SSO IDプロバイダ SSO Connect CloudでIDプロバイダを設定
SAML 2.0準拠IDプロバイダの設定の前に管理コンソールを設定してきます。個々のIDプロバイダの設定する際の助けとなるよう、以下にガイドをご用意しました。
ご利用のIDプロバイダがこちらに記載されていなくても問題ありません。KeeperはすべてのSAML 2.0 SSO IDプロバイダとパスワードレス認証製品と互換性があります。上記のリストから類似のプロバイダがあれば、設定の流れはほぼ同じなので、その設定手順に従って設定してください。
(ご利用のIDプロバイダ用の設定ガイドを作成された場合、共有いただけましたらこちらに掲載させていただきます。)
KeeperクラウドSSOコネクト SSOとパスワードレスソリューションの強化
Keeper SSOコネクトは、クラウドベースのSAML 2.0サービスで、既存のシングルサインオンやパスワードレスソリューションとスムーズかつ速やかな連携を実現します。また、ゼロ知識のパスワード管理および暗号化技術によって支えられています。Microsoft Entra ID/Azure、Okta、Google Workspace、Centrify、Duo、OneLogin、Ping Identity、JumpCloudなどのSSO IdPプラットフォームに対応しています。
SSOプロバイダに加えて、SAML 2.0がサポートされているパスワードレス認証プラットフォームともスムーズに連携します。
概要 Keeper SSO Connect™ Cloudの概要
データ環境全体にわたるエンドツーエンドのパスワード保護
既存のIdPを通して認証するだけで、Keeperパスワード管理プラットフォームの全機能にアクセスできます。
デバイスや搭載OSを問わずにアクセスできるデジタルボルト
Keeper SSOコネクトはKeeperエンタープライズに含まれており、主要なSSO IDプロバイダに統合できます。
SSOプロバイダに加えて、Duo、HYPR、Trusona、Octopus、Traitware、Veridiumなど、SAML 2.0に対応した主要なパスワードレス認証プラットフォームとも統合できます。
ご利用のSSOソリューションをKeeperのパスワードマネージャと組み合わせることで、機能面とセキュリティ面でさまざまな利点があります。
このサービスは、どのようなオンプレミスサービスもクラウドサービスも必要とせず、マスターパスワードも使用しません。 設定は、アイデンティティプロバイダとKeeperの管理コンソールの間で直接行います。
ゼロ知識を維持するため、デバイスごとに楕円曲線暗号の公開鍵と秘密鍵のペアが生成されます。 デバイスの秘密鍵で、ユーザーのボルトが暗号化および復号化されます。新しいデバイスにサインインするには鍵交換が必要となりますが、その際にはKeeperプッシュ通知機能を使用するか指定された管理者が承認します。管理者による自動承認は、様々な方法で設定できます。
重要: SSOユーザーとプロビジョニングは、ルートノードではない専用ノードに存在する必要があります。これらの手順を始める前に、以下のように新しいノードを作成します。
Keeper SSO Connect Cloudは、以下の3つの手順で導入します。
Keeper管理コンソールのプロビジョニングでSSO Connect Cloudインスタンスを作成する
Keeperへの自動プロビジョニングのセットアップやユーザーの手動プロビジョニング
管理者の観点から、コスト面、リスク面、労力面において以下のようなメリットがあります。
セットアップが簡単で、Keeperの既存の管理コンソールの1か所ですべてを管理
Keeperの高可用性システムによる24時間365日稼働
管理コンソールの設定 管理コンソールにKeeper SSO Connect Cloud™を設定
Keeper SSO Connect Cloud™の設定は非常に簡単で、これまでに他のサービスプロバイダにご利用のIdPを設定した経験があれば数分しかかかりません。以下の手順に従ってください。
1) Keeper管理コンソールからKeeper管理者としてログインします。
US: EU: AU: CA: JP: US GovCloud:
Cloud SSO連携は、ルートノードの下のノードにしか適用できません。以下の手順に従って、ユーザーとポリシーをプロビジョニングするためのノードを必ず作成してください。
2) ログイン後、[管理者] メニューをクリックして、[ノードを追加] を選択します。この新しく作成するノードでSSOユーザーにプロビジョニングします。
3) 新しいノードで[プロビジョニング] タブを選択し、[メソッドを追加] をクリックします。
4) [SSO Connect Cloudを使用したシングルサインオン] を選択して[次へ] を選択します。
