Keeper SSOコネクト & SCIM

Keeper SSOコネクト

SSOログイン: IdPのSAMLレスポンスを解析できない場合

通常、SAML署名証明書の更新が必要であることを意味します。こちらのガイドに従って更新してください。

接続を維持するには、IdPメタデータをKeeper管理コンソール上で更新する必要があります。なお、すべての管理者がSSOログインを必須としている環境で、メタデータの有効期限切れにより管理コンソールへアクセスできない場合は、Keeperエンタープライズサポートへお問い合わせください。XMLファイルの手動更新をサポートします。

エンタープライズSSOユーザーがログインできない場合

セキュリティ上の理由により、SSOノードに属していないユーザーは、フェデレーション (SSO) を使用してログインすることはできません。SSOログインができない場合は、対象ユーザーがKeeper管理コンソール内でSSO対応ノードに割り当てられていることを確認してください。ユーザーをSSOノードに移動するには、ユーザー設定を編集し、ドロップダウンから該当ノードを選択します。

エンタープライズユーザーのメールアドレス変更

IDプロバイダ側でユーザーのメールアドレスが変更された場合、Keeper上でエイリアスを追加することで対応できます。エイリアスの追加は、Keeperコマンダーの enterprise-user コマンドで実行できます。

enterprise-user --add-alias [email protected] [email protected]

エイリアスは、予約済みドメインに対してのみ作成可能です。Keeperコマンダーに関して詳しくはこちらのページをご参照ください。

エンタープライズドメインの変更

企業全体でメールドメインを変更する場合、Keeperではドメインエイリアス機能によりスムーズな移行が可能です。ドメインエイリアスの設定は、サポートチケットを作成してご依頼ください。

SSOユーザーにマスターパスワード入力が求められる場合

SSOユーザーにマスターパスワードの入力が求められる場合は、以下をご確認ください。

• ユーザーがSSO対応ノードに割り当てられていること。

• 正しいデータセンター (US / EU / AU / JP / CA / GOV) からログインしていること。

SSOクラウドSP証明書の更新

手順

1. 管理コンソールにログインします。

2. [SSOノード] > [プロビジョニング] > [SSOクラウド] へ移動します。

3. [SP証明書をエクスポート] を選択します。

4. IdPの「SP証明書」または「SP署名証明書」にアップロードします。

• 本対応は、SP証明書の厳格な検証を有効にしているIdPのみ影響します。

• オートメーターサービスを使用している環境には影響しません。

• OktaとSingle Logout (SLO) を利用している場合、証明書の更新が必要になることがあります。

SSOからマスターパスワード認証への移行

SSOユーザーをマスターパスワード認証に移行する手順

1. 移行前に、リカバリーフレーズなどのアカウント復旧手段が設定されていることを確認します。

2. 管理コンソールでユーザーをSSOを使用しないノードに移動します。

3. ユーザーにログイン画面から「マスターパスワードを忘れた場合」の手順を実行してもらい、新しいパスワードを設定します。

マスターパスワード認証からSSOへの移行

マスターパスワードユーザーをSSOに移行する手順

1. ユーザーがIDプロバイダ (IdP) で、KeeperのSSOアプリに割り当てられていることを確認します。

2. 管理コンソールでユーザーをSSO対応ノードに移動します。

3. 次回ログイン時、アカウント連携のためユーザーは最後に一度だけマスターパスワードの入力を求められます。以降はSSOのみで認証が行われます。

SSOクラウド証明書の更新

KeeperのSSO証明書は毎年8月に有効期限が切れます。最新の証明書は管理コンソールから取得できます。KeeperのSP証明書を更新する場合は、こちらのページをご参照ください。

SSOコネクト (オンプレミス) 証明書の更新

SSOコネクト (オンプレミス) をご利用の場合、SSL証明書は毎年更新が必要です。有効期限はご利用の証明書によって異なります。SSL証明書に関するエラーが発生した場合は、こちらのページをご参照ください。

SCIMプロビジョニング (自動プロビジョニング)

