> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/sso-connect-on-prem/jp/faqs.md).

# トラブルシューティングとよくある質問

#### インストール中に、SSOコネクトサービスがハングし、起動しません。 <a href="#during-installation-the-sso-connect-service-hangs-and-doesnt-start" id="during-installation-the-sso-connect-service-hangs-and-doesnt-start"></a>

互換性のあるJavaバージョンがインストールされていることをご確認ください。 対応するJavaバージョンについては、[システム要件](/sso-connect-on-prem/jp/system-requirements.md)ページをご参照ください。 互換バージョンをインストールする前に、既存のすべてのJavaインストールプログラムのアンインストールが必要になる場合があることにご注意ください。

#### SSOコネクトの設定を変更して、SSL証明書またはIdPメタデータを更新するにはどうすればよいですか。 <a href="#how-to-make-changes-to-my-sso-connect-configuration-to-update-the-ssl-certificate-or-idp-metadata" id="how-to-make-changes-to-my-sso-connect-configuration-to-update-the-ssl-certificate-or-idp-metadata"></a>

このガイドの[オンプレミスの設定を更新](/sso-connect-on-prem/jp/updating-the-sso-connect-configuration.md)ページで記載されている手順に従ってください。

#### ADFSを使用していますが、SSOコネクトが停止しています。 <a href="#we-use-adfs-and-our-sso-connect-is-down" id="we-use-adfs-and-our-sso-connect-is-down"></a>

ADFSの署名証明書の有効期限は、通常1年間のみです。 ADFSは、最新の証明書に自動的にローテーションする場合があります。 これにより、Keeper SSOコネクトとADFS間の信頼関係が崩れます。 動作を保証するために、新しい[FederationMetadata.xmlファイル](/sso-connect-on-prem/jp/identity-provider-setup/ad-fs-configuration.md#obtain-federation-metadata-xml)を生成し、Keeper SSOコネクトにアップロードする必要があります。 この手順を実行して動作を維持できるように、証明書が失効する前にリマインダーを設定することを強くお勧めします。

#### IdPとしてADFSを使用していますが、ユーザーがKeeperを終了するとログアウトエラーが表示されます。 <a href="#our-idp-is-adfs-when-my-users-exit-keeper-they-receive-a-logout-error" id="our-idp-is-adfs-when-my-users-exit-keeper-they-receive-a-logout-error"></a>

ログアウトエラーを防ぐには、SAMLログアウトエンドポイントURLを変更してください。

1. ADFSマネージャサーバーで、Keeper SSOコネクトの\*\*\[証明書利用者信頼]\*\* プロパティに移動します。
2. **\[エンドポイント]** タブで、SAMLログアウトエンドポイントを編集し、URLを以下のように設定します。 https\://**<ご利用のADFSサーバーのドメイン名 (YourADFSserverDomain)>**/adfs/ls/?wa=wsignout1.0

{% hint style="info" %}
別のページ (<https://keepersecurity.com/vault> など) にリダイレクトしたい場合は異なるURLを設定できますが、ADFSサイトであればログオフしたことをユーザーに通知してくれるため、こちらをお勧めします。
{% endhint %}

#### SSOコネクトサーバーでは、どのような情報を保護する必要がありますか。 <a href="#what-information-needs-to-be-secured-on-the-sso-connect-server" id="what-information-needs-to-be-secured-on-the-sso-connect-server"></a>

SSOコネクトの起動時にdataフォルダが作成されます。このdataフォルダは、Windowsでは `C:\ProgramData\Keeper SSO Connect\` に、Linuxではインストールフォルダにあります。

dataディレクトリ内には複数のファイルがあります。このdataフォルダへのアクセスを制限することが重要です。本書の説明にあるHSM (ハードウェアセキュリティモジュール) を利用することで、セキュリティをもう1層追加できます。HSMが使用可能な場合、SSOコネクトのインスタンスごとに暗号鍵が生成され、HSMに安全に保存されます。暗号鍵は `data/` フォルダ内のプロパティファイルの暗号化に使用されます。

#### **ユーザーをサインイン画面に直接リンクするにはどうすればよいですか。** <a href="#how-do-we-link-users-directly-to-the-sign-in-screen" id="how-do-we-link-users-directly-to-the-sign-in-screen"></a>