5) 環境設定名と法人ドメイン を入力します。 環境設定名 はエンドユーザーには表示されませんので、複数の設定を管理できます。 法人ドメイン はログインに使用されるため、一意で覚えやすい名前を選択することを推奨します。
環境設定名
内部でのみ使用され、ユーザーには表示されません。
法人ドメイン
特定のフローで認証する場合にユーザーが入力します。ドメイン名か任意の固有の文字列となります。
ジャストインタイムプロビジョニングを有効にする
ユーザーがKeeper Enterpriseテナントに自らサインアップできるようにするには、ジャストインタイムプロビジョニング機能を有効にします。デフォルトでは有効になっています。ドメインが予約されている場合、ドメイン名を持つ新しいユーザーは、ジャストインタイムプロビジョニングによって自動的にSSOプロバイダにルーティングされるようになります。
ジャストインタイムSSOプロビジョニングの代わりにKeeper Bridgeを使用してユーザーをプロビジョニングする場合は、OFFにしてください。
6) [保存] をクリックして次の手順に進むと、設定の編集画面が自動的に開きます。
7) 設定の編集画面で、ご利用のIdP (または「汎用」) を選択してそのIDプロバイダからKeeperにメタデータファイルをアップロードし、3つの必須属性マッピングを設定します。なお、KeeperはあらゆるSAML 2.0準拠IDプロバイダと連携しています。
ここではさらに2つのオプションがご利用になれます。
IsPassiveを有効化 : IdPから要求されない限り、オフのままにすることを推奨します。
ForceAuthn : Keeperボルトへログインする度に新しいSSOログインセッションを強制したい場合にオンにします。
SAMLメタデータ、属性、ログイン/ログアウトの設定 アイデンティティプロバイダ
一般的なIDプロバイダの設定をご利用になれるようして手間を省くために、ドロップダウンの[IDPタイプ]から事前に定義された設定を選択できます。ご利用のIDプロバイダが一覧にない場合は、[GENERIC]を選択してください。
SAMLメタデータ
IdPから取得したIdPメタデータファイルをKeeperの設定画面にドラッグアンドドロップします。 このファイルには、URLエンドポイントと署名付きアサーションを検証するためのデジタル証明書が含まれます。
アイデンティティプロバイダ属性マッピング
名前、苗字、メールアドレスの呼称がデフォルトで[First]、[Last]、[Email]となっていますが、変更は可能です。ご利用のIDプロバイダが、記載通りに(大文字と小文字を区別して)この画面のフィールド名にマッピングしていることを確かにしてください。
シングルサインオンエンドポイント環境設定
こちらは詳細設定で、デフォルトでは[HTTP POSTを優先]となっています。
8) IdPの設定の途中で、Keeperから法人IDやACS URLなどのパラメータを入力する必要があります。 この情報は、前の画面に戻って[表示]をクリッすると表示される設定表示画面で確認できます。
この画面に表示されているURLをメモしておいてください。これらURLをIDプロバイダ内に設定する必要がある場合があります。
エンティティID
「SPエンティティID (SP Entity ID)」または「発行者 (Issuer)」と表記される場合もあります。基本的には、固有の識別子で双方が認識されてている必要があります。多くの場合、エンティティIDはACS URLエンドポイントと同じです。
Assertion Consumer Serviceエンドポイント (ACS URL)
ユーザーの認証後にIDプロバイダがアサーションを送信するKeeperのURLエンドポイントです。 Keeperに送信されるデータには、ユーザーがIDプロバイダに正常にサインインしたかどうかを示す署名付きアサーションが含まれます。このアサーションは、IDプロバイダの秘密鍵で署名されています。 Keeperで、IdPメタデータファイルに含まれるIDプロバイダの公開鍵を使用して署名が認証されます。
シングルログアウトエンドポイント (SLO)
KeeperのURLエンドポイントで、IDプロバイダによるログアウトリクエストの送信先となります。シングルログアウトは任意でご利用になれ、IDプロバイダで設定します。
この情報は、Keeper XMLメタデータファイルでも確認できます。このファイルは、[メタデータをエクスポート]をクリックすることでダウンロードできます。必要に応じてこのメタデータファイルをIDプロバイダにアップロードしてください。
ジャストインタイムプロビジョニングを有効にすると、ボルトのログイン画面でユーザーがメールアドレスを入力して[次へ]をクリックした際に、ユーザーがIDプロバイダに自動的にルーティングされます。これは、ウェブボルト、デスクトップアプリ、ブラウザ拡張機能、iOSアプリ、Androidアプリなど、すべてのデバイスに適用されます。
