1Password Unlock with SSO で使用するためのベストプラクティス
1Passwordマニュアル|チームとビジネス向けのSSOを使った1Passwordのベストプラクティスを説明し、IDプロバイダーとの統合方法を理解しましょう。
Last updated
1Passwordマニュアル|チームとビジネス向けのSSOを使った1Passwordのベストプラクティスを説明し、IDプロバイダーとの統合方法を理解しましょう。
Last updated
シングル サインオン (SSO) のために1Passwordと ID プロバイダーの統合を計画する方法を紹介します。
1Password Business を初めてセットアップすると、チームメンバーはSecret Keyとアカウントパスワードを使用してアカウントにサインインします。1Password Unlock with SSO を1Passwordすると、代わりに ID プロバイダーの資格情報を使用してサインインできるようになります。
1Password Business は、 ID プロバイダーとの 2 種類の統合をサポートしており、それぞれに独自の利点があります。
SCIMによる自動プロビジョニング
Unlock with SSO
自動プロビジョニング、ロールベースのアクセス制御、管理ワークフローの自動化。
チーム メンバーは、 OpenID Connect (OIDC)プロトコルを使用して、ID プロバイダーの資格情報で1Password のロックを解除できます。
1Password SCIM Bridge をAPI エンドポイントとして使用し、 Secure Remote Password (SRP) と呼ばれる暗号化プロトコルを使用して1Passwordサーバーと通信します。
1Passwordサーバーとの直接 API 統合を使用します。
これらの統合を設定するには、ID プロバイダーごとに個別のアプリケーションをCreateする必要があります。統合ごとに異なる機能を提供するため、個別のアプリケーションが必要になります。
この記事では、 Unlock with SSOの仕組みと、チーム用に設定する際のベスト プラクティスについて詳しく説明します。アイデンティティ プロバイダーからユーザーを管理する場合は、SCIM を使用してプロビジョニングを自動化する方法を学習してください。
アカウント パスワードとSecret Keyを使用して1Password のロックを解除すると、これら 2 つの暗号化要素が組み合わされて、認証情報バンドルの 2 つのキー (Authentication SecretとAccount Unlock Key) が生Createされ、 1Passwordにサインインしてデータを復号化できるようになります。これを従来のロック解除と呼びます。
一方、SSO を使用して1Passwordにサインインする場合は、まず ID プロバイダーで認証にCreate功する必要があります。その後、 1Passwordサーバーは暗号化された認証情報バンドルをデバイスに提供します。この認証情報バンドルは、デバイス キーを使用してデバイス上で復号化されます。デバイス キーは、 1Passwordアカウントにサインインしたリンクされた各アプリまたはブラウザーに固有の強力な暗号化キーであり、デバイスから外部に送信されることはありません。
どちらのロック解除方法でも、 1Passwordデータにアクセスするために必要な暗号化キーがデバイスから外部に漏れることはありません。
Unlock with SSOを使用してチーム アカウントに参加すると、使用するアプリまたはブラウザーが最初のリンクされたアプリまたはブラウザーになります。このアプリまたはブラウザーは、認証情報バンドルの 2 つの AES-256-GCM キーをローカルで直接生Createし、デバイス キー (3 番目の AES-256-GCM キー) を使用してそれらを暗号化します。リンクされたアプリとブラウザにはそれぞれ固有のデバイス キーがあり、これによって認証情報バンドルが暗号化され、サインインが可能になります。
サインアップ プロセスはブラウザーで実行され、そのブラウザーが最初にリンクされたブラウザーになります。デバイス キーは難読化された状態でローカルブラウザーストレージにSaveされるため、ブラウザーキャッシュよりも誤って消去されるリスクが低くなります。ただし、ローカルブラウザーストレージが消去されると、チーム メンバーはサインインできなくなります。
