# その他のSAML 2.0プロバイダ

{% hint style="success" %}
最初に[管理コンソールの設定](/sso-connect-cloud/jp/admin-console-configuration.md)の手順を完了してください。
{% endhint %}

Keeperは、すべてのSAML 2.0 SSO IDプロバイダ (IdP) と互換性があります。ご利用のIDプロバイダがリストにない場合は、このガイドの手順に従って設定を完了してください。この設定において、Keeperはサービスプロバイダ (SP) です。

### 手順1. IDプロバイダを設定

KeeperクラウドSSOコネクトについて、以下のような情報をIDプロバイダのアプリケーションに提供する必要があります。

* **エンティティID**
* **IdPが起点となるログインエンドポイント**
* **ACS (Assertion Consumer Service) エンドポイント**
* **シングルログアウト (SLO) サービスエンドポイント**
* **SPメタデータ**ファイルまたはKeeper **SP証明書**ファイル

この情報を取得するには、Keeper管理コンソール内でSSO Connect Cloudプロビジョニングメソッドを見つけて、**表示** (View) を選択します。 そこから、Keeperメタデータファイル、サービスプロバイダ (SP) 証明書ファイル、およびダイレクトURLと設定情報をダウンロードできます (IDプロバイダアプリケーションがメタデータファイルのアップロードをサポートしていない場合）。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FjFDljdQX4BJ4DvL985cx%2Fimage.png?alt=media&#x26;token=834d46dd-8dd5-464d-b080-a279106b1405" alt=""><figcaption><p>KeeperクラウドSSOコネクトのプロビジョニングメソッドを表示</p></figcaption></figure>

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FlYAJa1Yw7VUViuepChZY%2Fimage.png?alt=media&#x26;token=478124b3-4cba-458b-9fe6-f80398c504e9" alt=""><figcaption><p>KeeperクラウドSSOコネクトの設定情報</p></figcaption></figure>

サービスプロバイダのメタデータをアップロードする方法、または必要なSAMLレスポンス設定フィールドに手動で入力する方法については、IDプロバイダのアプリケーション設定ガイドをご参照ください。

### 手順2. IdPメタデータを取得

IdPメタデータをKeeperにインポートするには、正しく書式設定されたメタデータファイルが必要です。 ご利用のSSO IDプロバイダのアプリケーションがメタデータファイルをエクスポートできる場合、これがKeeperクラウドSSOコネクトプロビジョニングメソッドにメタデータをインポートするための最も便利でお勧めの方法でしょう。

ご利用のIDプロバイダからメタデータファイルをエクスポート/ダウンロードできない場合は、正しく書式設定されたメタデータファイルを作成してください。 **手順については、SSOアプリケーションの設定ガイドをご参照ください。**

KeeperクラウドSSOコネクトに対応したIDプロバイダのシンプルなmetadata.xmlファイルの書式のサンプル/テンプレートを以下に示します。 このサンプル/テンプレートを使用して作成を開始する場合は、お好みの.xmlや.txt用のエディターで、ご利用のIdPの情報に従って、その他のフィールドをコピー、貼り付け、修正、追加してください。

