# Entra ID (Azure AD) {% hint style="success" %} 最初に[管理コンソールの設定](/sso-connect-cloud/jp/admin-console-configuration.md)の手順を完了してください。 {% endhint %}

### 概要 Keeperは、すべてのMicrosoft Azure AD / Entra ID環境と互換性があり、SAML 2.0認証および自動プロビジョニングに対応しています。 * Keeperアプリケーション (ウェブボルト、KeeperFill、Keeperデスクトップ、iOS/Android用Keeperなど) は、条件付きアクセスポリシーに完全対応しています。 * Keeperでは商用 (portal.azure.com) とAzure Governmentクラウド (portal.azure.us) の両方の環境がサポートされています。 ### Azureの設定 AzureにクラウドSSOコネクトを設定する手順の詳細については以下の動画をご覧ください。 {% embed url="" %} AzureにSSO Connect Cloudを設定 {% endembed %} 以下の手順を実行します。 1. Keeper Enterpriseアプリケーションを追加からAzure Adminアカウントへ移動し、**\[Azure Active Directory] > \[Enterprise Applications]** (エンタープライズアプリケーション) をクリックします。SCIMプロビジョニング用にKeeperアプリケーションがすでに設定されている場合は、既存のアプリケーションを編集します。 {% hint style="info" %} 米国の公的機関の場合はへログインして同じ手順を実行します。 {% endhint %}

2. **\[New Application]** (新規のアプリケーション) をクリックし、Keeperを検索して**Keeper Password Manager**を選択します。

3. **\[Create]** (作成) をクリックしてアプリケーションを作成します。 4. **\[Set up single sign on]** (シングルサインオンの設定) をクリックしてから **\[SAML]** をクリックします。 {% hint style="info" %} SAMLメタデータをエクスポートする前に、対象ノードでSSOプロビジョニング方式が必ず構成されている必要があります。以下をご確認ください。 {% endhint %} * Keeper管理コンソールを開き、**\[管理者]** 画面に移動します。 * 対象ノードを選択し、**\[プロビジョニング]** タブをクリックします。 * **\[SSO Connect Cloud]** を選択して **\[次へ]** をクリックします。 * 必要な構成情報を入力し、**\[次へ]** をクリックします。 * すると、**\[メタデータのエクスポート]** ボタンが表示され、ダウンロードできるようになります。 ![](/files/tatOOBduMsjOWEsVa0Zm)

5. **\[Upload metadata file]** (メタデータファイルのアップロード) ボタンを選択してKeeper管理コンソールからダウンロードしたばかりのファイルを選択します。

**\[Add]** (追加) ボタンを押してAzureインターフェースにメタデータファイルをアップロードします。

6. AzureのSAML設定画面が表示されます。

{% hint style="info" %} Sign on URL (サインオンURL) 蘭が空白なので赤いエラーが表示されます。 {% endhint %} エラーを修正するには、管理コンソールのクラウドSSOインスタンスの詳細]画面で **\[IDP起点のログインエンドポイント]** のURLをコピーし、**\[Sign on URL]** (サインオンURL) 蘭に貼り付けます。

IdP-initiated方式のログインエンドポイントをサインオンURL蘭にコピーする

![](/files/xWHuI6ZxXPMdPU9cHqCp) **シングルログアウトサービスエンドポイント (SLO)** KeeperのURLエンドポイントで、IDプロバイダからのログアウトリクエストの送信先となります。シングルログアウトは任意で、IDプロバイダ側で設定します。

IDプロバイダを使用したKeeper起点のシングルログアウトの制御については、[こちら](/sso-connect-cloud/jp/logout-configuration.md)をご参照ください。デフォルトでは、ログアウト後にKeeperが強制的にEntra/Azureからのログアウトセッションを行います。この動作が発生しないようにしたい場合は、AzureメタデータファイルをKeeper にアップロードする前に編集し、SingleLogoutServiceの行を削除します。セキュリティ上の理由から、この行はそのまま含めておくことを推奨します。

7. **\[Save]** (保存) をクリックしてからSAML設定ウィンドウを閉じます。

8. 保存後、設定のテストを求められますがテストは行わなず、数秒待ってからウェブブラウザでAzureポータルページを更新します。これで、**\[SAML Signing Certificate]** (署名証明書) の箇所に証明書の項目が表示されます。 **\[Federation Metadata XML]** (フェデレーションメタデータXML) の箇所の **\[Download]** (ダウンロード) をクリックします。

9. メタデータファイルをKeeper管理コンソールにアップロードします。管理コンソールで、**\[IDPタイプ]** にAzureを選択し、手順9で保存したフェデレーションメタデータファイルをインポートします。

