複数ボルトの連携
Keeperシークレットマネージャーを使用した複数のKeeperボルトまたは複数の共有フォルダとの連携
概要
Keeperコネクションマネージャーは、Keeperシークレットマネージャーと連携して、Keeperボルトの様々なボルトや共有フォルダからシークレットを取得できます。KCMが複数のKeeperボルトに接続してシークレットを取得するには、主に以下の2つの方法があります。
接続グループを異なるシークレットマネージャー設定に割り当てることができます。接続グループ内で定義された接続は、グループ割り当てからシークレットを取得します。
ユーザーにシークレットマネージャーの設定を割り当てることができ、接続はユーザープロファイルごとに定義された設定からシークレットを取得できます。これにより、異なるユーザーが独自のシークレットのセットを使用して同じ接続セットに接続できるようになります。
接続グループ
Keeperコネクションマネージャーの各「Connection Groups」 (接続グループ)は、グループ内の接続に対してKeeperシークレットマネージャーの設定を使用できます。これを有効にすると、各接続グループは対応するシークレットマネージャー設定内のレコードを検索し、シークレットを取得して、接続設定内のトークンを置き換えます。
接続グループでKeeperシークレットマネージャーを使用するには、接続グループフォームの「KSM Service Configuration」 (KSMサービス設定) フィールドにKeeperシークレットマネージャーのワンタイムアクセストークンまたは設定を入力します。
この接続グループ内で作成された接続はすべて、接続の確立時にシークレットを取得するように定義されたシークレットマネージャー設定を使用し、ルートレベルのシークレットマネージャー設定は使用しません。
シークレットマネージャーの設定は、同じボルトから取得することも、他のボルトから取得することもできます。
使用可能なトークンとその使用方法の詳細は、動的トークンのドキュメントをご参照ください。
ユーザー指定の設定
Keeperシークレットマネージャーの各ユーザープロファイルを任意の接続のKeeperシークレットマネージャー設定に割り当てることができます。ユーザー固有のボルトを許可するように接続が更新されると、Keeperコネクションマネージャーはユーザーの対応する設定からシークレットを取得します。この機能により、複数のユーザーが、ユーザー自身のボールトに由来するシークレットを使用して、同じ接続セットを共有できるようになります。
ユーザー固有のシークレットマネージャー接続を使用するには、Keeperコネクションマネージャーのインストールでこの機能を有効にする必要があります。デフォルトでは無効になっています。
Dockerインストールメソッド
docker-compose.ymlファイル内のkeeper/guacamoleのDockerイメージに、新たな環境変数を追加する必要があります。
KSM_ALLOW_USER_CONFIG
以下はその例です。
ユーザーの編集画面で、そのユーザーに設定されたKSM Service Configuration (KSMサービス設定) を入力します。各ユーザーが自分用にKSM Service Configurationを指定するためにも使用できます。
接続を作成または編集するときに、「Allow user-provided KSM configuration」 (ユーザー指定のKSM設定を許可する) というフィールドが表示されます。
このオプションを選択すると、Keeperコネクションマネージャーが、Keeperシークレットマネージャーの設定に対応するユーザーのボルト内の該当シークレットを検索します。
優先順位
Keeperコネクションマネージャーは、適用可能であれば常に基本 (または接続グループ) シークレットを使用します。ユーザーが管理者の意向を無視できないように、ユーザー指定のシークレットの使用は、管理者が指定するシークレットがない場合に限定されます。
Last updated