LogoLogo
Keeperコネクションマネージャー
Keeperコネクションマネージャー
  • 概要
  • セキュリティアーキテクチャ
  • インストール
    • ライセンスキー
    • システム要件
    • インストールの準備
    • Dockerの自動インストール
      • サービス管理
      • アップグレード
      • パッケージの追加
    • Docker Composeインストール
      • keeper/guacamole
      • keeper/guacd
      • データベースイメージ
        • keeper/guacamole-db-mysql
        • keeper/guacamole-db-postgres
      • SSLターミネーション
        • keeper/guacamole-ssl-nginx
        • カスタムSSL証明書の使用
      • アップグレード
    • バックアップと復元
  • 認証オプション
    • SAML SSO認証
      • Microsoft Azure
      • Okta
      • Google Workspace
      • OneLogin
      • Oracle
      • PingIdentity
    • TOTPを使用した2FA
    • Duoを使用した2FA
    • SSL/TLSクライアント認証
    • 複数のホスト名
    • PIV/CAC/スマートカード
    • アカウントの承認/拒否ワークフロー
    • OpenID Connect認証
    • LDAP認証
      • 複数のLDAPサーバーの使用
      • LDAP内の接続データを格納
      • LDAPとデータベースの併用
  • 接続プロトコル
    • RDP
    • SSH
    • VNC
    • Telnet
    • リモートブラウザ分離
    • Kubernetes
    • MySQL
      • インポートとエクスポート
      • キーボードショートカット
    • PostgreSQL
      • インポートとエクスポート
      • キーボードショートカット
    • Microsoft SQL Server
      • インポートとエクスポート
      • キーボードショートカット
    • ホストインスタンスへの接続
    • 永続的リバースSSHトンネル
      • WindowsサービスとしてのAutoSSH
      • Linux - AutoSSH
      • Windows - OpenSSH
  • KCMの使用方法
    • ログイン画面
    • ホーム画面
    • 接続の作成
      • 接続の一括インポート
    • KCMの使用方法
    • ファイル転送設定
    • 接続の共有
    • セッションのレコーディングと再生
    • AWS EC2ディスカバリ
    • クレデンシャルパススルー
    • 動的接続
    • カスタムブランディング
      • ロゴを追加する
  • ボルト連携
    • KCMをボルトに接続
    • 動的トークン
    • 静的トークン
    • 複数ボルトの連携
    • EC2 Cloud Connector
    • 高度な機能
    • KeeperPAM
  • カスタム拡張機能
  • ゲストモード
  • 高可用性
  • 詳細設定
    • guacamole.properties
      • SAML 2.0認証の設定プロパティ
      • Duo二要素認証の設定プロパティ
      • 暗号化されたJSONの設定プロパティ
      • LDAP設定のプロパティ
      • MySQL/MariaDBの設定プロパティ
      • PostgreSQL設定のプロパティ
      • SQL Serverの設定プロパティ
      • ログイン試行のプロパティ
  • トラブルシューティング
  • 接続のインポート
  • 接続のエクスポート
  • リリース前テスト
  • 変更記録
  • ライセンス供与とオープンソース
  • サポート範囲
  • セキュリティアドバイザリ
  • アクセシビリティ適合性
Powered by GitBook
On this page
  • 概要
  • 接続グループ
  • ユーザー指定の設定
  • Dockerインストールメソッド
  • 優先順位
  1. ボルト連携

複数ボルトの連携

Keeperシークレットマネージャーを使用した複数のKeeperボルトまたは複数の共有フォルダとの連携

Previous静的トークンNextEC2 Cloud Connector

Last updated 5 months ago

概要

Keeperコネクションマネージャーは、Keeperシークレットマネージャーと連携して、Keeperボルトの様々なボルトや共有フォルダからシークレットを取得できます。KCMが複数のKeeperボルトに接続してシークレットを取得するには、主に以下の2つの方法があります。

  1. 接続グループを異なるシークレットマネージャー設定に割り当てることができます。接続グループ内で定義された接続は、グループ割り当てからシークレットを取得します。

  2. ユーザーにシークレットマネージャーの設定を割り当てることができ、接続はユーザープロファイルごとに定義された設定からシークレットを取得できます。これにより、異なるユーザーが独自のシークレットのセットを使用して同じ接続セットに接続できるようになります。

接続グループ

Keeperコネクションマネージャーの各「Connection Groups」 (接続グループ)は、グループ内の接続に対してKeeperシークレットマネージャーの設定を使用できます。これを有効にすると、各接続グループは対応するシークレットマネージャー設定内のレコードを検索し、シークレットを取得して、接続設定内のトークンを置き換えます。

接続グループでKeeperシークレットマネージャーを使用するには、接続グループフォームの「KSM Service Configuration」 (KSMサービス設定) フィールドにKeeperシークレットマネージャーのワンタイムアクセストークンまたは設定を入力します。

この接続グループ内で作成された接続はすべて、接続の確立時にシークレットを取得するように定義されたシークレットマネージャー設定を使用し、ルートレベルのシークレットマネージャー設定は使用しません。

シークレットマネージャーの設定は、同じボルトから取得することも、他のボルトから取得することもできます。

ユーザー指定の設定

Keeperシークレットマネージャーの各ユーザープロファイルを任意の接続のKeeperシークレットマネージャー設定に割り当てることができます。ユーザー固有のボルトを許可するように接続が更新されると、Keeperコネクションマネージャーはユーザーの対応する設定からシークレットを取得します。この機能により、複数のユーザーが、ユーザー自身のボールトに由来するシークレットを使用して、同じ接続セットを共有できるようになります。

ユーザー固有のシークレットマネージャー接続を使用するには、Keeperコネクションマネージャーのインストールでこの機能を有効にする必要があります。デフォルトでは無効になっています。

Dockerインストールメソッド

docker-compose.ymlファイル内のkeeper/guacamoleのDockerイメージに、新たな環境変数を追加する必要があります。

KSM_ALLOW_USER_CONFIG

以下はその例です。

docker-compose.yml
            ....
            MYSQL_DATABASE: "guacamole_db"
            MYSQL_USERNAME: "guacamole_user"
            KSM_CONFIG:"XXX"
            ....
            ....
            KSM_ALLOW_USER_CONFIG: "true"
            ....

ユーザーの編集画面で、そのユーザーに設定されたKSM Service Configuration (KSMサービス設定) を入力します。各ユーザーが自分用にKSM Service Configurationを指定するためにも使用できます。

接続を作成または編集するときに、「Allow user-provided KSM configuration」 (ユーザー指定のKSM設定を許可する) というフィールドが表示されます。

このオプションを選択すると、Keeperコネクションマネージャーが、Keeperシークレットマネージャーの設定に対応するユーザーのボルト内の該当シークレットを検索します。

優先順位

Keeperコネクションマネージャーは、適用可能であれば常に基本 (または接続グループ) シークレットを使用します。ユーザーが管理者の意向を無視できないように、ユーザー指定のシークレットの使用は、管理者が指定するシークレットがない場合に限定されます。

使用可能なトークンとその使用方法の詳細は、をご参照ください。

接続グループでシークレットマネージャー設定を使用するには、基本設定でシークレットマネージャー設定をデフォルトとして規定する必要があります。 シークレットマネージャーの設定の詳細は、こちらのをご参照ください。

動的トークンのドキュメント
ドキュメント
接続グループの設定