10. **\[User Attributes & Claims]** (ユーザー属性と要求) を編集します。

**\[User Attributes]** (ユーザー属性) セクションでは、AzureがユーザーID、名、姓、メールに対する要求を自動的に作成します。 **\[Additional clams]** (追加要求) セクションの4つの要求は不要ですので、削除してください。

{% hint style="info" %} ご利用の環境で、**user.userprincipalname** (UPN) がユーザーの実際のメールアドレスと異なる場合は、メール要求を編集してメール属性の値を**user.mail**に変更できます。 {% endhint %} ### ForceAuthnの設定 Keeper管理コンソールで、IDプロバイダとの新しいログインセッションを実施するオプションがご利用になれます。SAMLリクエストでForceAuthn="true" が設定されていると、ユーザーがすでに認証されている場合でもサービスプロバイダ (Keeper) から新しい認証済みセッションを強制しなければならない旨IDプロバイダに伝えます。セキュリティポリシーやエンドユーザー環境によっては望ましい動作となります。

### 証明書更新のリマインダ Entra ID / Azure AD のSAML署名証明書は1年後に失効します。 {% hint style="warning" %} 証明書の有効期限前に更新できるよう、カレンダーでリマインダを設定しておきましょう。更新が終わるまでKeeperユーザーはログインできなくなります。 {% endhint %} 証明書の更新手順については、[こちらのページ](/sso-connect-cloud/jp/certificate-renewal.md)をご参照ください。 ### ユーザープロビジョニング手動または自動のプロビジョニングを使用して、AzureポータルからKeeperにユーザーをプロビジョニングできます。 #### 手動 Keeperパスワードマネージャに特定のユーザーまたはグループのみを割り当てる場合は、以下の設定を変更する必要があります。Azureコンソールで、**\[Azure Active Directory] > \[Enterprise Applications]** (エンタープライズアプリケーション) **> Keeper Password Manager**へ進み、**\[Properties]** (プロパティ) を選択します。

**\[User assignment required]** (ユーザーの割り当てが必要ですか) を **\[Yes]** (はい) に変更して保存します。これにより、アプリケーションに割り当てられたユーザーとグループのみが使用できるようになります。

**\[Users and groups]** (ユーザーおよびグループ) の箇所で、Keeperアプリケーションにプロビジョニングするユーザーやグループを選択します。

#### SCIMを使用した自動プロビジョニング {% hint style="info" %} 詳細については[こちら](/enterprise-guide/jp/user-and-team-provisioning/azure-ad-provisioning-scim.md)ををご参照ください。 {% endhint %} #### 既存のユーザー/初期管理者をSSO認証に移行ルートノード (最上位レベル) で作成されたユーザーについては、SSO連携が設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスするときにマスターパスワードの入力を求められます。管理者はSSO対応ノードに自ら移動できません。移動するには、別の管理者が必要となります。 ### メールでのボルトへのログインジャストインタイムプロビジョニングが有効になっている[予約済みドメイン](/enterprise-guide/jp/domain-reservation.md)の場合、ボルトへのログイン画面でメールアドレスを入力するだけで正しいSSOプロバイダにルーティングされます。ここからボルトを作成するか、既存のボルトにログインできます。

### 法人ドメインでボルトへのログインドメインが予約されていない場合、最初に **\[法人SSOログイン]** を選択し、SSO統合で設定された法人ドメインを入力することでKeeperボルトへログインできます。ユーザーが最近非SSOノードからSSOノードに移動した場合、マスターパスワードの入力を求められる場合があります。

ユーザーがSSO認証されると、それ以後はメールアドレスを使用するだけでSSO認証を開始できます。

メールアドレスを入力して **\[次へ]** をクリックしても目的のSSOにルーティングされない場合は、KeeperのSSO設定でジャストインタイムプロビジョニングが有効になっていることを確認し、メールドメインがKeeperによって予約されていることを確かにします。ルーティングとドメイン予約の詳細については、[こちら](/enterprise-guide/jp/domain-reservation.md)を参照してください。 ### IdP起点のログイン Keeperは、AzureのIdP起点のログインをサポートしています。以下のURLからアプリケーションダッシュボードへ移動します。 \ \ これにより、割り当てられたKeeperのアプリケーションがロードされ、アイコンをクリックできるようになります。

MicrosoftアプリケーションダッシュボードからのAzure IdP-initiated方式によるログイン

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/sso-connect-cloud/jp/identity-provider-setup/azure-o365-keeper.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.