デバイス キーはリンクされたアプリやブラウザーごとに固有であるため、 Unlock with SSOへの移行で重要な部分は、チーム メンバーが追加のアプリやブラウザをリンクしていることを確認することです。少なくとも 1 つのリンクされたアプリやブラウザーにアクセスできないと、新しいアプリやブラウザにサインインできず、管理者にアカウントを回復してもらう必要があります。
アプリとブラウザーのリンク プロセスは、1Password のエンドツーエンド暗号化の基本です。これにより、 1Password は、 Perfect Forward Secrecyを提供するCPaceと呼ばれる対称Password Authenticated Key Exchange(PAKE) を使用して、保存済みのリンクされたアプリまたはブラウザーから新しいアプリまたはブラウザーに認証情報バンドルを安全に転送できます。
アプリとブラウザをUnlock with SSOにリンクする方法について詳しくは、こちらをご覧ください。
SSO を使用して1Passwordにサインインすると、次の手順が実行されます。
1Passwordを開き、サインインするかアプリのロックを解除するかを選択します。
1Password は、デフォルトのブラウザーで保存済みの SSO 承認をチェックすることにより、SSO 認証プロセスを開始します。
承認が存在する場合、 1Password は次のステップに進みます。承認が存在しない場合は、ID プロバイダーにサインインするように求められます。
承認が行われると、 1Passwordサーバーがそれを確認し、暗号化された資格情報バンドルを1Passwordアプリに提供します。
1Passwordアプリは、デバイス キーを使用して資格情報バンドルを復号化します。
1Passwordアプリは、Account Unlock Keyを使用してローカルにキャッシュされたデータを復号化し、SRP プロトコルを介して認証シークレットを使用して1Passwordサーバーとの認証を開始します。
1Password はロック解除され、使用できるようになりました。
OIDC とProof Key for Code Exchange (PKCE) により、 1Passwordはアクセス トークンを要求したクライアントのみが使用できることを保証します。その後、 1Passwordサーバーは SSO プロバイダーからの yes または no の応答を待機し、その他の認証は必要ありません。つまり、承認を受けるためにチーム メンバーが満たす必要がある条件付きアクセス ポリシーを制御できます。
チームがすでに1Password を使用しており、 Unlock with SSOに切り替えると、 Unlock with SSOの対象となっている各チーム メンバーは暗号化キーの交換を経ることになります。これにより、Secret Keyとアカウント パスワードに基づく認証情報バンドルが、 1Passwordアプリによって生Createされ、最初にリンクされたアプリまたはブラウザーのデバイス キーで暗号化されたバンドルに置き換えられます。
Unlock with SSOに移行した後は、以前に1Passwordアカウントにサインインした他のすべてのデバイスを、SSO 認証によってリンクされたアプリまたはブラウザとして設定する必要があります。最初のリンクされたアプリまたはブラウザーからコードを取得し、それを使用して新しいものを承認する、という手順になります。
Unlock with SSOと 1Password の標準ロック解除モデルは、エンドユーザーのデバイスに対して考慮すべき異なるセキュリティ特性を持っています。どちらのオプションも本質的には他方よりも安全というわけではありませんが、それぞれに異なる利点があります。1Password の1PasswordUnlock with SSOのセキュリティについて学び、 1PasswordSecurityホワイト ペーパーの 42 ~ 48 ページを参照して、より詳細な説明を参照してください。
チームにUnlock with SSO を導入する際は、今後の変更についてチームに知らせるためのコミュニケーション戦略をいくつか準備してください。また、段階的に展開して、ユーザーに情報を提供し、IT チームが潜在的なサポート リクエストに対応できるようにする必要があります。開始する前に、以下のその他の留意事項を確認してください。
1Password Businessアカウントでは、オーナー グループのユーザーは必ず従来のロック解除を使用します。オーナー アカウントはUnlock with SSOの対象にできません。オーナーがアクセス権を失った場合、アカウント内の保管庫やアイテムも、回復する人がいなければ失われる可能性があるためです。これは、アイデンティティ プロバイダーが停止して SSO によるサインインができない場合にも役立ちます。オーナーは1Passwordにサインインし、特定のグループまたはチーム全体をUnlock with SSOの対象から外すことができます。これにより、従来のロック解除に戻り、 1Passwordにアクセスできるようになります。
