管理コンソールの設定

ノード構造

Keeper管理者としてKeeper管理コンソールにログインします。

米国データセンター https://keepersecurity.com/console

米国公共部門/ GovCloud https://govcloud.keepersecurity.us/console

EUデータセンター https://keepersecurity.eu/console AUデータセンター https://keepersecurity.com.au/console CAデータセンター https://keepersecurity.ca/console

日本データセンター https://keepersecurity.jp/console

SSO統合は、管理コンソール内のルートノード以外の特定のノード (組織単位など) に適用されます。SSOプロビジョニングはルートノードに追加できないため、SSO認証を利用するには新しいノードを追加する必要があります。

左側のメニューから [管理者] タブをクリックします。 デフォルトでは、メニューの右側にノード構造が表示されます。

SSO用のノードを追加

ルートノード (組織名が表示されている最上位ノード) の3つの点をクリックし、 [ノードを追加] ボタンを選択して、Keeper SSOコネクトとIDプロバイダとの統合をホストするノードを新規作成します。 ノードはツリー構造内の任意の場所に配置できます。

複数のIDプロバイダを利用する組織は、それぞれを異なるノードに関連付けることができます。 たとえば、一部のユーザーはAzureで認証し、別のユーザーグループはOktaで認証する場合、各IDプロバイダを異なるノードで有効にできます。 ユーザーを1つのIDプロバイダにのみ関連付けることもできます。

SSO接続を追加

ノードの [プロビジョニング] タブを選択します。

次に、 [+ メソッドを追加] を選択して、新しい接続を作成します。

法人ドメインと新規ユーザープロビジョニングの2つのパラメータを設定します。

法人ドメイン

各SSO接続は、任意の法人ドメイン名を使用して識別する必要があります。法人ドメイン名は、ユーザーが覚えやすいもの (my_companyなど) にしておきます。新しいデバイスに初めてログインする際に、モバイル端末やアプリ (iOS、Android、Mac、Windows) に法人ドメイン名を入力する場合があるためです。

ジャストインタイム (JIT) プロビジョニング

SSOで初めて認証する際にKeeperビジネス用アカウントにユーザーを動的にプロビジョニングするようにできます (ジャストインタイムプロビジョニング)。この機能によりユーザー体験が向上しますので、ご利用をお勧めします。また、管理コンソールの [ユーザー] タブから手動でユーザーを招待したり、Keeperブリッジを使用してユーザーを招待したりすることもできます。

法人ドメインと新規ユーザーのプロビジョニングを設定した後、 [保存] を選択します。

これで、Keeper SSOコネクトアプリケーションを設定できるようになりました。

アクセス制御

KeeperにSSOコネクトを通じて認証を行うユーザーは、設定されたFQDNとポートを介して、SSOコネクトインスタンスと通信できる必要があります。以下のセキュリティ対策を推奨します。

• ロール強制適用設定のKeeperのIPホワイトリスト機能を利用して、ボルトへのアクセスを承認されたネットワークに制限します。 [ロール] > [強制ポリシー] > [IPのホワイトリスト] で設定できます。

• 信頼できるネットワークに対する、ファイアウォールとアクセスのポリシーをSSOコネクトインスタンスに適用します。