# Keeper SSOコネクト & SCIM

## Keeper SSOコネクト

### **SSOログイン: IdPのSAMLレスポンスを解析できない場合**

通常、SAML署名証明書の更新が必要であることを意味します。[こちら](/sso-connect-cloud/jp/certificate-renewal.md)のガイドに従って更新してください。

接続を維持するには、IdPメタデータをKeeper管理コンソール上で更新する必要があります。なお、すべての管理者がSSOログインを必須としている環境で、メタデータの有効期限切れにより管理コンソールへアクセスできない場合は、[Keeperエンタープライズサポート](https://www.keepersecurity.com/ja_JP/support.html)へお問い合わせください。XMLファイルの手動更新をサポートします。

***

### **エンタープライズSSOユーザーがログインできない場合**

セキュリティ上の理由により、SSOノードに属していないユーザーは、フェデレーション (SSO) を使用してログインすることはできません。SSOログインができない場合は、対象ユーザーがKeeper管理コンソール内でSSO対応ノードに割り当てられていることを確認してください。ユーザーをSSOノードに移動するには、ユーザー設定を編集し、ドロップダウンから該当ノードを選択します。

***

### **エンタープライズユーザーのメールアドレス変更**

IDプロバイダ側でユーザーのメールアドレスが変更された場合、Keeper上でエイリアスを追加することで対応できます。エイリアスの追加は、Keeperコマンダーの `enterprise-user` コマンドで実行できます。

```
enterprise-user --add-alias new_email@acme-demo.com user@acme-demo.com
```

エイリアスは、[予約済みドメイン](/enterprise-guide/jp/domain-reservation.md)に対してのみ作成可能です。Keeperコマンダーに関して詳しくは[こちら](/keeperpam/jp/commander-cli/overview.md)のページをご参照ください。

***

### **エンタープライズドメインの変更**

企業全体でメールドメインを変更する場合、Keeperではドメインエイリアス機能によりスムーズな移行が可能です。ドメインエイリアスの設定は、[サポートチケット](https://keepersecurity.servicenowservices.com/csm?id=csm_index)を作成してご依頼ください。

***

### **SSOユーザーにマスターパスワード入力が求められる場合**

SSOユーザーにマスターパスワードの入力が求められる場合は、以下をご確認ください。

* ユーザーがSSO対応ノードに割り当てられていること。
* 正しいデータセンター ([US](https://keepersecurity.com/vault/) / [EU](https://keepersecurity.eu/vault/) / [AU](https://keepersecurity.com.au/vault/) / [JP](https://keepersecurity.jp/vault/) / [CA](https://keepersecurity.ca/vault/) / [GOV](https://govcloud.keepersecurity.us/vault/)) からログインしていること。

***

### **SSOクラウドSP証明書の更新**

{% hint style="info" %}
SSOコネクトクラウドのSP証明書が更新されました。IDプロバイダ (IdP) 側で SP 証明書の厳格な検証を有効にしている場合は、Keeperの証明書を更新する必要があります。
{% endhint %}

手順

1. 管理コンソールにログインします。
2. **\[SSOノード]** > **\[プロビジョニング]** > **\[SSOクラウド]** へ移動します。
3. **\[SP証明書をエクスポート]** を選択します。
4. IdPの「SP証明書」または「SP署名証明書」にアップロードします。

* 本対応は、SP証明書の厳格な検証を有効にしているIdPのみ影響します。
* オートメーターサービスを使用している環境には影響しません。
* OktaとSingle Logout (SLO) を利用している場合、証明書の更新が必要になることがあります。

***

### **SSOからマスターパスワード認証への移行**

SSOユーザーをマスターパスワード認証に移行する手順

1. 移行前に、リカバリーフレーズなどのアカウント復旧手段が設定されていることを確認します。
2. 管理コンソールでユーザーをSSOを使用しないノードに移動します。
3. ユーザーにログイン画面から「マスターパスワードを忘れた場合」の手順を実行してもらい、新しいパスワードを設定します。

***

### **マスターパスワード認証からSSOへの移行**

マスターパスワードユーザーをSSOに移行する手順

1. ユーザーがIDプロバイダ (IdP) で、KeeperのSSOアプリに割り当てられていることを確認します。
2. 管理コンソールでユーザーをSSO対応ノードに移動します。
3. 次回ログイン時、アカウント連携のためユーザーは最後に一度だけマスターパスワードの入力を求められます。以降はSSOのみで認証が行われます。

***

### **SSOクラウド証明書の更新**

KeeperのSSO証明書は毎年8月に有効期限が切れます。最新の証明書は管理コンソールから取得できます。KeeperのSP証明書を更新する場合は、[こちら](/release-notes/jp/enterprise/jp-sso-certificates/jp-cloud-sso-certificate-renewal-2023.md)のページをご参照ください。

***

### **SSOコネクト (オンプレミス) 証明書の更新**

SSOコネクト (オンプレミス) をご利用の場合、SSL証明書は毎年更新が必要です。有効期限はご利用の証明書によって異なります。SSL証明書に関するエラーが発生した場合は、[こちら](/release-notes/jp/enterprise/jp-sso-certificates/on-prem-sso-certificate-renewal.md)のページをご参照ください。