同様に、SCIM の自動プロビジョニングのために1Password をID プロバイダーと統合すると、 1Passwordサーバーは、悪意のある ID プロバイダー管理者や機能不全の1Password SCIM bridgeによって組織が1Passwordテナントから完全に締め出されるのを防ぐための安全策を提供します。最後に残った所有者アカウントは、SCIM を通じてプロビジョニング解除できません。
所有者アカウントは、 1Passwordアカウントのスーパー管理者とみなされ、 Unlock with SSOや自動プロビジョニングのコンテキストで緊急時の目的を果たします。適切に設定および保護する必要があります。
続きを読む
1Password Businessアカウントを保護するためのベスト プラクティスについて詳しくご覧ください。
Unlock with SSOをオンにすると、サインインできるユーザーを選択してUnlock with SSOできるようになります。選択したポリシーによって、次のような新しいユーザーのサインイン方法が決まります。
「全員」または「ゲストを除く全員」:Team Membersグループ (新規ユーザーのデフォルト グループ) 内のすべてのユーザーがUnlock with SSOされます。
選択したグループのみ: 新規ユーザーがサインアップする前に、SSO のスコープを設定するには自動プロビジョニングが必要です。各 ID プロバイダーはグループ管理を異なる方法で処理するため、展開を計画する際にはこの点に留意してください。グループ メンバーシップの変更は、ユーザーのアカウントがアクティブ化されると同時には実行できません。
ユーザーが SSO でロック解除されるグループに属していない場合は、Secret Keyとアカウント パスワードを使用してサインインします。ユーザーがUnlock with SSOできるようにするには、SSO 用に選択したグループの 1 つにユーザーを移動するか、選択したグループにユーザーのグループを追加します。その後、ユーザーは次回サインインするときに、最初のリンクされたアプリまたはブラウザーを設定します。
自動ユーザープロビジョニングと一緒にUnlock with SSOを使用する場合は、プロビジョニング アプリケーションと ID プロバイダーの SSO アプリケーション間で属性マッピングが一貫していることを確認してください。たとえば、 1Passwordのユーザー メール アドレスの特定の属性を送信するように ID プロバイダーを構成している場合は、OIDC アプリケーションがその属性を OIDC クレームとして正常に送信していることを確認してください。属性マッピングの詳細については、ID プロバイダーのセットアップ ドキュメントを参照してください。
チームへのUnlock with SSOの導入を計画する際は、組織全体に展開する前に、新しいロック解除方法をテストできる 1 つまたは 2 つのグループを検討してください。これには、IT 部門、開発者、およびより技術的な他のユーザーが該当します。このプロジェクト用にカスタム グループをCreateすることもできます。
統合を初めて設定するときは、自分でテストし、アカウントに加える変更を IT サポート チームが理解して、必要なときにサポートを受けられるようにしてください。その後、 Unlock with SSOをグループ全体に拡張して、さらにテストします。
1 ~ 2 週間の期間にわたって、ユーザーの体験に関するフィードバックを収集します。順調に進んでいる場合は、他のグループにアクセス権を付与し、すべてのグループの移行が完了するまで続けます。移行を進めるにつれて、 Microsoft Entra IDのConditional Accessポリシーなど、さまざまな環境や場所からのユーザーのみにサインインを許可する特別な設定の調整が必要になる場合があります。
数百または数千のユーザーがいる場合は、 Unlock with SSOを徐々に展開して、IT サポート チームが途中で発生する質問や問題に対応できるようにします。従業員はアカウント パスワードを使用して1Passwordのロックを解除することに慣れているため、この新しい習慣には少しの調整が必要で、いくつかの質問も発生します。嬉しい利点は、覚えておくべきパスワードが 1 つ減ることです。
ヒント: 準備ができたら、 Unlock with SSOを設定する方法を学習してください。
