DXable製品総合情報サイト製品ニュースお問い合わせ

OpenID Connectを使用してSSOで1Passwordのロック解除を設定する

1Passwordマニュアル|OpenID Connectを使用してSSOで1Passwordのロック解除を設定する方法を説明します。セキュリティを強化します。

OpenID Connect (OIDC) を使用して SSO でロック解除するように1Password を設定する方法を紹介します。

1Password Businessでは、 Unlock with SSOとOpenID Connect (OIDC)を使用して ID プロバイダーを1Passwordに接続することで、チーム メンバーにシングル サインオン (SSO) 認証を提供できます。

Unlock with SSOには自動プロビジョニングは含まれません。ユーザーとグループをCreateし、アクセスを管理し、アイデンティティ プロバイダーを使用して1Passwordユーザーを停止する場合は、SCIM を使用してプロビジョニングを自動化する方法を確認してください。

始める前に

始める前に、 Unlock with SSOに関する考慮事項と要件を確認してください。

ステップ1: 1PasswordアプリケーションをIDプロバイダーに追加する

1PasswordでUnlock with SSOを設定する前に、ID プロバイダーでアプリ統合をCreateする必要があります。使用できる ID プロバイダーには次のようなものがあります。

Duo

OneLogin

ピン

アイデンティティ プロバイダーがリストにない場合は、プロバイダーのドキュメントを参照して、 OpenID Connect アプリ統合をCreateする方法を確認してください。1Passwordは、 OpenID Connect 準拠のアイデンティティ プロバイダーのみをサポートしています。

ID プロバイダーからアプリケーションのリダイレクト URI の入力を求められた場合は、手順 2 に進みます。

ステップ2: Unlock with SSOを構成する

重要

以下で行った変更は、ID プロバイダーによる認証がCreate功するまでSaveされません。これにより、 1Passwordへのアクセスが失われるのを防ぎます。

  1. 新しいブラウザータブまたはウィンドウを開き、 1Password.comのアカウントにサインインします。

  2. サイドバーの「ポリシー」をクリックし、 「Configure Identity Provider」の下にある「管理」をクリックします。

  3. ID プロバイダーのリストから [その他] を選択し、[次へ] をクリックします。

  4. Select your identity provider, then fill out the fields with its configuration information. If your identity provider isn't listed, choose Other. ID プロバイダーを選択し、フィールドに構成情報を入力します。ID プロバイダーがリストされていない場合は、[その他] を選択します。

  5. Click Next and copy the redirect URIs to the OIDC app integration you created in step 1. If you need help finding where to enter the URIs in your identity provider, consult your identity provider's documentation. 「次へ」をクリックし、手順 1 でCreateした OIDC アプリ統合へのリダイレクト URI をコピーします。ID プロバイダーで URI を入力する場所を見つけるのにサポートが必要な場合は、ID プロバイダーのドキュメントを参照してください。

2.1: 必要なスコープとクレームを構成する

1Password、 ID プロバイダーからのサブ、名前、およびメールのクレームが必要です。チーム メンバーが初めて SSO でサインインするとき、 1Passwordのメールはサインインのメール クレームと一致する必要があります。1PasswordはサブクレームをSaveし、ID プロバイダーからの今後のサインインを1Passwordの同じチーム メンバーにマッピングします。

重要

サブクレームは、ID プロバイダー内で変更されない一意の値である必要があります。

1Password は、認証リクエスト中にメール、プロファイル、openid スコープも要求します。これらのスコープを解釈するのは ID プロバイダーです。

スコープとOpenIDの構成の詳細については、ID プロバイダーのドキュメントを参照してください。OpenID Connect の実装の詳細をご覧ください。

2.2: 接続をテストする

設定が完了したら、 「Identityプロバイダーで1Password のロックを解除」ページに戻り、接続をテストします。アイデンティティ プロバイダーに移動してサインインすると、 1Passwordにリダイレクトされます。

ステップ3: SSOで1Passwordのロックを解除するチームメンバーを指定し、猶予期間を設定します

IMPORTANTTeam members need to sign in to 1Password with their account password and Secret Key before switching to Unlock with SSO. If your organization has turned off Emergency Kits or has a browser cache clearing policy, this could result in mass recoveries needed for users who don’t have their sign-in details.Team members will prompted to sign in with SSO during the recovery process. 重要チームメンバーは、 Unlock with SSOに切り替える前に、アカウントのパスワードとSecret Keyを使用して1Passwordにサインインする必要があります。組織でEmergency Kitsをオフにしている場合や、ブラウザーのキャッシュをクリアするポリシーがある場合、サインインの詳細を持たないユーザーに対して大量の回復が必要になる可能性があります。回復プロセス中に、チーム メンバーは SSO を使用してサインインするように求められます。

Unlock with SSOを構成すると、 1Passwordアカウントの設定ページにリダイレクトされます。設定を構成する前に、SSO で1Password のロックを解除するチーム メンバーのグループをCreateする必要があります。