ウェブボルトのSSOログイン画面に直接アクセスできるハイパーリンクを送信したい場合は、以下の形式をご使用ください。

```
https://keepersecurity.com/vault/#provider_name/xxxxx
```

xxxxxは、管理コンソールで割り当てられた企業ドメインの名前に置き換えます。

{% hint style="info" %}
EUリージョンでホストされている場合は、**keepersecurity.eu**をご使用ください。

AUリージョンでホストされている場合は、**keepersecurity.com.au**をご使用ください。

US GOVリージョンでホストされている場合は、**govcloud.keepersecurity.us**をご使用ください。
{% endhint %}

#### **IPの設定を求めるのではなく、SSOサービスをすべてのインターフェースに単にバインドしてはどうでしょうか。** <a href="#why-dont-you-just-bind-the-sso-service-to-all-interfaces-rather-than-require-me-to-provide-an-ip" id="why-dont-you-just-bind-the-sso-service-to-all-interfaces-rather-than-require-me-to-provide-an-ip"></a>

* マルチホームサーバーをご利用のお客様の中には、さまざまな理由からすべてのインターフェースにバインドしたくない場合があるため、IPの設定を求めています。

#### **内部IPが必須であるならば、なぜSSOコネクトでは空白のままでよいのですか。** <a href="#if-an-internal-ip-is-required-why-does-sso-connect-let-me-leave-it-blank" id="if-an-internal-ip-is-required-why-does-sso-connect-let-me-leave-it-blank"></a>

* 内部IPは必須ではありません。ホスト名をDNSで同じ外部IP、さらにはイントラネット用の内部IPにも解決できる場合は、空白のままにしておいても構いません。SSOを社内で厳重に運用するお客様の場合、FQDNを内部IPに解決しています。そのため、内部IPフィールドは空白のままでも構いません。これは、お客様の設定によります。

#### HA SSOコネクトサーバーを設定するとき、またはクラウド同期でSSOコネクトサーバーの設定を復元するときに、プライベートIPアドレスを求められません。 <a href="#when-i-set-up-an-ha-sso-connect-server-or-recover-my-sso-connect-server-configuration-from-the-cloud" id="when-i-set-up-an-ha-sso-connect-server-or-recover-my-sso-connect-server-configuration-from-the-cloud"></a>

これは設計によるものです。プライベートIPはSSOコネクトのローカルインスタンスに固有の値です。「サーバー1」のプライベートIPが同期された状態で「サーバー2」が認証してSSO Connect Configを同期すると、「サーバー2」が「サーバー1」のIPを誤って使用してしまいます。このため、1台目 (およびその他) のSSOコネクトサーバーのプライベートIPは保持されません。

{% hint style="danger" %}
プライベートIPアドレスが必要なのに設定されていない場合、SSOコネクトサービスは\*\*\[停止]\*\*状態になります。
{% endhint %}

#### ユーザーがSSOを使用して認証すると、\*\*\[無効なSAMLレスポンス]\*\*というエラーが表示されます。 <a href="#when-users-authenticate-via-sso-they-receive-an-error-stating-invalid-saml-response" id="when-users-authenticate-via-sso-they-receive-an-error-stating-invalid-saml-response"></a>

IdPでもKeeper SSOコネクト内でも何も変更されていない場合、最も可能性の高い原因は、SSOコネクトの時計が変更され、システム時刻が2分以上ずれていることです。旧バージョンのSSOコネクトでは、時刻がずれるとこのメッセージを表示しますが、最新バージョンのSSOコネクトでは以下の詳細なエラーが表示されます。**\[SAML検証エラー (SAML Validation error): システム時刻が2分以上ずれています]**。SSOコネクトサーバーの時計をNTPと同期することをお勧めします。\
\
このエラーに関して考えられるもう1つの原因は、IdPからのメタデータがSSOコネクト上のデータと異なる場合です。この場合SAML証明書が同期されず、信頼されない状態になります。

#### **SSOユーザー以外はマスターパスワードを変更できないのはなぜですか。** <a href="#why-cant-my-non-sso-users-change-their-master-password" id="why-cant-my-non-sso-users-change-their-master-password"></a>

* ノードでSSOコネクトが有効になっている場合、そのノードおよびサブノードのすべてのユーザーに対して、マスターパスワードの変更が禁止されます。これは、SSOユーザーがIdPによる認証を回避するのを防ぐためです。

