はじめに
こんにちは、 ネクストモード株式会社のSaaSおじさん久住です。
Keeperを組織で運用するうえで、ユーザー認証とユーザーライフサイクル管理(作成・更新・無効化)をどう統制するかは重要なポイントです。
本記事では、OktaとKeeperを連携し、
- SSO(SAML) によるサインイン
- プロビジョニング(SCIM) によるユーザー作成・更新・無効化
を構成して、実際に動作確認した手順をまとめます。
この記事でわかること
- Keeper管理画面でSSO(SAML)設定を作る流れ
- Keeper側でプロビジョニング(SCIM)トークンを発行し、Oktaに登録する流れ
- Oktaからユーザー割り当てを行い、Keeper側にユーザーが作成されることを確認する流れ
構成概要
全体像
- IdP:Okta
- SP:Keeper(SSO Connect Cloud)
- プロビジョニング:Okta → Keeper(SCIM API)
前提条件
- Keeper側で管理者権限があること
- Okta側でアプリ追加・プロビジョニング設定の権限があること
- Keeper側でSAML/SCIMを設定できる契約・機能が有効であること
事前準備
マスターノードでは設定できないため、Keeper管理画面からノードを追加します。
管理者画面のノードのオプションからノードを追加をクリックします
わかりやすい名前を付けて作成します。
以降の設定は作成したノードに対して適用します。
SSOの構成
Keeper側:SSO構成を作成
Keeper管理画面の「管理者」→「プロビジョニング」から「メソッドを追加」
ノードが正しく選択されていることを確認し、SSO Connect Cloudを使用したシングルサインオンにチェックを入れて次へをクリック
環境設定名と法人ドメインを入力して保存します。
Keeper側:エンティティIDを取得
作成したSSO構成のオプションから「表示」を開きます。
エンティティIDを控えます。
Okta側:Keeperアプリを追加
Okta Integration Networkから「Keeper Password Manager and Digital Vault」を追加
「Server Base URL」にKeeper側で控えたエンティティIDを入力
Okta側:SAMLメタデータを取得
OktaアプリのサインオンタブからメタデータURLを開き、XML形式でファイルとして保存します。
Keeper側:SAMLメタデータをアップロード
Keeper管理画面に戻り、SSO構成を編集して、先ほど保存したSAMLメタデータファイル(XML)をアップロードします。
SCIMの構成
Keeper側:SCIMトークンを発行
シングルサインオンの構成と同様にプロビジョニングメソッドを追加します。
生成をクリックするとトークンが発行されます。
後ほど利用するため、URLとトークンを控えておきます。
Okta側:プロビジョニングのAPI統合を設定
OktaのKeeperアプリの「プロビジョニング」タブから「API統合を構成」をクリックします。
API統合を有効化にチェックを入れて控えていたBase URLとAPI Tokenを入力。
OktaのKeeperアプリのユーザー作成・更新・無効化をできるようにチェックを入れます。
Keeper側:プロビジョニングメソッドが有効なことを確認
SSOとSCIMのメソッドがどちらもアクティブになっていることを確認します。
やってみた
Okta側でユーザーを割り当て
OktaのKeeperアプリに対して、検証ユーザーを割り当てます。
Keeper側にユーザーが作成されることを確認
割り当て後、Keeper側でユーザーが作成されたことを確認します。
初回ログイン時の注意点
Oktaから初回ログインすると、アカウント移管ポリシーへの同意が求められます。
運用方針に応じて、招待メール送信やアカウント移管ポリシーの有効・無効を調整します。
ロールの強制ポリシーのアカウント移管ポリシーを無効化する場合はロール強制ポリシーの「アカウント移管」のチェックを外します。
招待メールを送信しない場合はロール強制ポリシーの「招待メールを送信しない」のチェックを入れます。
さいごに
OktaとKeeperを連携することで、下記の運用がしやすくなります。
- サインインはSAML SSOで統制
- 入社・異動・退社などのユーザーライフサイクルはSCIMで自動化
是非お試しください!
参考情報