  1. Create a custom group. Give the group a descriptive name, like "SSO", for clarity. カスタム グループをCreateします。わかりやすくするために、グループに「SSO」などのわかりやすい名前を付けます。

  2. Add team members to the group. If you plan to invite additional team members to test Unlock with SSO at a later date, create a new custom group for each additional set of testers. チームメンバーをグループに追加します。 後日、追加のチーム メンバーを招待してUnlock with SSOをテストする予定の場合は、追加のテスター セットごとに新しいカスタム グループをCreateします。

Createしたグループは永続的である必要はなく、一部のグループの移行が正常に完了したら、最終的にはチーム全体を SSO でロック解除するように設定できます。

3.1: SSOでロックを解除するユーザーを選択する

IMPORTANTUsers in the owners group can’t unlock with SSO and will continue to sign in to 1Password using their account password and Secret Key. This helps safeguard them from being locked out in the event that they can’t access their linked apps and browsers and no one can recover them.Learn more about implementing a recovery plan for your team. 重要所有者グループのユーザーは SSO でロックを解除できず、アカウントのパスワードとSecret Keyを使用して1Passwordにサインインし続けます。これにより、リンクされたアプリやブラウザーにアクセスできなくなり、誰も回復できない場合でも、ロックアウトされることがなくなります。チームの復旧計画の実装について詳しく紹介します。

デフォルトでは、 「“People unlocking 1Password with an identity provider”」は「“No one”」に設定されています。これにより、チームを段階的に SSO によるロック解除に移行できます。SSO を使用して1Password のロックを解除するチーム メンバーを指定するには、次のいずれかのオプションを選択します。

  • 誰もいない: Unlock with SSOをオフにするには、[誰もいない] を選択します。

  • 選択したグループのみ: 選択したグループのチーム メンバーのみが SSO でサインインします。1Password 1Password Businessでカスタム グループを使用する方法を紹介します。

  • 除外するグループを除く全員: オーナーと除外するように選択したグループを除くすべてのチーム メンバーは、SSO を使用してサインインします。このスコープ内の保存済みのユーザーには、 Unlock with SSOに切り替えるように求められます。除外されたグループを除く新しいユーザーは、 1Passwordに参加するときに ID プロバイダーのユーザー名とパスワードを使用します。オーナーは、アカウント パスワードとSecret Keyを使用してサインインします。

  • ゲストを除く全員: オーナーとゲストを除くすべてのチーム メンバーは、ID プロバイダーを使用してサインインします。保存済みのすべてのユーザーはUnlock with SSOに切り替えるように求められ、すべての新規ユーザーは1Passwordに参加するときに ID プロバイダーのユーザー名とパスワードを使用します。ゲストとオーナーは、アカウント パスワードとSecret Keyを使用してサインインします。

  • 全員: ゲストとオーナーを除くすべてのチームメンバーは、ID プロバイダーを使用してサインインします。保存済みのすべてのユーザーはUnlock with SSOに切り替えるように求められ、すべての新規ユーザーは1Passwordに参加するときに ID プロバイダーのユーザー名とパスワードを使用します。

3.2: 猶予期間を設定する

すでに1Passwordアカウントを持っているチーム メンバーは、SSO でロックを解除するために切り替える必要があります。チーム メンバーが切り替えるまでの日数を指定します。猶予期間を設定するときは、次の点を考慮してください。

  • デフォルトでは、猶予期間は 5 日間に設定されています。1 日から 30 日間に設定できます。

  • 管理者が「選択したグループのみ」オプションを選択してグループを追加したとき、または管理者がチームの全員に対して「Unlock with SSO」を構成したときに、猶予期間が始まります。SSO でロック解除するように構成された各グループの横に、猶予期間が表示されます。

  • チーム メンバーが複数のグループに属している場合、グループの猶予期間が異なる場合でも、その猶予期間は SSO で設定された最初のグループによって決まります。

  • 猶予期間が切れたグループに SSO によるロック解除を設定していないチーム メンバーを追加する場合、あなたまたは別の管理者がメンバーのアカウントを回復し、SSO を使用して再度サインインできるようにする必要があります。

  • 猶予期間の長さを編集すると、SSO を使用してグループのロックを解除するように設定した元の日付から延長または短縮されます。

  • 初期設定後に SSO を使用してロック解除するチーム メンバーをさらに設定する必要がある場合は、有効な猶予期間を持つ新しいカスタム グループをCreateします。これにより、新しく割り当てられたチーム メンバーのアカウントを回復する必要がなくなります。

IMPORTANTIf a team member doesn’t migrate to Unlock with SSO before the end of the grace period, they won’t be able to sign in to their account on their devices and must contact an administrator to recover their account. The team member will switch to unlock with SSO during the recovery process. 重要チーム メンバーが猶予期間の終了前にUnlock with SSOに移行しない場合は、デバイスでアカウントにサインインできなくなり、管理者に連絡してアカウントを回復する必要があります。チーム メンバーは回復プロセス中に SSO によるロック解除に切り替わります。