{% hint style="warning" %}
この例に含まれているフィールドは、SSOアプリケーションをKeeperに接続するために最低限必要なものなので、どのフィールドも削除「しない」でください。
{% endhint %}

```markup
<?xml version="1.0" encoding="UTF-8"?>
<md:EntityDescriptor entityID="MySSOApp" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata">
    <md:IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" WantAuthnRequestsSigned="true">
        <md:KeyDescriptor use="signing">
            <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <ds:X509Data>
                    <ds:X509Certificate>MIIDpDCCAoygAwIBAgIGAW2r5jDoMA0GCSqGSIb3DQEBCwUAMIGSMQswCQYDVQQGEwJVUzETMBEG
                        A1UECAwKQ2FsaWZvcm5pYTEWMBQGA1UEBwwNU2FuIEZyYW5jaXNjbzENMAsGA1UECgwET2t0YTEU
                        MBIGA1UECwwLU1NPUHJvdmlkZXIxEzARBgNVBAMMCmRldi0zODk2MDgxHDAaBgkqhkiG9w0BCQEW
                        DWluZm9Ab2t0YS5jb20wHhcNMTkxMDA4MTUwMzEyWhcNMjkxMDA4MTUwNDEyWjCBkjELMAkGA1UE
                        BhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExFjAUBgNVBAcMDVNhbiqGcmFuY2lzY28xDTALBgNV
                        BAoMBE9rdGExFDASBgNVBAsMC1NTT1Byb3ZpZGVyMRMwEQYDVQQDDApkZXYtMzg5NjA4MRwwGgYJ
                        KoZIhvcNAQkBFg1pbmZvQG9rdGEuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA
                        hr4wSYmTB2MNFuXmbJkUy4wH3vs8b8MyDwPF0vCcjGLl57etUBA16oNnDUyHpsY+qrS7ekI5aVtv
                        a9BbUTeGv/G+AHyDdg2kNjZ8ThDjVQcqnJ/aQAI+TB1t8bTMfROj7sEbLRM6SRsB0XkV72Ijp3/s
                        laMDlY1TIruOK7+kHz3Zs+luIlbxYHcwooLrM8abN+utEYSY5fz/CXIVqYKAb5ZK9TuDWie8YNnt
                        7SxjDSL9/CPcj+5/kNWSeG7is8sxiJjXiU+vWhVdBhzkWo83M9n1/NRNTEeuMIAjuSHi5hsKag5t
                        TswbBrjIqV6H3eT0Sgtfi5qtP6zpMI6rxWna0QIDAQABMA0GCSqGSIb3DQEBCwUAA4IBAQBr4tMc
                        hJIFN2wn21oTiGiJfaxaSZq1/KLu2j4Utla9zLwXK5SR4049LMKOv9vibEtSo3dAZFAgd2+UgD3L
                        C4+oud/ljpsM66ZQtILUlKWmRJSTJ7lN61Fjghu9Hp+atVofhcGwQ/Tbr//rWkC35V3aoQRS6ed/
                        QKmy5Dnx8lc++cL+goLjFVr85PbDEt5bznfhnIqgoPpdGO1gpABs4p9PXgCHhvkZSJWo5LobYGMV
                        TMJ6/sHPkjZ+T4ex0njzwqqZphiD9jlVcMR39HPGZF+Y4TMbH1wsTxkAKOAvXt/Kp77jdj+slgGF
                        gRfaY7OsPTLYCyZpEOoVtAyd5i6x4z0c</ds:X509Certificate>
		             </ds:X509Data>
            </ds:KeyInfo>
	      </md:KeyDescriptor>
	      <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
        <md:SingleSignOnService Location="https://sso.mycompany.com/saml2/keepersecurity"
	            Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>
        <md:SingleSignOnService Location="https://sso.mycompany.com/saml2/keepersecurity"
	            Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>
    </md:IDPSSODescriptor>
</md:EntityDescriptor>
```

| 名前                                 | 説明                                                                                                                                                                                                                                          |
| ---------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **EntityDescriptor**               | これは**エンティティID**で、**発行者** (Issuer) と表記される場合もあり、IdPアプリケーションに固有の名前です。                                                                                                                                                                          |
| **X509Certificate**                | これは**X509証明書**で、IDプロバイダから送信されたSAMLレスポンスの署名を検証するためにKeeperが使用します。                                                                                                                                                                             |
| **NameIDFormat**                   | <p>Keeperにログインするときに使用する名前識別子の形式を定義します。 Keeperは以下の種類の識別子をサポートしています。</p><p><strong>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</strong></p><p>または</p><p><strong>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</strong></p> |
| **SingleSignOnService "POST"**     | これは、Keeper からのリクエストに対するレスポンスとして使用されるIDプロバイダの「**POST**」バインディングです。                                                                                                                                                                            |
| **SingleSignOnService "Redirect"** | これは、Keeper からのリクエストに対するレスポンスとして使用されるIDプロバイダの「**Redirect**」バインディングです。                                                                                                                                                                        |