Keeperではパーソナルドメインのリストを保持していますので、たとえば、gmail.comやyahoo.comなどを予約して、一般ユーザーが実在を確認済みのメールアドレスを使用してこれらのドメインのKeeperアカウントを作成することはできません。
企業テナント外で予約済みドメインを使用した個人アカウントまたは企業アカウントの作成をエンドユーザーに許可したい場合は、Keeperサポートチームにお問い合わせください。ご希望のドメインのロックを解除いたします。
Centrify Keeper SSO Connect CloudをCentrifyと連携させて、スムーズで安全なSAML 2.0認証を実現
Auth0 Keeper SSO Connect CloudをAuth0と連携させて、スムーズで安全なSAML 2.0認証を実現
オンプレミスからの移行 KeeperオンプレミスSSOコネクトからクラウドSSOコネクトに移行する方法
システムアーキテクチャ KeeperクラウドSSOコネクトのシステムアーキテクチャ
KeeperクラウドSSOコネクト - システムアーキテクチャ クラウドログインを使用して、CentrifyのAdmin portal (管理者ポータル) にログインします。
プルダウンメニューからAdmin portal (管理者ポータル) に切り替えます。
Quick Start Wizard (クイックスタートウィザード) がポップアップ表示された場合は、閉じます。メニューから[Apps] (アプリ) を選択し、[Add Web Apps] (ウェブアプリ) を選択します。
Add Web Apps (ウェブアプリを追加) ウィンドウで、[Custom] (カスタム) タブを選択し、下にスクロールしてSAMLの横の[Add] (追加) を選択します。
Do you want to add this application? (このアプリケーションを追加しますか?) のプロンプトで[Yes] (はい) を選択します。
Add Web Apps (ウェブアプリを追加) ウィンドウを閉じます。
次に、KeeperのSSOメタデータをCentrifyにアップロードします。
Keeper管理コンソールで、SAMLメタデータファイルをエクスポートします。
[表示]をクリックして[メタデータをエクスポート]に移動します。
Centrifyの[SAML Application Settings] (SAMLアプリケーション設定) セクションで、[Upload SP Metadata] (SPメタデータをアップロード) を選択します。
[Upload SP Metadata from a file] (ファイルからSPメタデータをアップロード) を選択し、[Browse]をクリックしてKeeperSSOMetadata.xmlファイルを選択し、[OK] を選択します。
Identity Provider SAML Meta data (IDプロバイダのSAMLメタデータ) をダウンロードします。これをKeeper SSO Connectにアップロードします。
Description (説明) セクションで、Application Name (アプリケーション名) フィールドにKeeper SSO Connect と入力し、Category (カテゴリ) フィールドで[Security] (セキュリティ) を選択します。
Keeperのロゴをダウンロードします。
&#xNAN;[Select Logo] (ロゴを選択) を選択して、Keeperのロゴ (keeper60x60.png) をアップロードします。
[User Access] (ユーザーアクセス) セクションで、Keeperにアクセスできるロールを選択します。
Account Mapping (アカウントマッピング) セクションで、「Use the following Directory Service field to supply the user name」 (以下のディレクトリサービスを仕様してユーザー名を供給する) を選択して「mail」と入力します。
Advanced (詳細設定) セクションで、以下のコードを含むスクリプトを追加します。
上記のスクリプトで、User Account (ユーザーアカウント) セクションから表示名を読み取ります。FirstName属性は、DisplayNameの最初の文字列から取得し、LastName属性は、DisplayNameの2番目の文字列から取得します。
[Save] (保存) を選択して設定を完了します。
ファイルを編集画面にドラッグアンドドロップして、Identity Provider Metadata (IDプロバイダのSAMLメタデータ) ファイルをKeeper SSO Connect Cloudインスタンスのインターフェースにアップロードします。
アップロードが完了すると、画面をひとつ戻ります。 SSO連携をテストする準備ができました。
Auth0ポータルの管理者セクションにログインします。
