チーム (グループ)
Keeperチームであらかじめ定義されたユーザーグループ間で特権アカウントを共有
チームは、個人をグループ分けしてボルト内のレコードやフォルダを共有できるようにする目的で作成します。管理者はチームを作成し、チームの制限 (編集、表示、パスワードの共有) を設定して、個々のユーザーをチームに追加します。ユーザーは手動あるいは各種の自動化手法を使用してチームに追加できます。
また、チームを使用するとグループ全体にロールを簡単に割り当てられるため、グループ全体で強制適用ポリシーの一貫性を確保できます。
チームを追加
[チーム]タブに移動し、[+ チームを追加]ボタンをクリックします。ロールと同様に、チームも特定のノードに追加されます。チーム名を入力し、[チームを追加]をクリックして保存します。
チームを編集
[チーム]タブから、編集したいチームを選択します。ここから、名前の変更、レコードの再共有の禁止、レコードの編集の禁止、プライバシー画面の適用などを設定できます。チームが属するノードを変更したり、チームにユーザーやロールを追加することもできます。チームを削除するには[オプション]から[削除]をクリックします。
チーム単位の制限
チームに様々な制限を設定して、フォルダ単位の権限設定を上書きできます。
レコードの再共有を禁止
この制限を適用すると、このチームに共有されているパスワードを再共有できなくなります。共有フォルダの権限が優先されます。
レコードの編集を禁止
この制限を適用すると、パスワードの使用と表示は可能ですが編集はできなくなります。共有フォルダの権限が優先されます。
プライバシー画面を適用
Keeperのプライバシー画面機能を使用すると、すべてのパスワードの表示 (伏せ字解除) をチーム単位で制御できます。この機能は一般的にテクノロジーに詳しくないユーザー向けにパスワードの表示を制限するために使用します。このポリシーを適用することでパスワードがユーザーインターフェースから見えなくなり、不意の覗き見から護るのに役立ちます。なお、パスワードの伏せ字表示は、単に表示上の処理で、パスワードはユーザーのボルトに保管されたままであり、API通信およびブラウザ検証を使用すれことでアクセスは可能です。プライバシー画面は、Keeperのロール強制適用ポリシーでロール単位およびウェブサイトのドメイン単位で設定することもできます。
プライバシー画面機能の詳細については、以下の動画をご覧ください。
ユーザーをチームへ追加
以下の方法でユーザーをチームへ追加できます。
管理コンソールから手動操作
Keeperブリッジ (AD/LDAP用) から自動処理
SCIMプロビジョニング (Azure、Oktaなど) から自動処理
KeeperコマンダーCLI から自動処理
管理コンソールからユーザーをチームへ追加
[+ ユーザーを追加]ボタンをクリックしてユーザーをチームへ追加します。
チームへ招待済みのユーザーをコマンダーで待機状態にする
Keeperチームへ招待済みのユーザーを待機状態にしたい場合は、Keeperコマンダーのenterprise-team
コマンドを使用します。以下の例は、チームへ招待済みのユーザーを追加しています。「待機状態のユーザー」が出力されているのが確認できます。
待機状態のチームとユーザーは、「チームとユーザーの承認」のページに記載の方法のいずれかを使用して処理します。
チームのプロビジョニングを自動化
チームは、以下のページで記載されている方法でもプロビジョニングできます。
チームとユーザーの承認
チームとチームとユーザーの割り当ては、暗号化された公開鍵と秘密鍵を使用して実行されます。 チームは公開鍵と秘密鍵を持っています。ユーザーをチームに追加するには、ユーザーの公開鍵を使用してチームの鍵を暗号化します。管理コンソールでチームを作成してユーザーをチームに割り当てる場合、管理者は暗号化処理に必要な権限と鍵へのアクセス権を持っているため、すべての暗号化がローカルで行われます。
KeeperブリッジやSCIM APIなどの自動化された方法で作成されたチームとチーム割り当てには、割り当てを完全に作成するために必要な暗号化鍵がありません。そのため、これらのチームと割り当ては「待機」システムに入ります。
待機状態に入ったチームとチームとユーザーの割り当ては、以下の操作のいずれかで処理します。
管理者が管理コンソールにログインする (任意で「完全同期」をクリック)
それぞれのチームのユーザーがウェブボルトまたはデスクトップアプリにログインする
管理者がKeeperコマンダーでteam-approveコマンドを実行する
管理者がKeeperオートメーターサービス (バージョン3.0以降) をセットアップする
SCIMとコマンダーAPIについては、「チームとユーザーの承認」のページに記載の方法で承認できます。
ADブリッジまたはSCIM管理ノードに関して
ユーザーがエンタープライズ内の特定のノードのSCIMまたはActive Directoryブリッジを通じて管理されている場合は、チーム管理を自動化処理とIDプロバイダを通じて行うことをお勧めします。管理コンソールからチームを手動で作成したり編集したりすると、IDプロバイダーに干渉し、同期の問題が発生する可能性があります。
Last updated