### 手順3. ユーザー属性をマッピング

Keeperでは、認証中に送信される特定の**ユーザー属性**をマッピングする必要があります。 KeeperクラウドSSOコネクトのデフォルトのユーザー属性は、以下の表に示した**Email**、**First**、**Last**です。 IDプロバイダのユーザー属性がKeeperの属性と一致するようにしてください。 **手順については、ご利用のIDプロバイダの設定ガイドをご参照ください。**

| IdPのユーザー属性        | Keeperのユーザー属性 |
| ----------------- | :-----------: |
| `<Email Address>` |     Email     |
| `<First Name>`    |     First     |
| `<Last Name>`     |      Last     |

### 手順4. IdPメタデータをKeeperにアップロード

IDプロバイダのメタデータファイルの作成、またはIDプロバイダのメタデータファイルのダウンロードが完了したら、Keeper管理コンソールに戻り、SSO Connect Cloudプロビジョニングメソッドを見つけて、**編集** (Edit) を選択します。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FHYosQnDDNvuBHMFda8gm%2Fimage.png?alt=media&#x26;token=fb861f8c-fd07-4b30-aec7-2b192f2992ac" alt=""><figcaption><p>SSOプロビジョニングメソッドを編集</p></figcaption></figure>

**IDプロバイダ** (Identity Provider) セクションまで下にスクロールし、IDPタイプ (IDP Type) を**汎用** (GENERIC) に設定して、**ファイルを参照** (Browse Files) を選択し、作成したメタデータファイルを選択します。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2F5EKEyDpzGGg2x2PsCjy2%2Fimage.png?alt=media&#x26;token=e47447c9-cd36-4540-a9f6-2aaf487409e9" alt=""><figcaption><p>メタデータファイルをアップロード</p></figcaption></figure>

引き続き、Keeper管理コンソール内のSSO Connect Cloudプロビジョニングメソッドで、**編集 (Edit) ビュー**を終了して、**表示** (View) を選択します。 **IDプロバイダ (Identity Provider)** セクション内の**エンティティID (Entity ID）、シングルサインオンサービス (Single Sign On Service）**、**シングルログアウトサービスエンドポイント (Single Logout Service Endpoint)** のメタデータ値が入力されたことを確認できます。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FZlwS2kdK7LTxDsXqNRl4%2Fimage.png?alt=media&#x26;token=3c80f896-5aff-47cf-a06b-3cbedc9bdc07" alt=""><figcaption><p>SSOアプリケーションのメタデータ</p></figcaption></figure>

### グラフィックアセット

IDプロバイダがアプリケーションのアイコンやロゴファイルを必要とする場合は、[グラフィックアセットページ](/sso-connect-cloud/jp/graphic-assets.md)をご参照ください。

{% hint style="success" %}
成功です。 これで**Keeper Security SSO Cloud**の設定が完了しました。 これで、SSOを使用してKeeperへのログインを試すことができます。
{% endhint %}

アプリケーションが機能していない場合は、IDプロバイダのアプリケーション設定を見直し、メタデータファイルとユーザー属性にエラーがないか確認してください。

確認が済んだら、**手順4**を繰り返します。

サポートが必要な場合は、<enterprise.support@keepersecurity.com>までメールでご相談ください。

#### 既存のユーザー/初期管理者をSSO認証に移動

ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。

{% hint style="warning" %}
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
{% endhint %}

ユーザーがSSO対応ノードに移動した後、最初に\[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FbFfZY4rbYjOifBvaah9Y%2FJP_EG_EnterpriseSsoLogin1.png?alt=media&#x26;token=3c39d50f-e749-4a05-8883-9afa927613f1" alt=""><figcaption><p>まず[法人SSOログイン]を選択</p></figcaption></figure>

SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます

<figure><img src="https://1914737032-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-Mfd2v-YT48Ljtykb8qm%2Fuploads%2FoaGsiuYsApEp4F3pzZDj%2FJP_EG_EnterpriseSsoLogin2.png?alt=media&#x26;token=f8c42ae7-f133-4690-bcbf-6c8e6b539eca" alt=""><figcaption></figcaption></figure>

法人ドメインを入力する必要はありません。メールアドレスを入力し&#x3066;**\[次へ]**&#x3092;クリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、[こちら](/enterprise-guide/jp/domain-reservation.md)をご覧ください。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/sso-connect-cloud/jp/identity-provider-setup/generic-saml-2.0.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.