ロール、RBAC、およびユーザーへの許可
Keeperのロールの権限は最小権限の原則に基づいており、柔軟かつ強力です。
Keeperアーキテクチャは、ロールとチームは異なりますが、概念は関連しています。
ロールは、ユーザーへの許可を定義し、ユーザーに適用する機能や設定の内容を制御し、管理者機能を管理します。
チームは、ボルト内のユーザー間で特権アカウントや共有フォルダを共有するために使用されます。 また、チームを使用して、ユーザーのグループ全体にロールを簡単に割り当てられるため、個人のグループ全体で強制ポリシーの一貫性を確保できます(チームの詳細はこちら)。
ロールベースアクセス制御(RBAC)機能により、組織はユーザーの職務の責任に応じて強制を定義したり、委任された管理機能を提供したりできます。
会社が作成するロールの数は、基本設定やビジネスニーズに依存します。最も単純な環境設定では、デフォルトのロールKeeper管理者(Rootノードの配下)は、組織のKeeperアカウントを設定した最初の管理者と、全管理者権限を付与された他のユーザーに適用されます。ロールには、強制ポリシーを割り当てたり、管理コンソールにアクセスするための管理上の許可を割り当てることができます。
1つのアカウントが失われたり、アクセスできなくなったりした場合に備えて、副管理者をKeeper管理者ロールに追加することを強くお勧めします。一般従業員ロールなどの追加ロールの作成は必須ではありませんが、強く推奨します。
ロールベースアクセス制御の詳細は、以下のビデオをご覧ください。
ロールは、管理コンソールで手動で追加することが可能で、SCIMを使用して自動的にマッピングしたり、Keeper Bridgeを使用してActive Directory/LDAPから直接割り当てることができます。Active Directoryを利用したユーザーの追加方法に関する詳細については、当社のKeeper AD Bridgeガイドを参照してください。
ロールを手動で追加するには、ロールタブを選択します。ここで、ロールを割り当てる具体的なノードに移動できます。ロールを追加するには、+ボタンを選択します。組��織ツリーで適切なノードを確認または選択します(またはRootノードを選択します)。作成するロールの名前を入力し、追加をクリックします。ロールを作成したら、ロール強制ポリシーを構成し、ロールを割り当てるユーザーを選択し、管理上の許可を設定します。
まず、設定するロールを選択します。強制ポリシーボタンをクリックします。強制ポリシーが以下の領域に構成されていることを確認します。
- ログイン設定
- 二要素認証
- プラットフォーム制限
- ボルト機能
- 共有&アップロード
- KeeperFill
- アカウント設定
- IPのホワイトリスト化
- アカウント移管
チームとロールをマッピングすることで、既存のIDプロバイダを使用して、カスタムロールの割り当てが可能なチームにユーザーを直接割り当てることができます。チームとロールのマッピングでは、ロールに割り当てられたチームのメンバーであるユーザーが、指定されたロールの実行を引き受けます。ユーザーは同時に2つ以上のロールのメンバーになることが可能で、1つはユーザーロールのメンバーを通して、他の1つは(存在する場合)、ユーザーチームロールのメンバーを通して属します。
チームとロールのマッピングを使用するには、管理者は個々のユーザーに対してではなく、単にロールをチーム全体に割り当てるだけであり、ロール強制ポリシーを使用して、各チームに異なる要件や制限を設定できます。
現在、Keeperは管理ロールをチームにマッピングすることができません。これは管��理者が不注意にユーザーの権限を昇格させることを防ぐためです。この機能は将来のリリースに向けて検討中です。
重要な留意点として、ユーザーが複数のロールやチームのメンバーで、さまざまなロールの適用が存在する場合、ユーザーがメンバーとなっているすべてのロールについて、すべての適用を充足する必要があります。 ユーザーが複数のロールのメンバーの場合、Keeperは最小権限のポリシーを実装するものとし、正味のポリシーは最も制限が厳しいものになります。
たとえば、ロールAは他人への共有を許可しない、ロールBはKeeperアカウント以外の共有を許可しない場合を考えます。このユーザーは、ロールA(最小権限)で許可されていないため、他人と共有することはできません。
Last modified 19d ago