジョニングします。レコードのワークフローおよびJIT設定を通じてユーザーのアクセスを昇格するIDプロバイダとしてAzureを使用するため、これが必要です。
6. 必要に応じて、AWSテナントにアクセスできるゲートウェイをプロビジョニングします。Keeperボルトレコード経由でユーザーがアクセスする必要があるAWS上のPAMマシンまたはデータベースがプロビジョニングされている場合に必要です。
7. AWS Identity CenterをAzure Entra IDに統合する手順については、Amazonの公式ドキュメントをご参照ください。 <https://docs.aws.amazon.com/singlesignon/latest/userguide/idp-microsoft-entra.html>
8. AWS PAM構成を、Azure PAM構成を通じてIDをフェデレーションするよう設定します。以下に例を示します。

### KSMアプリケーションの作成 <a href="#creating-a-ksm-application" id="creating-a-ksm-application"></a>

上記のとおり、構成対象の各アプリケーション用にフォルダが作成されています。Keeperシークレットマネージャーアプリケーションの作成方法は[アプリケーション](/keeperpam/jp/privileged-access-manager/getting-started/applications.md)をご参照ください。

#### AWSアプリケーション <a href="#aws-application" id="aws-application"></a>

<figure><img src="/files/KRMATIPYr845DcSHedYd" alt=""><figcaption></figcaption></figure>

#### Azureアプリケーション <a href="#azure-application" id="azure-application"></a>

<figure><img src="/files/QrXv3qZ84UdMAyiOpQiE" alt=""><figcaption></figcaption></figure>

### PAM構成の作成 <a href="#creating-the-pam-configurations" id="creating-the-pam-configurations"></a>

この例では、AWSとAzureの両テナントがPAMネットワークとして構成されています。AWS PAM構成は、IDのソース (フェデレーションディレクトリ) としてAzure PAM構成を指しています。この機能を有効にするには、**\[フェデレーションディレクトリ]** のチェックボックスをオンにし、一覧から正しいIDPを選択する必要があります。

#### AWS PAM構成 <a href="#aws-pam-configuration" id="aws-pam-configuration"></a>

<figure><img src="/files/t495hNmqXRrrvR1lAsMG" alt=""><figcaption></figcaption></figure>

#### Azure PAM構成 <a href="#azure-pam-configuration" id="azure-pam-configuration"></a>

<figure><img src="/files/ZwLLP61neT4I22aCRn0E" alt=""><figcaption></figcaption></figure>

これらのPAM構成が正しくセットアップされ、IDPがクラウドプラットフォームと統合されると、ユーザーがアクセスを要求するか権限を昇格した際に、IDPテナント内でJIT昇格が実行されます。


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/keeper-privileged-cloud/using-privileged-cloud-jit-elevation-with-idp-authentication.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.