CLIを使用した承認
Commanderを使用した承認
Commander方式による自動承認
KeeperのCLI/SDKプラットフォームであるCommanderを使用すると、管理コンソールにログインしなくとも自動で管理者によるデバイス承認を実行できます。また、Keeper Commanderが実行可能であればどのコンピュータ (Mac、PC、Linux) でも設定できます。
この方法はKeeperクラウドからの着信接続を必要としないため、入力ポートが開けない環境に適しています。この方法ではポーリングメカニズムが使用されます (送信接続のみ)。
Keeper Commanderをインストール
インストール手順についてはこちらをご参照ください。
Mac/PC/Linux用のバイナリバージョンをインストールするか、pip3
を使用します。
CLIを使用してデバイスを承認
keeper shellコマンドを使用してCommander CLIを起動します。Commanderのバイナリをインストールした場合はそのファイルを実行します。
loginコマンドを使用して、デバイスの承認権限を持つKeeper管理者としてログインします。 Commanderでは、マスターパスワードと2FAがサポートされています。自動化を目的として、デバイスの承認専用のKeeper管理アカウントを作成することを推奨します。 これにより、ユーザーアカウントへの何らかの変更 (強制ポリシーなど) によって、Commanderの処理が中断されることがなくなります。
すべてのデバイスを表示するには、device-approveと入力します。
特定のデバイスを手動で承認するには、以下のコマンドを使用します。
過去に正常なログインが認識されたIPからのデバイスをすべて承認するには、以下のコマンドを使用します。
IPアドレスに関係なくすべてのデバイスを承認するには、以下のコマンドを使用します。
特定のデバイス承認リクエストを拒否するには、denyコマンドを使用します。
すべての承認リクエストを拒否するには、デバイスIDパラメータを削除します。
シェルを終了せずに最新のデバイス承認をリロードするには、reloadコマンドを使用します。
X秒ごとにデバイスを自動承認
Commanderでは、X秒ごとに承認を実行する自動化モードがサポートされています。設定するには、自動作成されたconfig.jsonファイルを変更します。このファイルは、ユーザーフォルダの.keeperフォルダ内(WindowsではC:\Users\Administrator.keeper\config.json
、Mac/Linuxでは/home/user/.keeper/config.json
)にあります。
既存のデータは変更せずに以下の行を追加します。
JSONファイルでは、最後の行を除くすべての行の後にコンマが必要となります。
これでCommanderを開く(またはkeeper shellを実行する)と、以下のように指定した時間ごとにCommanderがコマンドを実行するようになります。
チームとユーザーの自動承認
上記の例と同様に、Commanderを使用してAzure、Okta、JumpCloudなどのSCIMプロバイダによって作成されたチームおよびユーザー割り当てを自動的に承認できます。
設定するには、team-approve
というコマンドをJSON設定ファイルに追加します。
セッションの持続
Keeper Commanderでは持続的ログインセッションがサポートされていますので、実行中はマスターパスワードでログインしたりconfigrationファイルにマスターパスワードをハードコードしたりする必要はありません。
以下はデバイス上で30日間 (最大) 持続的ログインを有効にするコマンドとなります。
値には秒数 (例えば60秒の場合は60)、または数字と文字の組み合わせ (例えbば1分の場合は1m、5時間の場合は5h、7日間の場合は7d) を使用できます。
「logout」と入力するとセッションが無効になりますのでご留意ください。 Commander セッション終了するには「quit」します。
デバイスで持続的ログインが設定されると、ローカルフォルダ内のconfig.jsonは以下のようになります。
永続的ログインについてはCommanderの資料の設定ページをご参照ください。
Keeper Commanderを使用して自動化コマンドをカスタマイズする方法は数多くありますので、詳細についてはCommanderの資料をご参照ください。
最終更新