LogoLogo
⮐ Keeper HomeAll DocumentationAdmin Console
エンタープライズガイド (企業、組織向け)
エンタープライズガイド (企業、組織向け)
  • はじめに
  • トライアルを開始
  • 資料
  • スモールビジネス (小規模組織) 向けKeeper
  • Keeperエンタープライズについて
  • 導入の概要
  • ドメインの予約
  • Keeperをエンドユーザーにデプロイ
    • Keeperデスクトップアプリケーション
      • コンピュータの起動時にKeeperを起動
    • KeeperFillブラウザ拡張機能
      • Mac
        • PLIST (.plist) ポリシーの展開
          • Jamf Proでのポリシーの展開 - Chrome
          • Microsoft Intuneポリシーの展開 - Chrome
      • Linux
        • JSONポリシーの展開 - Chrome
      • Windows
        • グループポリシーの展開 - Chrome
        • グループポリシーの展開 - Firefox
        • グループポリシーの展開 - Edge
        • SCCMでの展開 - Chrome
        • Intune - Chrome
        • Intune - Edge
        • Edge設定ポリシー
        • Chrome設定ポリシー
      • 仮想マシンの永続化
    • モバイルアプリケーション
      • IBM MaaS360
    • オプションの展開タスク
    • IE11信頼済みサイト
  • エンドユーザーガイド
  • Keeper管理コンソールの概要
  • ノードと組織構造
  • リスク管理ダッシュボード
  • ユーザーとチームのプロビジョニング
    • 招待メールとロゴのカスタマイズム
      • カスタムEメールでのマークダウン記法
    • 管理コンソールでの手動プロビジョニング
    • Active Directoryでのプロビジョニング
    • LDAPでのプロビジョニング
    • SSO JIT (ジャストインタイム) プロビジョニング
    • Oktaでのプロビジョニング
    • Azure / Entra IDでのプロビジョニング
    • Google Workspaceでのプロビジョニング
    • JumpCloudでのプロビジョニング
    • CloudGateでのプロビジョニング
    • OneLoginでのプロビジョニング
    • Microsoft AD FSでのプロビジョニング
    • SCIMを使用したAPIのプロビジョニング
      • SCIM APIプロビジョニングの使用
    • チームとユーザーの承認
    • メールアドレスで自動プロビジョニング
    • コマンダーSDKを使用したCLIのプロビジョニング
  • SSO/SAML認証
  • ユーザー管理とライフサイクル
  • メールアドレスの変更
  • ロール単位のアクセス権限設定
    • 強制適用ポリシー
    • セキュリティキー
  • 管理権限の委任
  • アカウント移管ポリシー
  • チーム (グループ)
  • 共有
    • レコードとファイルの共有
    • 共有フォルダ
    • PAMリソースの共有
    • ワンタイム共有
    • 共有管理機能
    • 時間制限付きアクセス
    • 自動消滅レコード
    • パスワードを隠す
  • レコードの作成
  • データのインポート
  • レコードタイプ
  • 二要素認証
  • 二要素認証コードの保存
  • セキュリティ監査
    • セキュリティ監査スコアの算出方法
  • BreachWatch (ダークウェブ)
  • ファイルストレージ
  • レポート作成、アラート、SIEM
    • イベント詳細
    • Splunk
    • Sumo Logic
    • Exabeam (LogRhythm)
    • Syslog
    • QRadar
    • Azure Sentinel
    • Azure Monitor
    • AWS S3バケット
    • Devo
    • Datadog
    • Logz.io
    • Elastic
    • ファイアウォールの設定
    • コマンダーによるオンサイトプッシュ通知
  • 推奨アラート
  • Webhooks (SlackおよびTeams)
    • Slack Webhook
    • Teams Webhook
    • Amazon Chime Webhook
    • Discord Webhook
  • コンプライアンスレポート
  • ボルトへのオフラインアクセス
  • シークレットマネージャー
  • コマンダーCLI
  • Keeperコネクションマネージャー
  • KeeperPAM特権アクセス管理
  • Keeperフォースフィールド
  • Keeper MSP
    • 無料トライアル
    • はじめに
    • 基本
    • 使用量に基づく請求
      • アドオン
      • 既存のMSP管理者
    • 導入
    • PSA 請求リコンサイル (照合)
    • Slackチャンネルに参加
    • 次のステップ
    • 削除
    • コマンダーCLI/SDK
    • アカウント管理API
    • API利用プロビジョニング家族プラン
    • MSPのベストプラクティス
  • 個人使用のための家族向け無料ライセンス
    • API経由で家族向けプランを提供
    • API経由での学生プランの提供
    • APIトラブルシューティング
      • APIパラメータ
      • APIレスポンスコード
      • APIエクスプローラ - Swagger
  • セキュリティの推奨設定
  • KeeperのIPをホワイトリスト化
  • Keeperの暗号化モデル
  • 開発者用API/SDKツール
  • KeeperChat
  • オンプレミスとクラウド
  • 認証フローV3
  • LastPassからの移行
  • トレーニングとサポート
  • LMS用Keeper SCORMファイル
  • ドキュメントホーム
Powered by GitBook
On this page
  • ロールの追加
  • ロール強制ポリシー
  • チームとロールのマッピング
  • SCIMでのロールのマッピング
  • ロール適用の競合
  • 強制適用ポリシー

