トラブルシューティングとよくある質問

インストール中に、SSOコネクトサービスがハングし、起動しません。

互換性のあるJavaバージョンがインストールされていることをご確認ください。 対応するJavaバージョンについては、システム要件ページをご参照ください。 互換バージョンをインストールする前に、既存のすべてのJavaインストールプログラムのアンインストールが必要になる場合があることにご注意ください。

SSOコネクトの設定を変更して、SSL証明書またはIdPメタデータを更新するにはどうすればよいですか。

このガイドのオンプレミスの設定を更新ページで記載されている手順に従ってください。

ADFSを使用していますが、SSOコネクトが停止しています。

ADFSの署名証明書の有効期限は、通常1年間のみです。 ADFSは、最新の証明書に自動的にローテーションする場合があります。 これにより、Keeper SSOコネクトとADFS間の信頼関係が崩れます。 動作を保証するために、新しいFederationMetadata.xmlファイルを生成し、Keeper SSOコネクトにアップロードする必要があります。 この手順を実行して動作を維持できるように、証明書が失効する前にリマインダーを設定することを強くお勧めします。

IdPとしてADFSを使用していますが、ユーザーがKeeperを終了するとログアウトエラーが表示されます。

ログアウトエラーを防ぐには、SAMLログアウトエンドポイントURLを変更してください。

1. ADFSマネージャサーバーで、Keeper SSOコネクトの**[証明書利用者信頼]** プロパティに移動します。

2. [エンドポイント] タブで、SAMLログアウトエンドポイントを編集し、URLを以下のように設定します。 https://<ご利用のADFSサーバーのドメイン名 (YourADFSserverDomain)>/adfs/ls/?wa=wsignout1.0

SSOコネクトサーバーでは、どのような情報を保護する必要がありますか。

SSOコネクトの起動時にdataフォルダが作成されます。このdataフォルダは、Windowsでは C:\ProgramData\Keeper SSO Connect\ に、Linuxではインストールフォルダにあります。

dataディレクトリ内には複数のファイルがあります。このdataフォルダへのアクセスを制限することが重要です。本書の説明にあるHSM (ハードウェアセキュリティモジュール) を利用することで、セキュリティをもう1層追加できます。HSMが使用可能な場合、SSOコネクトのインスタンスごとに暗号鍵が生成され、HSMに安全に保存されます。暗号鍵は data/ フォルダ内のプロパティファイルの暗号化に使用されます。

ユーザーをサインイン画面に直接リンクするにはどうすればよいですか。

ウェブボルトのSSOログイン画面に直接アクセスできるハイパーリンクを送信したい場合は、以下の形式をご使用ください。

xxxxxは、管理コンソールで割り当てられた企業ドメインの名前に置き換えます。

IPの設定を求めるのではなく、SSOサービスをすべてのインターフェースに単にバインドしてはどうでしょうか。

• マルチホームサーバーをご利用のお客様の中には、さまざまな理由からすべてのインターフェースにバインドしたくない場合があるため、IPの設定を求めています。

内部IPが必須であるならば、なぜSSOコネクトでは空白のままでよいのですか。

• 内部IPは必須ではありません。ホスト名をDNSで同じ外部IP、さらにはイントラネット用の内部IPにも解決できる場合は、空白のままにしておいても構いません。SSOを社内で厳重に運用するお客様の場合、FQDNを内部IPに解決しています。そのため、内部IPフィールドは空白のままでも構いません。これは、お客様の設定によります。

HA SSOコネクトサーバーを設定するとき、またはクラウド同期でSSOコネクトサーバーの設定を復元するときに、プライベートIPアドレスを求められません。

これは設計によるものです。プライベートIPはSSOコネクトのローカルインスタンスに固有の値です。「サーバー1」のプライベートIPが同期された状態で「サーバー2」が認証してSSO Connect Configを同期すると、「サーバー2」が「サーバー1」のIPを誤って使用してしまいます。このため、1台目 (およびその他) のSSOコネクトサーバーのプライベートIPは保持されません。

