ノードと組織構造
Keeperのノードアーキテクチャは、あらゆる規模の組織に対応できます
Last updated
Keeperのノードアーキテクチャは、あらゆる規模の組織に対応できます
Last updated
Active Directoryの組織単位と同様、Keeperの「ノード」アーキテクチャではユーザーを個別のグループに編成します。管理者は、場所、部門、部署などの構造に基づいてノードを作成できます。ノードには通常、異なるプロビジョニング方法やIDプロバイダを関連付けます。
デフォルトでは、最上位ノードのルートノードが組織名に設定されているため、すべてのノードはルートノードの下に作成することになります。
小規模な組織では、単一のレベルで管理することも可能です。このような場合、プロビジョニングしたすべてのユーザー、ロールチームにはデフォルトのルートノードからアクセスします。 大規模な組織では、場所や部門を複数のノードに編成することでメリットが得られます。ユーザーはそれぞれのノードでプロビジョニングされ、ビジネスのニーズに基づいてロールを設定できます。複数ノードを定義する利点の1つとして、委任管理の概念をサポートできることが挙げられます。委任管理者には管理上の権限を付与できますが、各ノード (またはサブノード) にのみ権限を付与することで本来の管理者の管理負荷を軽減できます。
SSO IDプロバイダと一緒にKeeperを導入する場合は、ユーザーをひとつのノード内に配置する必要があります。このようにして、SSO IDプロバイダにノードを関連付けることができます。
Active Directoryの同期用にKeeper Bridgeをインストールすると、Active Directoryの組織単位はノードとして識別されます。Active Directoryの特定の組織単位内にあるユーザーとセキュリティグループは、Keeper管理コンソール内の対応ノードに配置されます。
詳しくは、以下の動画をご覧ください。
左側のノードペインを使用するか、左上のメニューからノードを選択することで、表示するノードを変更します。ルートノードに移動するには、ナビゲーションツリーでビジネス名 (組織名) を選択します。
ユーザーがボルトでレコードを共有する際、チームまたはユーザーがどのノードに属しているかに関係なく、全ユーザーに対して入力候補として表示されます。
フォルダの共有を設定する際に、可視性を制限して他の並列ノード (兄弟ノード) に関連するユーザー名とチームが入力候補のドロップダウンメニューで非表示になるようにしたい場合は、「ノードの分離」を有効にする必要があります。ノードの分離を有効にしても、「子ノード」からは、互いに関連付けられているユーザーやチーム、およびその上位 (親ノード) のユーザーやチームを参照できます。
ノードを分離すると、親ノードのユーザーとチームが表示されます。つまりノードを分離すると、並列ノード間の可視性のみが制限されます。
注: 共有管理者権限を持つロールに属するユーザーも、そのロールが現在ログインしているユーザーに対しノードの管理権限を持っている場合、入力候補のドロップダウンに表示されます。
ノードおよびノードIDのリストを見つけるには、以下のようにenterprise-info
コマンドを使用します。
特定のノードに対してノード分離を有効にするには、以下のようにenterprise-node
コマンドを使用します。
ノードの分離を有効にすると、コンソールにアイコンが表示されます。
ノードの分離は、ユーザーが自分のノード ツリーの外部でレコードやフォルダを共有する機能に影響を及ぼします。たとえば、ボルトからレコードを共有する場合には入力候補のリストが制限されます。
マネージドサービスプロバイダ (MSP) で、さまざまなお客様に対してノードの使用を検討されている場合は、代わりに、マネージドカンパニーのデプロイに特化した機能がご利用になれるKeeper MSP製品を推奨します。Keeper MSPガイドをご参照ください。
ノード内では、管理権限を有効にできる「ロール」が定義されます。
ノードがActive Directory統合を介して有効化されているか、管理コンソールから手動で設定されているかのどちらかの場合、ノードツリー内のロール配置によって管理権限の開始場所に影響します。 ロールの「管理権限」設定で「権限を下位ノードに適用」にチェックが入っている場合にロールを最上位に配置すると、管理権限をサブノードに適用できます。ロールがサブノードに配置されていて「権限を下位ノードに適用」にチェックが入っている場合、管理権限はそのノードとサブノードにのみ適用されます。「権限を下位ノードに適用」にチェックが付いていない場合、権限はロールが属するノードにのみ適用されます。
各ノードおよびサブノードではさまざまな方法でユーザーをプロビジョニングできます。 たとえば、財務部門と営業部門ではシングルサインオンを使用でき、エンジニアリング部門ではActive Directoryを使用することもできます。
ノードには、複数のプロビジョニング方法を設定できます。 たとえば、Active Directoryを使用してユーザーをプロビジョニングし、シングルサインオン (SAML 2.0) 統合を使用してユーザーを認証することもできます。
ユーザーをプロビジョニングするノードに移動し、「プロビジョニング」タブをクリックして[メソッドを追加]をクリックします。
ノードとサブノードを手動で作成するには、 ボタンをクリックし[ノードを追加]を選択します。ウィンドウが開きますので、ノード名を入力し、ツリー構造で新しいノードを配置したいノードを選択します。
ノードの分離を有効にするには、を使用するかKeeperサポートでサポートチケットを作成します。