{% hint style="info" %}
ユーザーがSSOログインに移行した後、マスターパスワードの変更を希望する場合は、SSO強制が適用されないノードに移動させる必要があります。
{% endhint %}

{% hint style="info" %}
マスターパスワードをSSO認証と組み合わせて使用したい場合は、エンタープライズガイドの[ボルトへのオフラインアクセス](/user-guides/jp/vault-offline-access.md)の手順をご参照ください。
{% endhint %}

#### **ユーザーを招待したのですが、SSOコネクトでボルトを作成できないのはなぜでしょうか。** <a href="#i-have-invited-a-user-why-cant-they-create-their-vault-via-sso-connect" id="i-have-invited-a-user-why-cant-they-create-their-vault-via-sso-connect"></a>

* 初めてログインする際は、ウェブまたはデスクトップアプリケーションのいずれかでオンボーディングプロセスを実行する必要があります。ブラウザ拡張機能では新規ユーザーのオンボーディングはできませんが、既存ユーザーの認証は可能です。

#### **新規ユーザーが初めて接続しようとすると、以下のようなエラーが表示されます。** **{“result\_code”: ”does\_not\_exist”, ”message”: ”This user does not exist”}** <a href="#i-am-receiving-the-following-error-when-a-new-user-tries-to-connect-for-the-first-time" id="i-am-receiving-the-following-error-when-a-new-user-tries-to-connect-for-the-first-time"></a>

* このエラーには2つの原因が考えられます。招待されたユーザーが管理コンソール内のSSO対応ノードに存在していないか、またはIdPのメールアドレスが招待されたユーザーのメールアドレスと一致していません。 最初の問題に関しては、ユーザーをSSO対応ノードに移動して、再試行してもらいます。 2番目の問題に関しては、SSOアカウントのメールアドレスが招待されたユーザーと同じであることをご確認ください。異なる場合は、IdPから取得したメールアドレスで新しいアカウントが作成されます。

#### **Linuxで/tmpに書き込むとエラーが表示されます。どうすれば解決できますか。** <a href="#im-getting-an-error-on-linux-about-writing-to-tmp-how-do-i-resolve" id="im-getting-an-error-on-linux-about-writing-to-tmp-how-do-i-resolve"></a>

* Linuxシステムでは、 `/tmp` に実行権限が必要です。 `/tmp` に実行権限がない場合、 `java -jar SSOConnect.jar` を実行すると、以下のような例外が表示される場合があります: `java.lang.UnsatisfiedLinkError: /tmp/sqlite...`

この問題を解決するには、 `chmod a+x /tmp` コマンドを使用して、 `/tmp` に実行権限を付与してください。

#### **SSOと標準の両方の方法でログインできますか。** <a href="#can-users-login-in-both-ways-via-sso-and-natively" id="can-users-login-in-both-ways-via-sso-and-natively"></a>

* 企業では、ノード別に一部のユーザーは標準ログインに設定し、その他のユーザーはSSOを使用するように設定できます。 Keeper管理コンソールでロールポリシーを設定して、SSOユーザーがマスターパスワードを作成してオフラインでもログインできるようにすることもできます。

#### フェデレーションユーザーをローカルユーザーに変換する、つまり、SSOアクセスを無効にしてユーザーに標準ログイン (ユーザー名/マスターパスワード) させるにはどうすればよいですか。 <a href="#how-do-i-convert-a-federated-user-to-a-local-user-or-put-another-way-disable-sso-access-and-have-the" id="how-do-i-convert-a-federated-user-to-a-local-user-or-put-another-way-disable-sso-access-and-have-the"></a>

* 管理コンソールで、ユーザーをSSO対応ノードからSSOのプロビジョニングが強制されていないノードに移動します。
* 移行後、ユーザーは\*\*\[パスワードをお忘れの場合]\*\*リンクからアカウント回復を行い、標準ログイン用のマスターパスワードを設定する必要があります。Keeperアカウントに登録されているメールアドレスに回復コードが届きます。コードを入力すると、ボルト作成時に設定したリカバリーフレーズの入力を求められ、新しいマスターパスワードを作成できます。

#### **IdPでメールアドレスを変更してから、SSOで認証する場合、Keeperですべき作業は何ですか。** <a href="#if-my-email-address-changes-on-the-idp-and-i-authenticate-with-sso-what-do-i-need-to-do-within-keepe" id="if-my-email-address-changes-on-the-idp-and-i-authenticate-with-sso-what-do-i-need-to-do-within-keepe"></a>

