Docker Compose

本ページでは、DockerまたはDocker Composeを実行できるLinuxインスタンスでKeeperオートメーターを実行するための手順を解説します。

Docker Composeには、標準のDockerよりも利点が多くあります。

• コンテナの更新間でデータが保持されます

• 将来の更新のインストールと保守が簡単です

Docker Composeメソッドを使用したオートメーターのインストール手順は以下のとおりです。

1. DockerとDocker Composeのインストール

DockerとDocker Composeのインストール手順はプラットフォームによって異なります。以下の公式ドキュメントをご参照ください。

LinuxにDockerおよびDocker Composeインストール手順をご参照ください。

備考: Linuxではdocker composeの代わりにdocker-composeを使用できます。

インストール後にDockerサービスが動作していない場合は、Dockerサービスの起動が必要になる場合があります。

sudo service docker start

次に、サービスが自動的に開始するように設定します。

sudo systemctl enable docker.service

root以外のユーザーにDockerの実行を許可するには (セキュリティ要件を満たしている場合）、以下のコマンドを実行します。

sudo chmod 666 /var/run/docker.sock

1. docker-compose.ymlファイルを作成します

以下のコードをdocker-compose.ymlファイルとして、サーバーのdocker composeコマンドを実行する場所に保存します。

name: keeper-automator
services:
  automator:
    container_name: "automator"
    environment:
      - AUTOMATOR_PORT=443
      - AUTOMATOR_HOST=localhost
      - SSL_MODE=certificate
    restart: on-failure
    image: "keeper/automator:latest"
    ports:
      - 8089:443
    volumes:
      - automatordata:/usr/mybin/config
volumes:
  automatordata:

1. コンテナをインストールして起動

docker compose pull
docker compose up -d

docker cp ssl-certificate.pfx automator:/usr/mybin/config/
docker cp ssl-certificate-password.txt automator:/usr/mybin/config/

1. 新しい証明書でサービスを再起動

docker compose restart

1. Keeperコマンダーをインストール

この時点でサービスは実行中ですが、Keeperとはまだ通信できない状態です。

$ keeper shell

My Vault> login admin@company.com
.
.
My Vault>

1. コマンダーで初期化します

Keeperコマンダーにログインし、automator createで始まる一連のコマンドを使用してオートメーターを有効化します。

My Vault> automator create --name="My Automator" --node="Azure Cloud"

ノード名 (この場合は、Azure Cloud) は、以下に示すように管理コンソールのUIに表示されます。

コマンドの出力には、IDプロバイダから取得したメタデータを含むオートメーターの設定が表示されます。

                    Automator ID:1477468749950
                            Name:My Automator
                             URL:
                         Enabled:No
                     Initialized:No
                          Skills:Device Approval

URLはまだ設定されていないませんので、選択したFQDNを使用してURLを編集します。

以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます (team、 team_for_user、device）。

automator edit --url https://<application URL> --skill=team --skill=team_for_user --skill=device "My Automator"

次にキーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。

automator setup "My Automator"

新しい設定でオートメーターを初期化します。

automator init "My Automator"

オートメーターサービスを有効にします。

automator enable "My Automator"

この時点で設定は完了となります。

自動ヘルスチェックには以下のURLをご使用になれます。

https://<server>/health

以下はその例です。

$ curl https://automator.lurey.com/health
OK

ログのモニタリング

Docker Compose コマンドを使用してオートメーターログをモニターできます。

docker compose logs -f

AD FSを使用した環境の場合

IDプロバイダとしてAD FSを使用してKeeperオートメーターを有効にする場合、以下の手順に従ってKeeper 証明書を更新するまでログインできません。

• Keeper管理コンソールへログインします。

• [管理者] > SSOノード > [プロビジョニング]に移動し、SSOクラウド設定を見ます。

• [SP証明書をエクスポート]をクリックします。

• AD FS管理コンソールで、KeeperクラウドSSO証明書利用者信頼プロパティを選択します。

• [暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。

• [署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。

サービスの確保

アップデート

オートメーターの新バージョンが利用できるようになった際には、コンテナのアップデートするだけでご利用になれます。

docker compose pull
docker compose up -d

ユーザー体験のテスト

Keeperオートメーターがデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。

最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。