管理コンソールの設定

KeeperクラウドSSOコネクトの設定は非常に簡単で、IdPで他のサービスプロバイダを設定したことがあれば数分で完了します。以下の手順に従ってください。

1) Keeper管理コンソールからKeeper管理者としてログインします。 US: https://keepersecurity.com/console EU: https://keepersecurity.eu/console AU: https://keepersecurity.com.au/console CA: https://keepersecurity.ca/console JP: https://keepersecurity.jp/console US GovCloud: https://govcloud.keepersecurity.us/console

2) ログイン後、[管理者] メニューをクリックし、[ノードを追加] を選択します。このノードにSSOユーザーをプロビジョニングします。

3) 新しいノードで [プロビジョニング]タブを選択し、[メソッドを追加] をクリックします。

4) [SSO Connect Cloudを使用したシングルサインオン] を選択し、[次へ] をクリックします。

5) 環境設定名と法人ドメインを入力します。環境設定名はエンドユーザーには表示されず、複数の設定を管理する際の識別に用いる名称です。法人ドメインはログインに使用されるため、一意で覚えやすい名称を選択することを推奨します。

• 環境設定名 内部でのみ使用され、ユーザーには表示されません。

• 法人ドメイン 特定のフローで認証する場合にユーザーが入力します。ドメイン名か任意の固有の文字列となります。

• ジャストインタイムプロビジョニングを有効にする ユーザーがKeeperエンタープライズテナントに自らサインアップできるようにするには、ジャストインタイムプロビジョニング機能を有効にします。デフォルトでは有効になっています。ジャストインタイムプロビジョニングでは、ドメインが予約されている場合、ご利用ドメインのメールアドレスを持つ新しいユーザーは自動的にSSOプロバイダへルーティングされます。 ジャストインタイムSSOプロビジョニングの代わりにKeeper Bridgeを使用してユーザーをプロビジョニングする場合は、OFFにしてください。

6) [保存] をクリックすると、設定の編集画面が自動的に表示されます。

7) 設定の編集画面で、ご利用のIdP (または [GENERIC]) を選択し、そのIDプロバイダからKeeperにメタデータファイルをアップロードして、3つの必須属性マッピングを設定します。なお、SAML 2.0準拠のIDプロバイダであれば利用できます。

ここでは、さらに2つのオプションを設定できます。

• IsPassiveを有効化: IdPから要求されない限り、オフのままにすることを推奨します。

• ForceAuthn: Keeperボルトへログインするたびに新しいSSOログインセッションを強制する場合はオンにします。

• アイデンティティプロバイダ よく使われるIDプロバイダ向けの事前定義設定を選べるよう、ドロップダウンの [IDPタイプ] から選択します。一覧にない場合は、[GENERIC] を選択してください。

• SAMLメタデータ IdPから取得したIdPメタデータファイルをKeeperの設定画面にドラッグアンドドロップします。このファイルには、URLエンドポイントと署名付きアサーションを検証するためのデジタル証明書が含まれます。

• アイデンティティプロバイダ属性マッピング 名、姓、メールアドレスは、デフォルトでは [First]、[Last]、[Email] として渡される想定ですが、変更できます。ご利用のIDプロバイダが、画面に記載されているとおり (大文字と小文字を区別) フィールド名にマッピングしていることを確認してください。

• シングルサインオンエンドポイント環境設定 こちらは詳細設定で、デフォルトでは [HTTP POSTを優先] となっています。

8) IdPの設定の途中で、KeeperからエンティティIDやACS URLなどのパラメータを入力する必要があります。この情報は、前の画面に戻り、[表示] をクリックして開く設定表示画面で確認できます。

この画面に表示されているURLをメモしておいてください。これらのURLをIDプロバイダ内に設定する必要がある場合があります。

• エンティティID 「SPエンティティID (SP Entity ID)」または「発行者 (Issuer)」と表記される場合もあります。基本的には、固有の識別子で双方が認識されている必要があります。多くの場合、エンティティIDはACS URLエンドポイントと同じです。

• Assertion Consumer Serviceエンドポイント (ACS URL) ユーザーの認証後にIDプロバイダがアサーションを送信するKeeperのURLエンドポイントです。Keeperに送信されるデータには、ユーザーがIDプロバイダに正常にサインインしたかどうかを示す署名付きアサーションが含まれます。このアサーションは、IDプロバイダの秘密鍵で署名されています。Keeperでは、IdPメタデータファイルに含まれるIDプロバイダの公開鍵を使用して署名が認証されます。

• シングルログアウトエンドポイント (SLO) KeeperのURLエンドポイントで、IDプロバイダによるログアウトリクエストの送信先となります。シングルログアウトは任意であり、IDプロバイダ側で設定します。

この情報は、Keeper XMLメタデータファイルでも確認できます。このファイルは、[メタデータをエクスポート] をクリックしてダウンロードできます。必要に応じて、このメタデータファイルをIDプロバイダにアップロードしてください。

ドメイン予約とジャストインタイムプロビジョニング

ジャストインタイムプロビジョニングを有効にすると、ボルトのログイン画面でユーザーがメールアドレスを入力して [次へ] をクリックした際に、IDプロバイダへ自動的にルーティングされます。これは、ウェブボルト、デスクトップアプリ、ブラウザ拡張機能、iOSアプリ、Androidアプリなど、すべてのデバイスに適用されます。

Keeperは、gmail.comやyahoo.comなどの「パーソナル」ドメインの一覧を保持しています。これらは予約できず、メールアドレスを検証したうえで、一般の利用者がこれらのドメインのメールアドレスでKeeperアカウントを作成できます。

企業テナント外で予約済みドメインを使用した個人アカウントまたは企業アカウントの作成をエンドユーザーに許可したい場合は、Keeperサポートチームにお問い合わせください。ご希望のドメインのロックを解除します。