LinuxベースのDocker
Keeper Automatorをシンプルなdocker環境にデプロイする方法
最終更新
Keeper Automatorをシンプルなdocker環境にデプロイする方法
最終更新
本ガイドでは、Dockerを実行できるLinux インスタンスでKeeper Automatorを実行するための手順を解説します。
SSL証明書が必要となりますので、お持ちでない場合はカスタムSSL証明書の作成ページをご参照ください。
(1) Dockerのインストール
Dockerをインストールしていない場合は、ご利用のプラットフォームの手順に従ってセットアップします。たとえば、yumパッケージインストーラーを使用する場合、以下のようになります。
Dockerサービスが実行されていない場合は、Dockerサービスを開始します。
次に、サービスが自動的に開始するように設定します。
root以外のユーザーにDockerの実行を許可するには(セキュリティ要件を満たしている場合)、以下のコマンドを実行します。
(2) Automatorイメージの取得
docker pull
コマンドを使用して、最新のKeeper Automatorイメージを取得します。
(3) サービスの開始
以下のコマンドを使用してサービスを開始します。以下の例では、ポート443をリッスンしています。
(4) 証明書の更新
dockerコンテナ内にconfigフォルダを作成します。
証明書ガイドで作成したssl-certificate.pfx
ファイルをコンテナにコピーします。
.pfxファイルがパスフレーズで保護されている場合は、ssl-certificate-password.txt
という名前のファイルも作成して、dockerコンテナにコピーする必要があります。
(5) SSL証明書を使用してコンテナを再起動
証明書がインストールされましたので、Dockerコンテナを再起動します。
(6) Keeper Commanderをインストール
この時点でサービスは実行中ですが、Keeperとはまだ通信でない状態です。
ご利用のワークステーション、サーバー、コンピュータなどにKeeper Commander CLIをインストールします。バイナリインストーラーを含むインストール手順についてはこちらをご覧ください。
Commanderをインストールした後、keeper shell
と入力してセッションを開いてからlogin
コマンドを使用してログインします。Automatorをセットアップするには、Keeper管理者、またはSSOノードを管理できる管理者としてログインする必要があります。
(7) Commanderで初期化
Keeper Commanderにログインし、automator create
で始まる一連のコマンドを使用してAutomatorを有効化します。
ノード名(この場合はAzure Cloud)は、以下のように管理コンソールのUIに表示されます。
コマンドの出力には、IDプロバイダから取得したメタデータを含むAutomatorの設定が表示されます。
以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます(team
、 team_for_user
、device
)。
次にキーを交換します。Automator公開キーで暗号化されたエンタープライズ秘密キーがAutomator に提供されます。
新しい設定でAutomatorを初期化します。
Automatorサービスを有効にします。
この時点で設定は完了となります。
自動ヘルスチェックには以下のURLをご使用になれます。
https://<server>/health
以下はその例です。
IDプロバイダとしてAD FSを使用してKeeper Automatorを有効にする場合、以下の手順に従ってKeeper 証明書を更新するまでログインできません。
Keeper管理コンソールへログインします。
[管理] > [SSOノード] > [プロビジョニング]に移動し、SSOクラウド設定を見ます。
[Export SP Cert]をクリックします。
AD FS管理コンソールで、Keeper Cloud SSO証明書利用者信頼プロパティを選択します。
[暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。
[署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。
Keeperのサーバーおよびご利用のワークステーションからサービスへのネットワークアクセスを制限することを推奨します。許可するKeeper IPアドレスのリストについては、イングレス要件をご参照ください。
Keeper Automatorがデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。
Keeper Automatorサービスを停止/開始する際、Dockerサービスは自動的に状態を保持します。
Keeper Automatorのログを確認してください。通常これで問題がわかります。Docker環境では、以下のコマンドを使用してログファイルを追跡できます。
以下のコマンドを使用して、コンテナに接続してログファイルを確認できます。