[Applications] (アプリケーション) タブを選択し、[Create Application] (アプリケーションを作成) をクリックします。[Regular Web Applications] (通常のウェブアプリケーション) を選択します。
次に、[Addons] (アドオン) タブに移動して、[SAML2 WEB APP] (SAML2ウェブアプリ) をクリックします。
[Addons] (アドオン) > [SAML2 WEB APP] (SAML2ウェブアプリ) 次に表示される設定ページで、Keeper管理コンソールに表示された[Assertion Consumer Service(ACS)エンドポイント]が必要になります。
ACSエンドポイントの例:
https://keepersecurity.com/api/rest/sso/saml/XXXXXXXX
この値は、以下のようにサービスプロバイダの情報の一部としてSSO Connect Cloudの設定で確認できます。
ACS(Assertion Consumer Service)エンドポイントをコピー ACSエンドポイントをAuth0画面の[Application Callback URL] (アプリケーションコールバックURL) フィールドに貼り付けます。
次に、SAML2 Web App編集ウィンドウでサンプルのJSONを削除して以下に置き換えます。
「audience」の値は法人IDとなります。この値もサービスプロバイダ情報の一部として、SSO Connect Cloudの設定で確認できます。
法人IDを追加した後、[Debug] (デバッグ) ボタンをクリックして、設定に問題がないことをご確認ください。
次に、SAML2 Web Appウィンドウを一番下までスクロールして、[Save] (保存) をクリックします。
SAML2ウェブアプリの設定に加えた変更を保存します 次に、[Usage] (使用) タブをクリックし、IDプロバイダのメタデータファイルをダウンロードします。
Keeper側でSSOの設定を編集し、[IDP タイプ]に[GENERIC] (汎用) を選択します。metadata.xmlファイルを参照するか設定画面にドラッグアンドドロップして、Keeper SSO Connectインターフェースにアップロードします。
Auth0からダウンロードしたメタデータファイルをKeeperにドラッグアンドドロップ ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
circle-exclamation
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ] をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、こちらarrow-up-right をご覧ください。
Veridium KeeperクラウドSSOコネクトをVeridiumと連携させて、Keeperにパスワードなしでログイン
Veridiumインターフェースで、[Add Service Provider] (サービスプロバイダを追加) をクリックします。
Keeper管理コンソールで、SAMLメタデータファイルをエクスポートします。
[表示]-> [メタデータをエクスポート]へ移動します。
[Service provider name] (サービスプロバイダ名) フィールドに「Keeper」と入力し、Keeperのメタデータファイルをアップロードして、NameID format (NameID形式) に「Email」 を選択します。
firstname、lastname、mailの属性をマッピングして[Save] (保存) をクリックします。
これで連携は完了です。 以下はVeridiumのログインフローを示す動画となります。
パスワードレスプロバイダ SSO Connect Cloudのパスワードレス設定
前述の管理コンソールの設定セクションは、すべてのSAML 2.0準拠パスワードレスプロバイダに適用されます。 一般的なパスワードレスプロバイダの設定をサポートするために、次のセクションに参考になる画面をいくつか追加しました。
ご利用のパスワードレスプロバイダがこちらに記載されていなくても大丈夫です。 Keeperは、すべてのSAML 2.0 SSOパスワードレス認証製品と互換性があります。 上記のリストにある同様のプロバイダの順を追った説明に従えばよいだけです。設定の流れはほぼ同じになります。
(ご利用のIDプロバイダの設定ガイドを作成された場合は、ぜひ共有をお願いします。こちらに掲載させていただきます)。
F5 Keeper SSO Connect CloudをF5 BIG-IP APMと連携させて、スムーズで安全なSAML 2.0認証を実現
管理者承認 管理者によるエンドユーザーのSSOクラウドデバイス承認
管理者管理コンソールからの管理者承認方法
