本記事では、OneLogin から Keeper へのSAML シングルサインオン(SSO)およびジャストインタイム(JIT)プロビジョニングの設定手順をご案内します。
目次
前提条件
- OneLoginのライセンスプラン が SSO, Advanced, Professional または旧ライセンスプラン Starter, Enterprise, Unlimited のいずれかであること
- OneLoginの Super User または Account Owner 権限を持つアカウントを所有していること
- Keeper における管理者権限をお持ちであること
はじめに
KeeperではノードごとにSAML設定が行えます。親ノードでSAML設定を行った際、子ノードに対し自動的に親ノードのSAML設定が継承されます。親ノードと子ノードのSAML設定を分けたい場合は、子ノードで新たなSAML設定を追加することで可能です。
SAML設定はルートノード以下のノードから設定していただく必要がございます。
SAML連携の設定
1. OneLogin側の操作
- OneLoginに管理者でログインし、[管理]をクリックします
-
Applications メニューから[Applications]を選択します
- [Add App]をクリックします
-
Keeper Password Manager と検索し、該当コネクタを選択します
- [Save]をクリックします
- More Actions > SAML Metadata を選択します
2. Keeper側の設定
- Keeperへ管理者アカウントでログインし[管理タブ]をクリックします
- SSO専用のノードを作成するため、「︙」アイコン > ノードを追加 をクリックします
既存のノードへSAML設定を行いたい場合は、手順5からご確認ください
- 新規Node作成のために親Nodeと名前を設定します
例)OneLogin SSO
- 設定が完了したら[ノードを追加]をクリックします
- 作成したノードから プロビジョニングタブ をクリックします
- [メソッドを追加]をクリックします
- 「SSO Connect® Cloud を使用したシングルサインオン」を選択します
- 選択が完了したら[次へ]をクリックします
- 以下2点を入力します
・環境設定名
・法人ドメイン:OneLoginへ登録しているメールアドレスのドメイン
- 入力が完了したら[保存]をクリックします
- 作成したメソッドの「︙」アイコンをクリックし、[編集]を選択します
- アイデンティティプロバイダ > IDPタイプ を「OneLogin」に選択します
- SMAL メタデータ > あるいはファイルを閲覧 をクリックし、手順 1.1.7 でダウンロードしたSAMLメタデータファイルを選択します
- [←]をクリックします
- 前手順で設定したメソッドのオプション[︙]をクリックし、表示 を選択します
-
Assertion Consumer Service(ACS)エンドポイント をクリップボードへコピーします
3. OneLogin側の設定
-
Configuration タブに移動し、Assertion Consumer Service (ACS) Endpoint に 2. Keeper側の設定 手順16で取得した値を貼り付けます
-
Access タブに移動し、割り当てたいユーザーが属するロールを選択します
- [Save]をクリックします
SAML連携の設定は以上です。
JITプロビジョニングの設定
OneLoginからのSSOでJIT Provisioningを利用する方法、設定手順について説明します。KeeperではJIT Provisioning機能を利用して、法人ドメインまた予約ドメインを所持したメールアドレスのみOneLoginからSSOするだけでユーザーの作成が自動で行えるようになります。
1. ドメインの予約
ドメインの予約手順は下記2種類によって異なります
-
企業用メールドメイン
Keeperアカウントマネージャへドメイン予約を依頼していただく必要がございます
例)~@pentio.com など -
個人用メールドメイン
gmail.com や yahoo.com などの「個人用」メールドメインの予約はできません。しかし、個人用メールドメインを使用した特定のメールアドレスを単独で作成することは可能です。個人用メールアドレスのアカウントを作成したい場合は、Keeperのサポートチームにご連絡ください。
例)~@gmail.com、~@yahoo.co.jp など
2. JITプロビジョニングの設定
- Keeperへ管理者アカウントでログインし[管理タブ]をクリックします
- SAML設定を行ったノードを選択します
-
プロビジョニングタブ をクリックします
- SAML設定を行っているメソッドの「︙」アイコン > 編集 をクリックします
- 新規ユーザープロビジョニング > ジャストインタイムプロビジョニングを有効化 にチェックを入れます
SAML SSOの動作確認
- OneLoginに対象ユーザーでログインし、設定した Keeper Password Manager を選択します
- SAML認証が完了し、KeeperにSSOされることを確認します
SAML SSOの動作確認は以上です。
SAML SSOの無効化
- Keeperへ管理者アカウントでログインし[管理タブ]をクリックします
- SAML設定を行ったノードを選択します
-
プロビジョニングタブ をクリックします
- SAML設定を行っているメソッドのオプション[︙]から 削除 を選択します
SAML SSOの無効化は以上です。