CLIを使用した承認

コマンダー方式による自動承認

KeeperのCLI/SDKプラットフォームであるコマンダーを使用すると、管理コンソールにログインしなくとも自動で管理者によるデバイス承認を実行できます。また、Keeperコマンダーが実行可能であればどのコンピュータ (Mac、PC、Linux) でも設定できます。

この方法はKeeperクラウドからの着信接続を必要としないため、入力ポートが開けない環境に適しています。この方法ではポーリングメカニズムが使用されます (送信接続のみ)。

Keeperコマンダーをインストール

インストール手順についてはこちらをご参照ください。 Mac/PC/Linux用のバイナリバージョンをインストールするか、pip3を使用します。

CLIを使用してデバイスを承認

keeper shellコマンドを使用してコマンダーCLIを起動します。コマンダーのバイナリをインストールした場合はそのファイルを実行します。

$ keeper shell
  _  __
 | |/ /___ ___ _ __  ___ _ _
 | ' </ -_) -_) '_ \/ -_) '_|
 |_|\_\___\___| .__/\___|_|
              |_|

 password manager & digital vault   

loginコマンドを使用して、デバイスの承認権限を持つKeeper管理者としてログインします。 コマンダーでは、マスターパスワードと2FAがサポートされています。自動化を目的として、デバイスの承認専用のKeeper管理アカウントを作成することを推奨します。 これにより、ユーザーアカウントへの何らかの変更 (強制適用ポリシーなど) によって、コマンダーの処理が中断されることがなくなります。

すべてのデバイスを表示するには、device-approveと入力します。

特定のデバイスを手動で承認するには、以下のコマンドを使用します。

過去に正常なログインが認識されたIPからのデバイスをすべて承認するには、以下のコマンドを使用します。

IPアドレスに関係なくすべてのデバイスを承認するには、以下のコマンドを使用します。

特定のデバイス承認リクエストを拒否するには、denyコマンドを使用します。

すべての承認リクエストを拒否するには、デバイスIDパラメータを削除します。

シェルを終了せずに最新のデバイス承認をリロードするには、reloadコマンドを使用します。

X秒ごとにデバイスを自動承認

コマンダーでは、X秒ごとに承認を実行する自動化モードがサポートされています。設定するには、自動作成されたconfig.jsonファイルを変更します。このファイルは、ユーザーフォルダの.keeperフォルダ内 (WindowsではC:\Users\Administrator.keeper\config.json、Mac/Linuxでは/home/user/.keeper/config.json) にあります。

既存のデータは変更せずに以下の行を追加します。

これでコマンダーを開く (またはkeeper shellを実行する) と、以下のように指定した時間ごとにコマンダーがコマンドを実行するようになります。

チームとユーザーの自動承認

上記の例と同様に、コマンダーを使用してAzure、Okta、JumpCloudなどのSCIMプロバイダによって作成されたチームおよびユーザー割り当てを自動的に承認できます。

設定するには、team-approveというコマンドをJSON設定ファイルに追加します。

セッションの持続

Keeperコマンダーでは持続的ログインセッションがサポートされていますので、実行中はマスターパスワードでログインしたりconfigrationファイルにマスターパスワードをハードコードしたりする必要はありません。

以下はデバイス上で30日間 (最大) 持続的ログインを有効にするコマンドとなります。

デバイスで持続的ログインが設定されると、ローカルフォルダ内のconfig.jsonは以下のようになります。

永続的ログインについてはコマンダーの資料の設定ページをご参照ください。

Keeperコマンダーを使用して自動化コマンドをカスタマイズする方法は数多くありますので、詳細についてはコマンダーの資料をご参照ください。