[管理者の承認]を選択すると、[デバイスの承認]の権限を持つKeeper管理者にリクエストが送信されます。 管理者は、管理コンソールの[承認待ち]画面から、またはリクエスト時に管理コンソールにログインして承認できます。
SecureAuth KeeperクラウドSSOコネクトをSecureAuthと連携させて、スムーズで安全なSAML 2.0認証を実現
SecureAuthは、
参考までに、こちらのSecureAuthガイドをご使用ください。
SecureAuthに関して注意すべきその他の重要事項:
RSA SecurID Access KeeperクラウドSSOコネクトをRSA SecurID Accessと連携させて、スムーズで安全なSAML 2.0認証を実現
Keeper SecurityはRSA SecurID Accessに認定されています。
RSA SecurID Accessには、RSA認証マネージャとそのクラウド認証サービスが統合されています。この設定によって、クラウド認証サービスをIDプロバイダとして使用し、Keeper SSOコネクトと組み合わせることができます。詳細については、以下のRSAのウェブサイトをご参照ください。
イングレス要件 Keeperオートメーター向けイングレス設定
Keeperオートメーターは、オンプレミス、クラウド、サーバーレスなど、さまざまな方法で導入できます。
トラブルシューティング オートメーターサービスによくある問題とトラブルシューティング
リモートのオートメーターサービスと通信できない
Keeperコマンダーがオートメーターサービスと通信できない理由はいくつかあります。
オートメーターサービスがKeeperのIPアドレスに対して解放されていることを確かにします。解放が必要なIPのリストについては、
グラフィックアセット IdP設定用のKeeperパスワードマネージャーのグラフィックアセット
このページでは、必要に応じてIDプロバイダで使用できるKeeperのアイコンとロゴのグラフィックアセットをご用意しました。
Zipファイル (様々なサイズのアイコンとロゴ)
512 x 512 PNG正方形アイコン
256 x 256 PNG正方形アイコン
コピー setAttribute("Email", LoginUser.Get("mail"));
setAttribute("First", LoginUser.FirstName);
setAttribute("Last", LoginUser.LastName);
setSignatureType("Response");
コピー {
"audience": "https://keepersecurity.eu/api/rest/sso/saml/XXXXX",
"mappings": {
"email":"Email",
"given_name":"First",
"family_name":"Last"
},
"createUpnClaim": false,
"passthroughClaimsWithNoMapping": false,
"mapUnknownClaimsAsIs": false,
"mapIdentities": false,
"nameIdentifierFormat": "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress",
"nameIdentifierProbes": [
"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
]
} ファイアウォールの受信トラフィックルールで以下のいずれかのルールセットを設定します。
54.208.20.102/32
34.203.159.189/32
US / GovCloudデータセンターをご利用のお客様
18.252.135.74/32
18.253.212.59/32
52.210.163.45/32
54.246.185.95/32
3.106.40.41/32
54.206.208.132/32
35.182.216.11/32
15.223.136.134/32
54.150.11.204/32
52.68.53.105/32
Keeperのデータセンター地域に基づいて、記載のIPアドレスごとにルールを作成してください。
カスタムSSL証明書をご使用の場合は、SSL証明書がロードされていることを確かにします。オートメーターのログファイルを確認すれば、サービスの再起動によって証明書がロードされたかどうかが確認できます。そのIPアドレスにアクセスできる場合は、以下のようにコマンドラインでcurlを使用することで正常性チェックを実行できます。
curl https://automator.mycompany.com/health
証明書のサブジェクト名がFQDNと一致することを確認します。
SSL証明書にCA中間証明書チェーンが含まれていることを確認します。中間証明書チェーンが欠落している場合、Keeperはオートメーターへの接続を拒否します。以下のようにopensslコマンドを使用してご確認ください。