* IdPとKeeperの両方で、メールアドレスに基づいて同一ユーザーであることを識別する必要があります。そのため、一方のメールアドレスだけを変更した場合、認証は機能しません。IdPとKeeperの双方で、メールアドレスの変更を連携して行う必要があります。
* Keeper側では、ユーザーのみがメールアドレスを変更できます (メールアドレスの変更を禁止するロールベースの強制がそのユーザーに適用されていないことを確認します)。Keeperでメールアドレスを変更するには、 `設定 (Settings) > 全般 (General) > メールアドレス (Email Address) - 今すぐリセット (Reset Now)` をクリックします。
* ユーザーはメールで変更の確認を求められます。
* ユーザーがメールアドレスを変更したら、SSO IdPのメールアドレスも変更されていることを確認します。
* アドレスの変更後、管理者はSSOコネクトサーバーで同期を実行する必要があります。

{% hint style="info" %}
複数のメールを同時に変更する必要がある場合は、サポートに連絡して変更を調整してください。
{% endhint %}

{% hint style="danger" %}
2FAにDuoをご使用の場合は、メールを変更する前にユーザーに2FAを無効にしてもらってください (そのアカウントで一時的に2FAを許可しないように、管理者によるロールの変更が必要になる場合があります)。これは、メールがKeeper以外で変更され、ボルトが古いメールに関連付けられたままだと、Duoのメールと一致しないおそれがあるためです。
{% endhint %}

#### **Chrome、Firefox、デスクトップアプリケーションを使用して、KeeperにSSOでログインできますが、IEでは接続できません。なぜでしょうか。** <a href="#i-can-login-via-sso-into-keeper-using-chrome-firefox-and-the-desktop-application-but-i-cant-connect" id="i-can-login-via-sso-into-keeper-using-chrome-firefox-and-the-desktop-application-but-i-cant-connect"></a>

* IEには複数のセキュリティゾーンがあるため、ドメイン間のリダイレクト処理が困難です。IEをSSOと正常に連携させるには、セキュリティゾーンの設定が必要です。 これらのセキュリティゾーン設定は、管理者から配信するか、許可されている場合は手動で設定できます。 設定については、[信頼できるサイトポリシー](/enterprise-guide/jp/deploying-keeper-to-end-users/ie11-trusted-sites.md)のセクションをご参照ください。

#### SSOコネクトをインストールすると、<http://127.0.0.1:8080/config/の設定ページに\\*\\*\\[このページに到達できません]\\*\\*というメッセージが表示されます。> <a href="#after-i-install-sso-connect-the-configuration-page-comes-up-with-a-cant-reach-this-page-at-http12700" id="after-i-install-sso-connect-the-configuration-page-comes-up-with-a-cant-reach-this-page-at-http12700"></a>

* JREがインストール済みで、サーバーが再起動された場合、このエラーの原因は、IISのような競合サービスが8080ポートをリッスンしていることである可能性が非常に高いです。 競合を解消するには、必要でない場合はIISをアンインストールしてもよいですし、SSOコネクトが設定ページに使用するポートを変更してもよいです。
* SSOコネクトサービスを実行中の場合は停止します。
* 以下の場所にあるinstance.propertiesファイルを編集します。

```
C:\ProgramData\Keeper SSO Connect\data\
```

* admin\_portのポート番号を変更します (8081)。
* SSOコネクトサービスを再起動し、新たに定義したポート (<http://127.0.0.1:8081/config/>) で管理者ページを再度開きます。

#### Keeper SSOコネクトのログファイルはどこにありますか。 <a href="#where-are-the-keeper-sso-connect-log-files-located" id="where-are-the-keeper-sso-connect-log-files-located"></a>

* Microsoftサーバーにインストールした場合、ログファイルはシステムの隠しディレクトリにあります。このディレクトリにアクセスするには、ファイルエクスプローラーに以下のパスを入力します。

```
C:\ProgramData\Keeper SSO Connect\logs
```

* Linuxディストリビューションでは、ログは以下のsso\_connectフォルダにありますが、基本的なインストールパスによって異なります。

```
/<base_path>/sso_connect/logs
```

#### SSOコネクトを最新バージョンにアップグレードする手順を教えてください。 <a href="#whats-the-process-for-upgrading-sso-connect-to-the-latest-version" id="whats-the-process-for-upgrading-sso-connect-to-the-latest-version"></a>

