LogoLogo
KeeperクラウドSSOコネクト
KeeperクラウドSSOコネクト
  • KeeperクラウドSSOコネクト
  • 概要
  • 管理コンソールの設定
  • SSO IDプロバイダ
    • Amazon AWS
    • Auth0
    • Centrify
    • CloudGate UNO
    • DUO SSO
    • Entra ID (Azure AD)
    • F5
    • Google Workspace
      • Cloud Serviceを使用したGoogle Workplaceのユーザーとチームのプロビジョニング
      • SCIMを使用したGoogle Workplaceユーザープロビジョニング
    • HENNGE
    • Imprivata (英語)
    • JumpCloud
    • Microsoft AD FS
    • Okta
    • OneLogin
    • Ping Identity
    • PingOne
    • Rippling
    • RSA SecurID Access
    • SecureAuth
    • Shibboleth
    • その他のSAML 2.0プロバイダ
  • パスワードレスプロバイダ
    • Traitware
    • Trusona
    • Veridium
    • Beyond Identity
  • デバイス承認
    • Keeperプッシュ通知
    • 管理者承認
    • Keeperオートメーターサービス
      • バージョン17.0の概要
      • イングレス要件
      • Azure Container Apps
      • Azure App Services
      • Azure App Gateway (高度な設定)
      • AWS Elastic Containerサービス
      • KSMを使用したAWS Elastic Container サービス (高度な設定)
      • LinuxベースのJava
      • LinuxベースのDocker
      • Docker Compose
      • Google Cloud (GCP Cloud Run)
      • Kubernetesサービス
      • Windowsサービス
      • マルチテナントモード
      • カスタムSSL証明書
      • 高度な設定
      • トラブルシューティング
    • CLIを使用した承認
  • 証明書の更新
  • ログアウト設定
  • ユーザープロビジョニング
  • システムアーキテクチャ
  • セキュリティとユーザーフロー
  • オンプレミスからの移行
  • グラフィックアセット
  • リンクとリソース
GitBook提供
このページ内
  • LinuxベースのDocker
  • セットアップ
  • サービスの確保
  • ユーザー体験のテスト
  • サービスの再起動
  • コンテナの更新
  • トラブルシューティング

役に立ちましたか?

GitHubで編集
PDFとしてエクスポート
  1. デバイス承認
  2. Keeperオートメーターサービス

LinuxベースのDocker

Keeperオートメーターをシンプルなdocker環境にデプロイする方法

前へLinuxベースのJava次へDocker Compose

最終更新 2 か月前

役に立ちましたか?

LinuxベースのDocker

本ガイドでは、Dockerを実行できるLinuxインスタンスでKeeperオートメーターを実行するための手順を解説します。

セットアップ

  1. Dockerのインストール

Dockerをインストールしていない場合は、ご利用のプラットフォームの手順に従ってセットアップします。たとえば、yumパッケージインストーラーを使用する場合、以下のようになります。

sudo yum install docker

Dockerサービスが実行されていない場合は、Dockerサービスを開始します。

sudo service docker start

次に、サービスが自動的に開始するように設定します。

sudo systemctl enable docker.service

root以外のユーザーにDockerの実行を許可するには (セキュリティ要件を満たしている場合)、以下のコマンドを実行します。

sudo chmod 666 /var/run/docker.sock
  1. オートメーターイメージの取得

docker pullコマンドを使用して、最新のKeeperオートメーターイメージを取得します。

docker pull keeper/automator
  1. サービスの開始

以下のコマンドを使用してサービスを開始します。以下の例では、ポート443をリッスンしています。

docker run -d -p443:443/tcp \
  --name "Keeper-Automator" \
 --restart on-failure:3 \
 keeper/automator
  1. 証明書の更新

dockerコンテナ内にconfigフォルダを作成します。

docker exec -it Keeper-Automator mkdir /usr/mybin/config
docker cp ssl-certificate.pfx \
  Keeper-Automator:/usr/mybin/config/ssl-certificate.pfx

.pfxファイルがパスフレーズで保護されている場合は、ssl-certificate-password.txtという名前のファイルを作成します。

echo "my_pfx_password..." > ssl-certificate-password.txt

そのファイルをdockerコンテナに配置します。

docker cp ssl-certificate-password.txt \
 Keeper-Automator:/usr/mybin/config/ssl-certificate-password.txt

コンテナ内のkeeper.propertiesファイルで、ssl_modeパラメータがcertificateに設定されていることを確認してください。

docker exec -it Keeper-Automator sed -i 's/^ssl_mode=.*/ssl_mode=certificate/' settings/keeper.properties
  1. SSL証明書を使用してコンテナを再起動