このコマンドで、チェーン内の証明書の数が表示されます。証明書が1つしか表示されない場合は、証明書チェーンがすべてはロードされていないということになります。この問題を解決するには、証明書作成の手順arrow-up-right ページの手順4 をご参照ください。
当エラーは、ヘルスチェックのリクエストURIがSSL証明書ドメインと一致しない場合に発生する可能性があります。ヘルスチェックを完了させるにはサービスでSNIチェックを無効にする必要がありますので、オートメーター設定でdisable_sni_check=true を設定するか、環境変数 DISABLE_SNI_CHECK にtrue の値を渡します。
コピー openssl s_client -showcerts -servername automator.company.com -connect automator.company.com F5 BIG-IP APMで、Keeperプラットフォーム用の新しいSAML IdPサービスを設定します。
Access Policy (アクセスポリシー) -> SAML -> BIG-IP as IdP (IdPとしてのBIG-IP) -> Local IdP services (ローカルIdPサービス) に移動します。
[Access Policy] (アクセスポリシー) > SAML: BIG-IP as IdP (IdPとしてのBIG-IP) > Local IdP services (ローカルIdP サービス) へ移動します。該当するIdP接続ポイントを選択し、Export Metadata (メタデータをエクスポート) を選択します。
F5 BIG-IP APMから抽出したメタデータファイルをSSO Connect Cloudインスタンスにインポートし、IDPタイプにF5を選択します。
[保存] を選択して設定を保存し、すべての設定が正しいことを確認します。
[メタデータをエクスポート]をクリックして、Keeper SSO Connect Cloudメタデータファイルをエクスポートし、F5 BIG-IP APMの設定に使用します。
これでKeeper SSO Connectの設定は完了です。
管理者が管理コンソールにログインし、[承認待ち]にアクセスします。
承認するデバイスを選択し、[承認]をクリックします。 ユーザーが待機している場合は、即座にログインが許可されます。そうでない場合、ユーザーは承認なしで後ほどログインできます (ウェブブラウザのキャッシュをクリアしたりアプリをリセットしたりしない場合)。
管理者は、「デバイスの承認」と呼ばれる特別な役割権限によりデバイスを承認できます。
ルートノードまたはSSOノード内の[ロール] へ移動します。
歯車アイコンを選択して、選択した役割の管理者権限を制御します。
これで、この役割に追加されたユーザーは誰でも管理コンソールにログインしてデバイスを承認できるようになります。
接続の種類 (Connection Type) セクションで、「POST方式 (By Post)」が選択されていることを確認します。
「SAMLアサーションに署名 (Sign SAML Assertion)」と「SAMLメッセージに署名 (Sign SAML Message)」を必ず選択します。
IdPメタデータのエンティティIDがSecureAuthのSAMLレスポンスと一致することを確認します。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
circle-exclamation
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ] をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、こちらarrow-up-right をご覧ください。
128 x 128 PNG正方形アイコン
Rippling KeeperクラウドSSOコネクトをRipplingとさせて、スムーズで安全なSAML 2.0認証とSCIMプロビジョニングを実現
ログイン後、[Home] (ホーム)にカーソルを合わせて左下の[App Shop] (アプリショップ) をクリックします。
App Shopの左上の検索バーでKeeper を検索し、検索結果からKeeper を選択します。
Keeperをクリックして選択した後、[Connect Account] (アカウントを接続) をクリックししてSSO設定を始めます。
Rippling側のSSOセットアップガイドを進んでセットアップを行います。
以下のページまで進むと、SSOセットアップは完了となりますが、任意でSCIMプロビジョニングをセットアップできます。SCIMプロビジョニングをセットアップする場合は[Continue with API] (APIを続ける) を選択してガイドを進みます。SCIMプロビジョニングをセットアップしない場合は、[Skip for now, visit app] (スキップしてアプリを開く) をクリックします。