***

## **SCIMプロビジョニング (自動プロビジョニング)**

### **チームおよびユーザーに関する一般的な不具合**

* IdP側で、ユーザーまたはグループが正しいSAMLアプリケーションに割り当てられていることを確認してください。
* IdPからユーザーを招待したり、プロビジョニング済みのグループにユーザーを追加すると、Keeperに対して、ユーザー招待、チームへのユーザー追加、チームの作成などの処理リクエストが送信されます。
* ユーザーがまだKeeper上に存在しない場合、招待メールが送信されるか、ジャストインタイムプロビジョニングが実行されます。
* ただし、ユーザーがKeeperアカウントを作成しても、すぐにはチームに割り当てられない場合があります。以下のいずれかの操作が行われることで反映されます。

(a) 管理者が管理コンソールで「**完全同期**」を実行します。

(b) 対象チームのユーザーがウェブボルトまたはデスクトップアプリにログインします。

(c) 管理者がKeeperコマンダーで **team-approve** を実行します。

SCIMによってチームやユーザーが即時作成されない理由は、暗号化モデルによりユーザー間で秘密鍵を共有する必要があるためです。チームキーなどの暗号鍵の共有は、必要な秘密鍵にアクセスできるログイン中のユーザーによってのみ実行されます。

次期バージョンのKeeperオートメーター (v3.0) では、チームおよびチーム割り当ての動的承認に対応予定です。Keeperオートメーターについて詳しくは[こちら](/sso-connect-cloud/jp/device-approvals/automator.md)のページをご参照ください。

***

### **SCIMによるチームおよびユーザー割り当ての遅延について**

Keeperでは、チームを作成する際に、そのチーム専用の公開鍵/秘密鍵ペアを生成する必要があります。また、ユーザーをチームに割り当てる際には、チームの秘密鍵がユーザーの公開鍵で暗号化されます。これにより、ユーザーは Keeperボルト内でチームフォルダやレコードの鍵を復号できるようになります。Keeperはゼロ知識アーキテクチャを採用しているため、これらの処理は、管理コンソール、ボルト、コマンダーCLI、オートメーターなどの認証済みクライアントから実行される必要があります。

そのため、SCIMを通じてチーム作成やユーザー割り当てが行われた場合、これらの処理は一旦「保留キュー」に入ります。このキューは、認証済みクライアントによって処理され、チームキーの生成やユーザーへの鍵共有が行われます。

現在、チーム作成およびユーザー割り当ては、以下のいずれかのタイミングで実行されます。

* 管理者がKeeper管理コンソールにログインしたとき。
* コマンダーCLI で [`team-approve` コマンド](/keeperpam/jp/commander-cli/command-reference/enterprise-management-commands.md#team-approve-command)を実行したとき。
* [Keeperオートメーターサービス](/sso-connect-cloud/jp/device-approvals/automator.md) (v3.2以降) を利用している場合。

保留中のチームおよびユーザー割り当てを早く反映させたい場合は、以下の対応を定期的に実施してください。

1. [KeeperコマンダーCLI](/keeperpam/jp/commander-cli/overview.md)をインストールする。
2. `keeper shell` でログインする。
3. 以下のコマンドを実行する。

```
enterprise-down
team-approve --team
team-approve --email
```

***

### **SCIMプロビジョニングエラーについて**

SCIMでは、プロビジョニング時に予約済みドメインの使用が必須となります。ドメインがSCIMプロビジョニングには使用できないことを示すエラーや、別のメールドメインを使用することを促すエラーが表示される場合、対象のメールドメインが予約されていない可能性があります。ドメイン予約の申請を行ってください。

詳しくは[こちら](/enterprise-guide/jp/domain-reservation.md)のページをご参照ください。

***

### **コマンダーのスクリプトやコードに関する質問**

Keeperコマンダーの[トラブルシューティング](/keeperpam/jp/commander-cli/troubleshooting-commander-cli.md)のページをご参照ください。

***

### お問い合わせ

サポートが必要な場合は、ServiceNowで[サポートチケット](https://keepersecurity.servicenowservices.com/csm?id=csm_index)を作成してください。

サポート担当者との通話をご希望の場合は、その旨を記載してください。営業時間内で調整のうえ通話の時間をご案内します。調整にお時間をいただく場合がありますので、ご了承ください。

***

### 緊急サポート

ビジネスのお客様で緊急のサポートが必要な場合は、[ServiceNowサポートポータル](https://keepersecurity.servicenowservices.com/csm?id=csm_index)を必ずご利用ください。サポートフォームで、**\[早急なサポートを要する緊急事態、機能停止状態、一刻を争う状況]** のオプションを選択します。

***

### 機能に関するリクエスト

ご意見をお待ちしております。 機能に関するご要望は <feedback@keepersecurity.com> までお寄せください。

***

### Slackワークスペースへの参加

[Slackワークスペース (英語) ](https://keeperbeta.slack.com/join/shared_invite/zt-icj35zdi-_2HVpTl5lRQG4WyLeDjfeQ#/shared-invite/email)にご参加いただくと、ご質問や弊社へのフィードバックを投稿いただけます。また、ベータ版更新のお知らせもいたします。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/release-notes/jp/keeper-security/troubleshooting/keeper-sso-connect-and-scim.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.