Entra ID ではシングル サインオン の SAML 署名証明書に有効期間があります (デフォルトは3年間) 。そのため、定期的に署名証明書を更新し、Keeper に登録する作業が必要です。
期限内に更新することで、従業員はサービスの中断なく Keeper を継続して利用できます。
準備
この作業には、以下のユーザアカウントが必要です。
Entra ID
- 「アプリケーション管理者」の役割を持つユーザー (グローバル管理者でも可)
Keeper
ルートノードにいるマスターパスワードログインユーザーで作業することを強く推奨します。設定対象の SSO ノードにいるユーザーで作業した場合、設定を誤った場合にアカウントから締め出される可能性があります。
- 管理上の許可「ブリッジ/SSOを管理」のロールが付与されたユーザー
- デフォルトの "Keeper Administrator" ロールが付与されていれば充足します。
- シングル サインオンの動作確認用に、実際に SSO でログイン可能なユーザー
更新手順
Keeper Password Manager の管理画面の準備
Keeper Password Managerの管理者コンソールにログインしておきます。Keeper の管理コンソールは、後ほどのEntraの画面とは別のブラウザ画面 (タブまたはウインドウ) を使ってください。
この後にSAML IdPの設定を変更するとSAMLでログインできなくなります、管理画面のログイン状態を維持するために、管理画面を閉じないようにしてください。もし閉じてしまった場合は、Rootノードに管理者として作ったマスターパスワードを使うユーザを利用してください。
IdPでの新証明書の作成と metadata XML取得
IdP側で新しい証明書を作成し、これとSAMLの設定を含んだ metadata XMLファイルを取得します。
metadata XMLはEntra IDでは 「フェデレーションXML」または「フェデレーション証明書XML」という名前になっております。
新しいブラウザウィンドウかTabを開いて、Entra ID のエンタープライズアプリケーションの、Keeper Password Managerの項目へ移動してください。
- [管理] - [シングル サインオン] に移動します。
- 「SAML証明書」の編集ボタンを押して、「SAML署名証明書」に移動します。
- 「+新しい証明書」をクリックして、新しい証明書を作成します。
- 作成したら、「保存」ボタンを押します。
- 保存したら、新しく作った証明書の「フェデレーションXML」をダウンロードしてください。
新証明書の metadata xmlをKeeperに反映
Keeper Password Managerの管理画面に移動し、SAML IdP証明書を更新するノードの、「ユーザプロビジョニング」に進み、「SSO Connect® Cloud を使用したシングルサインオン」の編集に進んでください。
ご注意: 証明書更新を行うノードを、よくご確認ください。
「SSO Connect® Cloud を使用したシングルサインオン」の編集画面では「SAMLメタデータ」の部分で、先程のEntra IDで取得した「フェデレーション証明書XML」をアップロードします。
アップロードが出来ましたら、ページ上部の戻るボタンを押して「SSO Connect® Cloud を使用したシングルサインオン」の表示画面に戻って、証明書有効期限が新しい証明書の期限になっていることを確認してください。
署名証明書の切替
- Keeper に XML のアップロードが完了したら、Entra ID にて新しい証明書をアクティブにします。
- ここでは シングル サインオンの Test をしません。 [いいえ、後でtestします] をクリックします。
-
Web ブラウザのプライベートウインドウを開き、Keeper の Web ボルトにてシングル サインオンが正常に動作することを確認してください。
日本リージョン https://www.keepersecurity.jp/vault
USリージョン https://www.keepersecurity.com/vault
その後、Entra IDのウィンドウにて、シングルサインオンのテストを実施してください。
途中でうまく行かなくなったら
もし証明書の更新中にうまく行かなくなったら、これらの対応をしてください。
Keeper 側に設定してあるシングルサインオン設定は絶対に削除しないでください。記録へのアクセスを永久に失う可能性があります。
- 1つ前のメタデータXMLをアクティブ化し、そのメタデータを登録し直してください。
- SAMLデバッグメッセージなどのご確認ください。
これらの対応をしてもうまくいかない場合は、ZUNDA までお問い合わせください。