こんにちは、 ネクストモード株式会社のSaaSおじさん久住です。
Keeperを組織で運用するうえで、ユーザー認証とユーザーライフサイクル管理(作成・更新・無効化)をどう統制するかは重要なポイントです。
本記事では、OktaとKeeperを連携し、
を構成して、実際に動作確認した手順をまとめます。
マスターノードでは設定できないため、Keeper管理画面からノードを追加します。
管理者画面のノードのオプションからノードを追加をクリックします
わかりやすい名前を付けて作成します。
以降の設定は作成したノードに対して適用します。
Keeper管理画面の「管理者」→「プロビジョニング」から「メソッドを追加」
ノードが正しく選択されていることを確認し、SSO Connect Cloudを使用したシングルサインオンにチェックを入れて次へをクリック
環境設定名と法人ドメインを入力して保存します。
作成したSSO構成のオプションから「表示」を開きます。
エンティティIDを控えます。
Okta Integration Networkから「Keeper Password Manager and Digital Vault」を追加
「Server Base URL」にKeeper側で控えたエンティティIDを入力
OktaアプリのサインオンタブからメタデータURLを開き、XML形式でファイルとして保存します。
Keeper管理画面に戻り、SSO構成を編集して、先ほど保存したSAMLメタデータファイル(XML)をアップロードします。
シングルサインオンの構成と同様にプロビジョニングメソッドを追加します。
生成をクリックするとトークンが発行されます。
後ほど利用するため、URLとトークンを控えておきます。
OktaのKeeperアプリの「プロビジョニング」タブから「API統合を構成」をクリックします。
API統合を有効化にチェックを入れて控えていたBase URLとAPI Tokenを入力。
OktaのKeeperアプリのユーザー作成・更新・無効化をできるようにチェックを入れます。
SSOとSCIMのメソッドがどちらもアクティブになっていることを確認します。
OktaのKeeperアプリに対して、検証ユーザーを割り当てます。
割り当て後、Keeper側でユーザーが作成されたことを確認します。
Oktaから初回ログインすると、アカウント移管ポリシーへの同意が求められます。
運用方針に応じて、招待メール送信やアカウント移管ポリシーの有効・無効を調整します。
ロールの強制ポリシーのアカウント移管ポリシーを無効化する場合はロール強制ポリシーの「アカウント移管」のチェックを外します。
招待メールを送信しない場合はロール強制ポリシーの「招待メールを送信しない」のチェックを入れます。
OktaとKeeperを連携することで、下記の運用がしやすくなります。
是非お試しください!