チームおよびユーザーに関する一般的な不具合

• IdP側で、ユーザーまたはグループが正しいSAMLアプリケーションに割り当てられていることを確認してください。

• IdPからユーザーを招待したり、プロビジョニング済みのグループにユーザーを追加すると、Keeperに対して、ユーザー招待、チームへのユーザー追加、チームの作成などの処理リクエストが送信されます。

• ユーザーがまだKeeper上に存在しない場合、招待メールが送信されるか、ジャストインタイムプロビジョニングが実行されます。

• ただし、ユーザーがKeeperアカウントを作成しても、すぐにはチームに割り当てられない場合があります。以下のいずれかの操作が行われることで反映されます。

(a) 管理者が管理コンソールで「完全同期」を実行します。

(b) 対象チームのユーザーがウェブボルトまたはデスクトップアプリにログインします。

(c) 管理者がKeeperコマンダーで team-approve を実行します。

SCIMによってチームやユーザーが即時作成されない理由は、暗号化モデルによりユーザー間で秘密鍵を共有する必要があるためです。チームキーなどの暗号鍵の共有は、必要な秘密鍵にアクセスできるログイン中のユーザーによってのみ実行されます。

次期バージョンのKeeperオートメーター (v3.0) では、チームおよびチーム割り当ての動的承認に対応予定です。Keeperオートメーターについて詳しくはこちらのページをご参照ください。

SCIMによるチームおよびユーザー割り当ての遅延について

Keeperでは、チームを作成する際に、そのチーム専用の公開鍵/秘密鍵ペアを生成する必要があります。また、ユーザーをチームに割り当てる際には、チームの秘密鍵がユーザーの公開鍵で暗号化されます。これにより、ユーザーは Keeperボルト内でチームフォルダやレコードの鍵を復号できるようになります。Keeperはゼロ知識アーキテクチャを採用しているため、これらの処理は、管理コンソール、ボルト、コマンダーCLI、オートメーターなどの認証済みクライアントから実行される必要があります。

そのため、SCIMを通じてチーム作成やユーザー割り当てが行われた場合、これらの処理は一旦「保留キュー」に入ります。このキューは、認証済みクライアントによって処理され、チームキーの生成やユーザーへの鍵共有が行われます。

現在、チーム作成およびユーザー割り当ては、以下のいずれかのタイミングで実行されます。

• 管理者がKeeper管理コンソールにログインしたとき。

• コマンダーCLI で team-approve コマンドを実行したとき。

• Keeperオートメーターサービス (v3.2以降) を利用している場合。

保留中のチームおよびユーザー割り当てを早く反映させたい場合は、以下の対応を定期的に実施してください。

1. KeeperコマンダーCLIをインストールする。

2. keeper shell でログインする。

3. 以下のコマンドを実行する。

SCIMプロビジョニングエラーについて

SCIMでは、プロビジョニング時に予約済みドメインの使用が必須となります。ドメインがSCIMプロビジョニングには使用できないことを示すエラーや、別のメールドメインを使用することを促すエラーが表示される場合、対象のメールドメインが予約されていない可能性があります。ドメイン予約の申請を行ってください。

詳しくはこちらのページをご参照ください。

コマンダーのスクリプトやコードに関する質問

Keeperコマンダーのトラブルシューティングのページをご参照ください。

お問い合わせ

サポートが必要な場合は、ServiceNowでサポートチケットを作成してください。

サポート担当者との通話をご希望の場合は、その旨を記載してください。営業時間内で調整のうえ通話の時間をご案内します。調整にお時間をいただく場合がありますので、ご了承ください。

緊急サポート

ビジネスのお客様で緊急のサポートが必要な場合は、ServiceNowサポートポータルを必ずご利用ください。サポートフォームで、[早急なサポートを要する緊急事態、機能停止状態、一刻を争う状況] のオプションを選択します。

機能に関するリクエスト

ご意見をお待ちしております。 機能に関するご要望は [email protected] までお寄せください。

Slackワークスペースへの参加

Slackワークスペース (英語) にご参加いただくと、ご質問や弊社へのフィードバックを投稿いただけます。また、ベータ版更新のお知らせもいたします。