ロール単位のアクセス権限設定
最小権限の原則に基づくKeeperのロール権限について
Last updated
最小権限の原則に基づくKeeperのロール権限について
Last updated
Keeperアーキテクチャでは、ロールとチームという2つの概念があり、これらは密接に関連していますが、異なる目的で使用されます。
ロールは、ユーザーに与えられる権限を定義します。これにより、どのユーザーがどの機能や設定を利用できるか、またどの管理者機能を持つかが決定されます。つまり、ロールはユーザーのできることとできないことを管理するためのものです。
一方、チームは、ユーザー間で特権アカウントやボルト内の共有フォルダなどを共有するために用いられます。チームを活用することで、一つのグループに属するユーザー全体に対して、簡単にロールを割り当てることができます。これにより、グループ内の全員に対してポリシーを一貫して適用することが可能になります。
このロール単位のアクセス制御 (RBAC) により、組織はユーザーの職務範囲に基づいてアクセス権限を適切に設定したり、特定の管理機能を委任したりできるようになります。
作成するロールの数は、ビジネスのニーズなどによって異なりますが、最もシンプルな設定では、デフォルトのロール「Keeper管理者」があり、これは組織のKeeperアカウントを最初に設定した管理者や管理権限を持つユーザーに適用されます。ロールを用いて、特定のポリシーを適用したり、管理コンソールへのアクセス権を割り当てたりすることができます。
アカウントが失われたりアクセスできなくなったりした場合に備えて、副管理者をKeeper管理者ロールに追加しておきましょう。また、一般従業員ロールなど追加でロールを作成しておきましょう。
ロールベースアクセス制御の詳細については、以下の動画をご覧ください。
手動でロールを追加する手順は以下の通りです。
管理コンソール内で「ロール」タブを選択します。
ロールを割り当てたいノードに移動します。
「+」ボタンをクリックしてロールの追加を開始します。
組織ツリーから適切なノードを探して選択します。もしくは、ルートノードを選択します。
新しいロールの名前を入力し、[追加]をクリックします。
ロールを作成した後、そのロールの強制ポリシーを設定します。
そのロールを割り当てたいユーザーを選択し、管理上の権限を設定します。
まず、設定したいロールを選択してから強制ポリシーボタンをクリックします。以下の領域で強制ポリシーが設定されていることを確認します。
ログイン設定
二要素認証 (2FA)
プラットフォーム制限
ボルト機能
共有とアップロード
KeeperFill
アカウント設定
IPのホワイトリスト
Keeper Secrets Manager
アカウント移管
強制ポリシーの詳細については、こちらのページをご参照ください。
チームとロールをマッピングすることで、既存のIDプロバイダを使用してユーザーをカスタムロールの付与が可能なチームに直接割り当てることが可能となります。チームとロールのマッピングを使用すると、ロールに割り当てられたチームのメンバーであるユーザーが、指定されたロールの施行を担うことになります。ユーザーは2回以上ロールのメンバーになることが可能で、1回目はユーザー - ロールのメンバーシップを通して、その後は (存在する場合)、ユーザー - チーム - ロールのメンバーシップを通してとなります。
チームとロールのマッピングを使用するには、管理者がロールを個々のユーザーに対してではなく、をチーム全体に適用し、ロール強制ポリシーを使用して各チームに異なる要件や制限を設定できます。
現在、管理ロールをチームにマッピングすることができません。これは管理者がうっかりユーザーの権限を昇格させてしまうのを防ぐためです。この仕様については今後のリリースに向けて検討中です。
ユーザーが複数のロールのメンバーであったり、さまざまなロールが適用されたチームのメンバーである場合、ユーザーがメンバーとなっているすべてのロールで適用が満たされることになります。Keeperでは最小権限のポリシーが適用されるので、ユーザーが複数のロールのメンバーである場合は、実際のポリシーとしては最も制限が厳しいポリシーが適用されることになります。
たとえば、ロールAでは他のユーザーへの共有が許可されず、ロールBではKeeperアカウント外での共有が許可されない場合、このユーザーは、ロールA (最小権限) で共有が許可されていないため、どのユーザーとの共有もできなくなります。
次のセクションでは、ご利用いただける強制適用ポリシーについて解説します。
ロールの追加については、管理コンソールで手動で追加する方法、SCIMを介して自動的にマッピングする方法、Keeperブリッジを介してActive Directory/LDAPから直接割り当てる方法がご利用になれます。Active Directoryを介してユーザーを追加する方法については、ガイドをご参照ください。