* 本ページの[SSOコネクトをアップグレード](/sso-connect-on-prem/jp/upgrading-sso-connect.md)をご参照ください。

#### ユーザーがKeeperからログアウトすると、すべてのSAML接続アプリケーションとIdPからもログアウトされます。 <a href="#when-my-users-log-out-of-keeper-it-logs-them-out-of-all-saml-connected-applications-and-the-idp" id="when-my-users-log-out-of-keeper-it-logs-them-out-of-all-saml-connected-applications-and-the-idp"></a>

シングルログアウト (SLO) を無効にするには、IdPメタデータファイルを編集して、Keeper SSOコネクトサーバーに入力されるメタデータにある以下の行を削除してください。\
\
\<md:SingleLogoutServiceBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="[https://your-sso\\\_connect:8443/sso-connect/saml/slo"/>](https://your-sso\\_connect:8443/sso-connect/saml/slo"/>)

```
<?xml version="1.0" encoding="UTF-8"?>
<md:EntityDescriptor entityID="https://your-sso_connect:8443/sso-connect" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata">
 <md:SPSSODescriptor AuthnRequestsSigned="true"
 WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
 <md:KeyDescriptor>
 <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
 <ds:KeyName>Keeper SSO Connect</ds:KeyName>
 <ds:X509Data>
 <ds:X509Certificate>MIIEHTCCAwWgAwIBAgIUOL886JdcXafub9E19hjGwnXAqZkwDQYJKoZIhvcNAQELBQAwgZ0xCzAJ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</ds:X509Certificate>
 </ds:X509Data>
 </ds:KeyInfo>
 </md:KeyDescriptor>
 
//REMOVE --> <md:SingleLogoutService
 Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://your-sso_connect:8443/sso-connect/saml/slo"/>
 
 <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
 <md:AssertionConsumerService
 Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
 Location="https://your-sso_connect:8443/sso-connect/saml/sso"
 index="0" isDefault="true"/>
 </md:SPSSODescriptor>
</md:EntityDescriptor>

```

SSOコネクトサーバーにファイルを再インポートします。

### デスクトップアプリにログインすると、白い画面またはエラーが表示されます <a href="#getting-blank-white-screen-or-error-when-logging-into-desktop-app" id="getting-blank-white-screen-or-error-when-logging-into-desktop-app"></a>

<figure><img src="/files/QNjkwwH66PuReObBauVt" alt=""><figcaption><p>ポップアップ表示された空白またはエラーのメッセージ</p></figcaption></figure>

SSOを使用してKeeperにログインしたときに、ダイアログに白い画面またはエラーメッセージが表示される場合は、Keeper SSOコネクトの設定で無効または自己署名のSSL証明書を使用した可能性があります。

Keeperデスクトップアプリケーションと一部のデバイスおよびウェブブラウザは自己署名証明書を受け付けないため、エラーが発生します。 適切な署名付きSSL証明書 (ワイルドカード証明書またはドメイン固有証明書) を使用するようにKeeper SSOコネクトのインスタンスを再設定してください。SSL証明書には、ChromeやSafariなどのブラウザで認識される、信頼できるパブリック認証局の署名が必要です。

### SSOでログインしようとすると、ウェブボルトでわかりにくいエラーが表示されます。 <a href="#getting-confusing-errors-on-the-web-vault-when-trying-to-login-with-sso" id="getting-confusing-errors-on-the-web-vault-when-trying-to-login-with-sso"></a>

以下のようなエラーメッセージが表示される場合は、別のタブやウィンドウで管理者アカウントまたは別のユーザーアカウントを使いKeeperにログインしている可能性が高いです。SSO環境をテストまたは設定している最中に、管理者としてKeeperにもログインしていると、混乱する可能性があります。

これらのエラーを回避するには、別のウェブブラウザ (Firefoxなど) を使用して、管理者としてKeeperにログインするか、またはKeeperデスクトップアプリをダウンロードし、そのアプリを使用して SSO環境を設定することをお勧めします。

<figure><img src="/files/21qf9p1IpXsk9AbbHAGe" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/TpuKkmCaOR7B54mQZJtQ" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/Bo3fKbZPwToyy2mnRg6u" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/sso-connect-on-prem/jp/faqs.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.