ユーザーがSSOを使用して認証すると、**[無効なSAMLレスポンス]**というエラーが表示されます。

IdPでもKeeper SSOコネクト内でも何も変更されていない場合、最も可能性の高い原因は、SSOコネクトの時計が変更され、システム時刻が2分以上ずれていることです。旧バージョンのSSOコネクトでは、時刻がずれるとこのメッセージを表示しますが、最新バージョンのSSOコネクトでは以下の詳細なエラーが表示されます。[SAML検証エラー (SAML Validation error): システム時刻が2分以上ずれています]。SSOコネクトサーバーの時計をNTPと同期することをお勧めします。 このエラーに関して考えられるもう1つの原因は、IdPからのメタデータがSSOコネクト上のデータと異なる場合です。この場合SAML証明書が同期されず、信頼されない状態になります。

SSOユーザー以外はマスターパスワードを変更できないのはなぜですか。

• ノードでSSOコネクトが有効になっている場合、そのノードおよびサブノードのすべてのユーザーに対して、マスターパスワードの変更が禁止されます。これは、SSOユーザーがIdPによる認証を回避するのを防ぐためです。

ユーザーを招待したのですが、SSOコネクトでボルトを作成できないのはなぜでしょうか。

• 初めてログインする際は、ウェブまたはデスクトップアプリケーションのいずれかでオンボーディングプロセスを実行する必要があります。ブラウザ拡張機能では新規ユーザーのオンボーディングはできませんが、既存ユーザーの認証は可能です。

新規ユーザーが初めて接続しようとすると、以下のようなエラーが表示されます。 {“result_code”: ”does_not_exist”, ”message”: ”This user does not exist”}

• このエラーには2つの原因が考えられます。招待されたユーザーが管理コンソール内のSSO対応ノードに存在していないか、またはIdPのメールアドレスが招待されたユーザーのメールアドレスと一致していません。 最初の問題に関しては、ユーザーをSSO対応ノードに移動して、再試行してもらいます。 2番目の問題に関しては、SSOアカウントのメールアドレスが招待されたユーザーと同じであることをご確認ください。異なる場合は、IdPから取得したメールアドレスで新しいアカウントが作成されます。

Linuxで/tmpに書き込むとエラーが表示されます。どうすれば解決できますか。

• Linuxシステムでは、 /tmp に実行権限が必要です。 /tmp に実行権限がない場合、 java -jar SSOConnect.jar を実行すると、以下のような例外が表示される場合があります: java.lang.UnsatisfiedLinkError: /tmp/sqlite...

この問題を解決するには、 chmod a+x /tmp コマンドを使用して、 /tmp に実行権限を付与してください。

SSOと標準の両方の方法でログインできますか。

• 企業では、ノード別に一部のユーザーは標準ログインに設定し、その他のユーザーはSSOを使用するように設定できます。 Keeper管理コンソールでロールポリシーを設定して、SSOユーザーがマスターパスワードを作成してオフラインでもログインできるようにすることもできます。

フェデレーションユーザーをローカルユーザーに変換する、つまり、SSOアクセスを無効にしてユーザーに標準ログイン (ユーザー名/マスターパスワード) させるにはどうすればよいですか。

• 管理コンソールで、ユーザーをSSO対応ノードからSSOのプロビジョニングが強制されていないノードに移動します。

• 移行後、ユーザーは**[パスワードをお忘れの場合]**リンクからアカウント回復を行い、標準ログイン用のマスターパスワードを設定する必要があります。Keeperアカウントに登録されているメールアドレスに回復コードが届きます。コードを入力すると、ボルト作成時に設定したリカバリーフレーズの入力を求められ、新しいマスターパスワードを作成できます。

IdPでメールアドレスを変更してから、SSOで認証する場合、Keeperですべき作業は何ですか。

• IdPとKeeperの両方で、メールアドレスに基づいて同一ユーザーであることを識別する必要があります。そのため、一方のメールアドレスだけを変更した場合、認証は機能しません。IdPとKeeperの双方で、メールアドレスの変更を連携して行う必要があります。