設定を管理する

設定を管理するには、 1Password.comでアカウントにサインインし、サイドバーの「ポリシー」をクリックします。 「Configure Identity Provider」の下にある「管理」をクリックします。

構成

ID プロバイダーの設定を変更するには、「構成のEdit」をクリックし、画面の指示に従ってUnlock with SSOを設定します。SSO によるロック解除に設定できる ID プロバイダーは 1 つだけです。

アイデンティティ プロバイダーの設定は、接続のテストにCreate功した後にのみSaveできます。アイデンティティ プロバイダーで正常に認証できない場合は、変更はSaveされません。これにより、 1Passwordへのアクセスが失われるのを防ぎます。

人材の割り当てと生体認証

設定ページの下部にある「Edit」をクリックして、SSO を使用して1Password のロックを解除するために割り当てられているユーザーを変更します。

  • To specify which team members will unlock 1Password with SSO, select an option in the Who can unlock 1Password with an identity provider section. "Only groups you select" is recommended. Learn how to use custom groups in 1Password Business. To turn off Unlock with SSO, select No one. SSO を使用して1Password のロックを解除できるチーム メンバーを指定するには、[ID プロバイダーを使用して1Password のロックを解除できるユーザー] セクションでオプションを選択します。 「選択したグループのみ」が推奨されます。1Password 1Password Businessでカスタム グループを使用する方法を紹介します。SSOUnlock with SSOをオフにするには、「誰もいない」を選択します。

  • Specify the number of days before team members must switch to unlocking with SSO. The default grace period is 5 days. If a team member doesn't migrate to Unlock with SSO before the end of the grace period, they must contact their administrator to recover their account. チーム メンバーが SSO によるロック解除に切り替える必要があるまでの日数を指定します。 デフォルトの猶予期間は 5 日間です。チーム メンバーが猶予期間の終了前にUnlock with SSOに移行しない場合は、管理者に連絡してアカウントを回復する必要があります。

  • To allow team members to unlock with Touch ID, Face ID, Windows Hello, and other biometrics, select Allow people to unlock 1Password using biometrics. Specify the number of days or weeks before they’ll be asked to sign in to your identity provider again. When biometric unlock is turned on, your team members can access 1Password while offline, until the time period specified. Vault access will be online-only after the elapsed period. チーム メンバーがTouch ID、 Face ID、 Windows Hello、その他の生体認証を使用してロックを解除できるようにするには、「生体認証を使用して1Password のロックを解除できるようにする」を選択します。ID プロバイダーに再度サインインするよう求められるまでの日数または週数を指定します。 生体認証ロック解除がオンになっている場合、チーム メンバーは指定された期間内はオフラインでも1Passwordにアクセスできます。期間が経過すると、 保管庫 へのアクセスはオンラインのみになります。

「Review Changes」をクリックして選択内容を確認し、「Save」をクリックします。

次のステップ

自分で Unlock with SSOを使用するには、チーム メンバーとして SSO で1Passwordのロック解除を開始してください。

TIPIf your IT team has a policy that clears browsing data when a browser is closed, exclude your team’s sign-in address from that policy to make sure your team members won’t lose access to their linked browsers.You can also encourage your team to link other apps and browsers to their accounts, like the 1Password desktop app, after they sign up or switch to unlock with SSO. ヒントIT チームに、ブラウザーを閉じると閲覧データを消去するポリシーがある場合は、チームのサインイン アドレスをそのポリシーから除外して、チーム メンバーがリンクされたブラウザーにアクセスできなくなることがないようにしてください。また、サインアップ後や SSO によるロック解除に切り替えた後に、チームに1Passwordデスクトップ アプリなどの他のアプリやブラウザをアカウントにリンクするように勧めることもできます。

ヘルプを受ける

OpenID Connect の既知の URL を見つけるには、ID プロバイダーのドキュメントを参照してください。次の形式のいずれかになります: YOUR_DOMAIN.identity-provider.com/.well-known/openid-configuration または YOUR_DOMAIN.identity-provider.com/oauth2/default/.well-known/openid-configuration。

チーム メンバーが SSO でロック解除されるグループから SSO でロック解除されないグループに移動されると、アカウント パスワードをCreateし、Emergency Kitをダウンロードするように求められます。

ID プロバイダーでユーザーのメール アドレスを変更し、ユーザーが SSO を使用してサインインできなくなった場合は、 1Passwordでそのユーザーのアカウントを一時停止して再アクティブ化します。

Unlock with SSOを設定した後に新しい ID プロバイダーに切り替える必要がある場合は、ヘルプを参照してください。

もっと詳しく知る

PreviousOktaで1Passwordのロック解除を設定するNext1Password Unlock with SSOを使い始める

Last updated