ロール単位のアクセス権限設定

Keeperアーキテクチャでは、ロールとチームという2つの概念があり、これらは密接に関連していますが、異なる目的で使用されます。

ロールは、ユーザーに与えられる権限を定義します。これにより、どのユーザーがどの機能や設定を利用できるか、またどの管理者機能を持つかが決定されます。つまり、ロールはユーザーのできることとできないことを管理するためのものです。

一方、チームは、ユーザー間で特権アカウントやボルト内の共有フォルダなどを共有するために用いられます。チームを活用することで、一つのグループに属するユーザー全体に対して、簡単にロールを割り当てることができます。これにより、グループ内の全員に対してポリシーを一貫して適用することが可能になります。

このロール単位のアクセス制御 (RBAC) により、組織はユーザーの職務範囲に基づいてアクセス権限を適切に設定したり、特定の管理機能を委任したりできるようになります。

作成するロールの数は、ビジネスのニーズなどによって異なりますが、最もシンプルな設定では、デフォルトのロール「Keeper管理者」があり、これは組織のKeeperアカウントを最初に設定した管理者や管理権限を持つユーザーに適用されます。ロールを用いて、特定のポリシーを適用したり、管理コンソールへのアクセス権を割り当てたりすることができます。

ロールベースアクセス制御の詳細については、以下の動画をご覧ください。

ロールの追加

手動でロールを追加する手順は以下の通りです。

1. 管理コンソール内で「ロール」タブを選択します。

2. ロールを割り当てたいノードに移動します。

3. 「+」ボタンをクリックしてロールの追加を開始します。

4. 組織ツリーから適切なノードを探して選択します。もしくは、ルートノードを選択します。

5. 新しいロールの名前を入力し、[追加]をクリックします。

6. ロールを作成した後、そのロールの強制ポリシーを設定します。

7. そのロールを割り当てたいユーザーを選択し、管理上の権限を設定します。

ロール強制ポリシー

まず、設定したいロールを選択してから強制ポリシーボタンをクリックします。以下の領域で強制ポリシーが設定されていることを確認します。

• ログイン設定

• 二要素認証 (2FA)

• プラットフォーム制限

• ボルト機能

• レコード内パスワード

• 作成と共有に関する設定

• インポートとエクスポート

• KeeperFill

• アカウント設定

• IPのホワイトリスト

• Keeperシークレットマネージャー

• 特権アクセス管理 (KeeperPAM)

• アカウント移管

チームとロールのマッピング

チームとロールをマッピングすることで、既存のIDプロバイダを使用してユーザーをカスタムロールの付与が可能なチームに直接割り当てることが可能となります。チームとロールのマッピングを使用すると、ロールに割り当てられたチームのメンバーであるユーザーが、指定されたロールの施行を担うことになります。ユーザーは2回以上ロールのメンバーになることが可能で、1回目はユーザー - ロールのメンバーシップを通して、その後は (存在する場合)、ユーザー - チーム - ロールのメンバーシップを通してとなります。

チームとロールのマッピングを使用するには、管理者がロールを個々のユーザーに対してではなく、をチーム全体に適用し、ロール強制ポリシーを使用して各チームに異なる要件や制限を設定できます。

SCIMでのロールのマッピング

Keeper管理コンソールでSCIM (System for Cross-Domain Identity Management) を設定する際、ロールが自動的に割り当てられることがあります。デフォルトでは、SCIMグループはKeeperのチームにマッピングされます。このオプションの接頭辞で始まるSCIMグループ名は、代わりにロールへの割り当てにマッピングされます。

ロール適用の競合

ユーザーが複数のロールのメンバーであったり、さまざまなロールが適用されたチームのメンバーである場合、ユーザーがメンバーとなっているすべてのロールで適用が満たされることになります。Keeperでは最小権限のポリシーが適用されるので、ユーザーが複数のロールのメンバーである場合は、実際のポリシーとしては最も制限が厳しいポリシーが適用されることになります。

たとえば、ロールAでは他のユーザーへの共有が許可されず、ロールBではKeeperアカウント外での共有が許可されない場合、このユーザーは、ロールA (最小権限) で共有が許可されていないため、どのユーザーとの共有もできなくなります。

強制適用ポリシー