• Keeper側では、ユーザーのみがメールアドレスを変更できます (メールアドレスの変更を禁止するロールベースの強制がそのユーザーに適用されていないことを確認します)。Keeperでメールアドレスを変更するには、 設定 (Settings) > 全般 (General) > メールアドレス (Email Address) - 今すぐリセット (Reset Now) をクリックします。

• ユーザーはメールで変更の確認を求められます。

• ユーザーがメールアドレスを変更したら、SSO IdPのメールアドレスも変更されていることを確認します。

• アドレスの変更後、管理者はSSOコネクトサーバーで同期を実行する必要があります。

Chrome、Firefox、デスクトップアプリケーションを使用して、KeeperにSSOでログインできますが、IEでは接続できません。なぜでしょうか。

• IEには複数のセキュリティゾーンがあるため、ドメイン間のリダイレクト処理が困難です。IEをSSOと正常に連携させるには、セキュリティゾーンの設定が必要です。 これらのセキュリティゾーン設定は、管理者から配信するか、許可されている場合は手動で設定できます。 設定については、信頼できるサイトポリシーのセクションをご参照ください。

SSOコネクトをインストールすると、http://127.0.0.1:8080/config/の設定ページに**[このページに到達できません]**というメッセージが表示されます。

• JREがインストール済みで、サーバーが再起動された場合、このエラーの原因は、IISのような競合サービスが8080ポートをリッスンしていることである可能性が非常に高いです。 競合を解消するには、必要でない場合はIISをアンインストールしてもよいですし、SSOコネクトが設定ページに使用するポートを変更してもよいです。

• SSOコネクトサービスを実行中の場合は停止します。

• 以下の場所にあるinstance.propertiesファイルを編集します。

• admin_portのポート番号を変更します (8081)。

• SSOコネクトサービスを再起動し、新たに定義したポート (http://127.0.0.1:8081/config/) で管理者ページを再度開きます。

Keeper SSOコネクトのログファイルはどこにありますか。

• Microsoftサーバーにインストールした場合、ログファイルはシステムの隠しディレクトリにあります。このディレクトリにアクセスするには、ファイルエクスプローラーに以下のパスを入力します。

• Linuxディストリビューションでは、ログは以下のsso_connectフォルダにありますが、基本的なインストールパスによって異なります。

SSOコネクトを最新バージョンにアップグレードする手順を教えてください。

• 本ページのSSOコネクトをアップグレードをご参照ください。

ユーザーがKeeperからログアウトすると、すべてのSAML接続アプリケーションとIdPからもログアウトされます。

シングルログアウト (SLO) を無効にするには、IdPメタデータファイルを編集して、Keeper SSOコネクトサーバーに入力されるメタデータにある以下の行を削除してください。 <md:SingleLogoutServiceBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-sso_connect:8443/sso-connect/saml/slo"/>

SSOコネクトサーバーにファイルを再インポートします。

デスクトップアプリにログインすると、白い画面またはエラーが表示されます

SSOを使用してKeeperにログインしたときに、ダイアログに白い画面またはエラーメッセージが表示される場合は、Keeper SSOコネクトの設定で無効または自己署名のSSL証明書を使用した可能性があります。

Keeperデスクトップアプリケーションと一部のデバイスおよびウェブブラウザは自己署名証明書を受け付けないため、エラーが発生します。 適切な署名付きSSL証明書 (ワイルドカード証明書またはドメイン固有証明書) を使用するようにKeeper SSOコネクトのインスタンスを再設定してください。SSL証明書には、ChromeやSafariなどのブラウザで認識される、信頼できるパブリック認証局の署名が必要です。

SSOでログインしようとすると、ウェブボルトでわかりにくいエラーが表示されます。

以下のようなエラーメッセージが表示される場合は、別のタブやウィンドウで管理者アカウントまたは別のユーザーアカウントを使いKeeperにログインしている可能性が高いです。SSO環境をテストまたは設定している最中に、管理者としてKeeperにもログインしていると、混乱する可能性があります。

これらのエラーを回避するには、別のウェブブラウザ (Firefoxなど) を使用して、管理者としてKeeperにログインするか、またはKeeperデスクトップアプリをダウンロードし、そのアプリを使用して SSO環境を設定することをお勧めします。