証明書がインストールされましたので、Dockerコンテナを再起動します。

docker restart "Keeper-Automator"
  1. Keeperコマンダーをインストール

この時点でサービスは実行中ですが、Keeperとはまだ通信でない状態です。

$ keeper shell

My Vault> login admin@company.com
.
.
My Vault>
  1. コマンダーで初期化

Keeperコマンダーにログインし、automator createで始まる一連のコマンドを使用してオートメーターを有効化します。

My Vault> automator create --name="My Automator" --node="Azure Cloud"

ノード名 (この場合はAzure Cloud) は、以下のように管理コンソールのUIに表示されます。

コマンドの出力には、IDプロバイダから取得したメタデータを含むオートメーターの設定が表示されます。

                    Automator ID:1477468749950
                            Name:My Automator
                             URL:
                         Enabled:No
                     Initialized:No
                          Skills:Device Approval

以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます (team、 team_for_user、device)。

automator edit --url https://<application URL> --skill=team --skill=team_for_user --skill=device "My Automator"

次にキーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。

automator setup "My Automator"

新しい設定でオートメーターを初期化します。

automator init "My Automator"

オートメーターサービスを有効にします。

automator enable "My Automator"

この時点で設定は完了となります。

自動ヘルスチェックには以下のURLをご使用になれます。

https://<server>/health

以下はその例です。

$ curl https://automator.lurey.com/health
OK

AD FSを使用した環境の場合

IDプロバイダとしてAD FSを使用してKeeperオートメーターを有効にする場合、以下の手順に従ってKeeper証明書を更新するまでログインできません。

  • Keeper管理コンソールへログインします。

  • [管理者] > SSOノード > [プロビジョニング]に移動し、SSOクラウド設定を見ます。

  • [SP証明書をエクスポート]をクリックします。

  • AD FS管理コンソールで、KeeperクラウドSSO証明書利用者信頼プロパティを選択します。

  • [暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。

  • [署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。

サービスの確保

ユーザー体験のテスト

Keeperオートメーターがデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。

最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。

サービスの再起動

Keeperオートメーターサービスを停止/開始する際、Dockerサービスは自動的に状態を保持します。

docker restart "Keeper-Automator"

コンテナの更新

Keeperオートメーターの新しいバージョンが利用できるようになった際には、上記の手順2〜7 繰り返すことでオートメーターサービスを更新できます。以下は例です。

docker pull keeper/automator
docker stop Keeper-Automator
docker rm Keeper-Automator

docker run -d -p443:443/tcp \
  --name "Keeper-Automator" \
 --restart on-failure:3 \
 keeper/automator

docker exec -it Keeper-Automator mkdir /usr/mybin/config

docker cp ssl-certificate.pfx \
  Keeper-Automator:/usr/mybin/config/ssl-certificate.pfx

docker cp ssl-certificate-password.txt \
 Keeper-Automator:/usr/mybin/config/ssl-certificate-password.txt

docker exec -it Keeper-Automator \
  sed -i 's/^ssl_mode=.*/ssl_mode=certificate/' settings/keeper.properties
  
docker restart "Keeper-Automator"

Keeperコマンダーのコマンドを実行します。

automator setup "My Automator"
automator init "My Automator"
automator enable "My Automator"

トラブルシューティング

サービスが始まらない

Keeperオートメーターのログを確認してください。通常これで問題がわかります。Docker環境では、以下のコマンドを使用してログファイルを追跡できます。

docker logs -f "Keeper-Automator"

以下のコマンドを使用して、コンテナに接続してログファイルを確認できます。

docker exec -it "Keeper-Automator" /bin/sh

SSL証明書が必要となりますので、お持ちでない場合はページをご参照ください。SSL証明書の秘密鍵や.pfxファイルは、Keeperボルトに保存してください。

で作成したssl-certificate.pfxファイルをコンテナにコピーします。

ご利用のワークステーション、サーバー、コンピュータなどにKeeperコマンダーCLIをインストールします。バイナリインストーラーを含むインストール手順についてはをご覧ください。 コマンダーをインストールした後、keeper shellと入力してセッションを開いてからloginコマンドを使用してログインします。オートメーターをセットアップするには、Keeper管理者、またはSSOノードを管理できる管理者としてログインする必要があります。

Keeperのサーバーおよびご利用のワークステーションからサービスへのネットワークアクセスを制限することを推奨します。許可するKeeper IPアドレスのリストについては、をご参照ください。

カスタムSSL証明書の作成
イングレス要件
証明書ガイド
こちら
Automator作成