search
github編集

Windowsサービス

KeeperオートメーターのWindowsサーバーでの実装例

本ガイドでは、Dockerを使用せずにオートメーターサービスをWindowsサーバーで実行するための手順を解説します。

circle-info

SSL証明書が必要となりますので、お持ちでない場合はカスタムSSL証明書の作成ページをご参照ください。

hashtag
1. オートメーターサービスをインストール

オートメーターインスタンスで、以下のURLからKeeperオートメーターのインストーラーをダウンロードし、解凍して実行します。

https://keepersecurity.com/automator/keeper-automator-windows.ziparrow-up-right

設定画面でJavaのチェックボックスをオンにして、Javaランタイムをインストールに含めます。現在はJava 17ランタイムが同梱されており、新バージョンのリリースに合わせて更新されます。

インストーラーにJavaを組み込む

これにより、Keeperオートメーターが以下のフォルダにインストールされます。

C:\Program Files\Keeper Security\Keeper Automator\

設定は以下のフォルダに保存されます。

C:\ProgramData\Keeper Automator\

hashtag
2. configフォルダを作成

C:\ProgramData\Keeper Automatorフォルダにconfigというフォルダを作成します。

hashtag
3. 証明書ファイルとパスワードファイルをコピー

ssl-certificate.pfxファイル (SSL証明書作成のページで保存) をC:\ProgramData\Keeper Automator\Configに配置します。

ssl-certificate.pfxファイルがパスフレーズで保護されている場合は、ssl-certificate-password.txtという名前のファイルもC:\ProgramData\Keeper Automator\Configに作成する必要があります。

SSL証明書ファイルとパスワードファイル

hashtag
4. サービスの再起動

サービス画面でKeeperオートメーターを選択し、サービスを再起動します。

Keeperオートメーターサービスを起動

ウェブブラウザでサービスが実行中であることを確認します (テストしているデバイスからポート443が解放されている必要があります)。 この場合のURLは、https://automator.company.com/api/rest/statusとなります。

自動ヘルスチェックには以下のURLもご使用になれます。

https://automator.company.com/health

hashtag
Windowsファイアウォール

Defenderファイアウォールが実行されているWindowsでデプロイしている場合は、Windows Defenderファイアウォールでポート443 (または任意の指定ポート) を開く必要がありますので、 以下の手順に従います。

[スタート]メニューを開き、[Windows Defenderファイアウォール]と入力して、結果の一覧から選択します。横のナビゲーションメニューで[詳細設定]を選択し、[受信の規則]を選択します。ポートを開くには、[新しい規則]を選択して手順を完了します。

「ポート」を選択
ポート番号を入力

hashtag
コマンダーを使用した最後の設定

サービスが実行中となりましたので、Keeperコマンダーを使用してオートメーターをご利用のKeeperの環境に統合します。

hashtag
5. Keeperコマンダーをインストールします

ご利用のワークステーション、サーバー、コンピュータなどにKeeper Commander CLIをインストールします。バイナリインストーラーを含むインストール手順についてはこちらarrow-up-rightをご覧ください。

hashtag
6. Keeperコマンダーにログインし、automator createで始まる一連のコマンドを使用してオートメーターを有効化し、オートメーターに任意の名前を付けます。

ノード名 (この場合は、Azure Cloud) は、以下に示すように管理コンソールのUIに表示されます。

オートメーターの作成

コマンドの出力には、IDプロバイダから取得したメタデータを含むオートメーターの設定が表示されます。

URLがまだ入力されいませんので、以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます (teamteam_for_userdevice)。

次にキーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。

circle-info

この手順でエラーが発生した場合は、Windows サービスを停止してから開始し、ポートが使用可能であることを確かにします。

次に、以下のコマンドを使用して新しい設定でオートメーターを初期化します。

最後に、以下のコマンドでオートメーターサービスを有効にします。

この時点で設定は完了となります。

hashtag
AD FSを使用した環境の場合

IDプロバイダとしてAD FSを使用してKeeperオートメーターを有効にする場合、以下の手順に従ってKeeper証明書を更新するまでログインできません。

  • Keeper管理コンソールへログインします。

  • [管理者] > SSOノード > [プロビジョニング]に移動し、SSOクラウド設定を見ます。

  • [SP証明書をエクスポート]をクリックします。

  • AD FS管理コンソールで、KeeperクラウドSSO証明書利用者信頼プロパティを選択します。

  • [暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。

  • [署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。

hashtag
ユーザー体験のテスト

Keeperオートメーターがデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。

最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。

ログイン画面
SSOログイン
デバイス承認
ボルト復号化

hashtag
サービスの更新

Keeperオートメーターサービスを再設定する際は、Keeperコマンダーを使用してサービスエンドポイントを再初期化する必要があります。

hashtag
トラブルシューティング

hashtag
サービスが始まらない

Keeperオートメーターのログを確認してください。通常これで問題がわかります。Windowsの場合、ログはC:\ProgramData\Keeper Automator\logsにあります。

hashtag
常に承認のプロンプトが表示される

Keeperオートメーターサービスを再インストールする際、Keeperコマンダーを使用してサービスエンドポイントを再初期化する必要がある場合があります。Keeperコマンダーについてはこちらをご覧ください。

Keeperコマンダーでオートメーターインスタンスを再初期化するのに必要なコマンドは以下のとおりです。

前へKubernetesサービス次へマルチテナントモード

最終更新

役に立ちましたか?