ロール単位のアクセス権限設定

最小権限の原則に基づくKeeperのロール権限について

Previousメールアドレスの変更Next強制適用ポリシー

Last updated 4 months ago

Keeperアーキテクチャでは、ロールとチームという2つの概念があり、これらは密接に関連していますが、異なる目的で使用されます。

ロールは、ユーザーに与えられる権限を定義します。これにより、どのユーザーがどの機能や設定を利用できるか、またどの管理者機能を持つかが決定されます。つまり、ロールはユーザーのできることとできないことを管理するためのものです。

一方、チームは、ユーザー間で特権アカウントやボルト内の共有フォルダなどを共有するために用いられます。チームを活用することで、一つのグループに属するユーザー全体に対して、簡単にロールを割り当てることができます。これにより、グループ内の全員に対してポリシーを一貫して適用することが可能になります。

このロール単位のアクセス制御 (RBAC) により、組織はユーザーの職務範囲に基づいてアクセス権限を適切に設定したり、特定の管理機能を委任したりできるようになります。

作成するロールの数は、ビジネスのニーズなどによって異なりますが、最もシンプルな設定では、デフォルトのロール「Keeper管理者」があり、これは組織のKeeperアカウントを最初に設定した管理者や管理権限を持つユーザーに適用されます。ロールを用いて、特定のポリシーを適用したり、管理コンソールへのアクセス権を割り当てたりすることができます。

アカウントが失われたりアクセスできなくなったりした場合に備えて、副管理者をKeeper管理者ロールに追加しておきましょう。また、一般従業員ロールなど追加でロールを作成しておきましょう。

ロールベースアクセス制御の詳細については、以下の動画をご覧ください。

ロールの追加

手動でロールを追加する手順は以下の通りです。

  1. 管理コンソール内で「ロール」タブを選択します。

  2. ロールを割り当てたいノードに移動します。

  3. 「+」ボタンをクリックしてロールの追加を開始します。

  4. 組織ツリーから適切なノードを探して選択します。もしくは、ルートノードを選択します。

  5. 新しいロールの名前を入力し、[追加]をクリックします。

  6. ロールを作成した後、そのロールの強制ポリシーを設定します。

  7. そのロールを割り当てたいユーザーを選択し、管理上の権限を設定します。

ロール強制ポリシー

まず、設定したいロールを選択してから強制ポリシーボタンをクリックします。以下の領域で強制ポリシーが設定されていることを確認します。

  • ログイン設定

  • 二要素認証 (2FA)

  • プラットフォーム制限

  • ボルト機能

  • レコード内パスワード

  • 作成と共有に関する設定

  • インポートとエクスポート

  • KeeperFill

  • アカウント設定

  • IPのホワイトリスト

  • Keeperシークレットマネージャー

  • 特権アクセス管理 (KeeperPAM)

  • アカウント移管

チームとロールのマッピング

チームとロールをマッピングすることで、既存のIDプロバイダを使用してユーザーをカスタムロールの付与が可能なチームに直接割り当てることが可能となります。チームとロールのマッピングを使用すると、ロールに割り当てられたチームのメンバーであるユーザーが、指定されたロールの施行を担うことになります。ユーザーは2回以上ロールのメンバーになることが可能で、1回目はユーザー - ロールのメンバーシップを通して、その後は (存在する場合)、ユーザー - チーム - ロールのメンバーシップを通してとなります。

チームとロールのマッピングを使用するには、管理者がロールを個々のユーザーに対してではなく、をチーム全体に適用し、ロール強制ポリシーを使用して各チームに異なる要件や制限を設定できます。

現在、管理ロールをチームにマッピングすることができません。これは管理者がうっかりユーザーの権限を昇格させてしまうのを防ぐためです。この仕様については今後のリリースに向けて検討中です。

SCIMでのロールのマッピング

Keeper管理コンソールでSCIM (System for Cross-Domain Identity Management) を設定する際、ロールが自動的に割り当てられることがあります。デフォルトでは、SCIMグループはKeeperのチームにマッピングされます。このオプションの接頭辞で始まるSCIMグループ名は、代わりにロールへの割り当てにマッピングされます。

ロール適用の競合

ユーザーが複数のロールのメンバーであったり、さまざまなロールが適用されたチームのメンバーである場合、ユーザーがメンバーとなっているすべてのロールで適用が満たされることになります。Keeperでは最小権限のポリシーが適用されるので、ユーザーが複数のロールのメンバーである場合は、実際のポリシーとしては最も制限が厳しいポリシーが適用されることになります。

たとえば、ロールAでは他のユーザーへの共有が許可されず、ロールBではKeeperアカウント外での共有が許可されない場合、このユーザーは、ロールA (最小権限) で共有が許可されていないため、どのユーザーとの共有もできなくなります。

強制適用ポリシー

ロールの追加については、管理コンソールで手動で追加する方法、SCIMを介して自動的にマッピングする方法、Keeperブリッジを介してActive Directory/LDAPから直接割り当てる方法がご利用になれます。Active Directoryを介してユーザーを追加する方法については、ガイドをご参照ください。

強制ポリシーの詳細については、をご参照ください。

では、ご利用いただける強制適用ポリシーについて解説します。

こちらのページ
次のセクション
アクセス制御と許可
SCIMでのろ=るのマッピング
Keeper AD Bridge