ここでユーザーを割り当てて、Ripling環境でどのユーザーがKeeperにアクセスできるかを指定できます。
既存のユーザー/初期管理者をSSO認証に移行
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
circle-exclamation
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ] をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、
Keeperプッシュ通知 既存のデバイスを使用するSSOデバイス承認方法
ユーザーは以前に承認されたデバイスを使用して追加のデバイスを承認できます。たとえば、すでにコンピュータでウェブボルトにログインしている状態で初めて携帯電話アプリにログインする場合、ウェブボルトにデバイス承認プロンプトが表示され、その携帯デバイスを承認したり拒否したりできます。デバイス承認により暗号化キーの交換を実行して新しいデバイスでボルトを復号化できるようにします。
Keeperプッシュ通知は、ユーザーが自ら処理する承認方式です。[Keeper プッシュ通知]を選択すると、ユーザーの承認済みデバイスに通知が送信されます。携帯アプリおよびデスクトップアプリの場合、プッシュ通知はポップアップとして表示され、簡単にデバイスを承認できます。
以下は、携帯電話を承認用デバイスとして使用したKeeperプッシュ通知承認の例となります。
ログイン済みのデバイスにプッシュ通知による承認が表示されるのを待ちます。
ユーザーが通知を受信するには、以前に承認済みの別のデバイスにすでにログインしている状態でなければなりません。
デバイス承認 SSOクラウドのデバイス承認システム
デバイス承認はSSO Connect Cloudプラットフォームで必須となる要素です。 承認は、ユーザーまたは管理者が実行することも、Keeperオートメーターサービスを使用して自動的に実行することもできます。
KeeperクラウドSSOコネクトで認証するカスタマーの場合、デバイスの承認によりキー転送が実行され、ユーザーの暗号化されたデータキーがデバイスに届けられてから楕円曲線秘密キーを使用してローカルで復号化されます。
KeeperクラウドSSOコネクトでは、どのSAML 2.0IDプロバイダを使用しても簡潔なログイン処理を維持しつつゼロ知識暗号化を実現できます。
過去に使用したことのないデバイスでログインしようとすると、楕円曲線暗号の秘密鍵と公開鍵のペアが新しいデバイスで生成されます。 IDプロバイダの認証に成功すると、ユーザーが新しいデバイスでボルトを復号化できるように鍵交換を実行する必要があります。これを「デバイス承認」と呼びます。
ゼロ知識を維持し、Keeperのサーバーが暗号鍵に一切アクセスできないようにするために、ユーザーまたは指定された管理者が実行できるプッシュ通知による承認方式を開発しました。また、Keeperを使用するとデバイス承認と鍵交換を自動的に実行するサービスをホストできるため、ユーザーの操作は一切不要となります。
デバイス承認方式には以下が含まれます。
ログアウト設定 KeeperとIdP間のシングルログアウト (SLO) の設定オプション
ユーザーがKeeperボルトからの「ログアウト」をクリックしたときにどのような動作を期待するかは、顧客によって異なる場合があります。 以下の2つの選択肢があります。
オプション1. IdPからはログアウトしない
Keeperボルトの「ログアウト (Logout) 」をクリックすると、ボルトが閉じるだけで、IDプロバイダとのログイン状態を維持します。
Keeperボルトへの再ログインは、IDプロバイダのログインロジックに従います。 たとえば、Oktaには設定変更可能なサインオン規則があり、アプリケーションを開く前に、ユーザーにMFAコードの入力を求めることができます。 ご利用のIDプロバイダのサインオンロジックを確認して、ユーザーにとって最適な運用を決定してください。
オプション2. IdPからもログアウトする
Keeperボルトの「ログアウト (Logout) 」をクリックすると、IDプロバイダからもユーザーがログアウトされます。
これにより、ユーザーはIdPと接続されたサービスからもログアウトするため、ユーザーの不満を招くおそれがあります。
G Suiteやその他の一部のIDプロバイダは、この問題にうまく対処できていません。
シングルログアウト (SLO) を有効化する方法
IDプロバイダに「シングルログアウト」オプションがある場合は、IDプロバイダの設定画面からこの機能をONにできます。
たとえば、Oktaには「シングルログアウト」チェックボックスがあり、「Keeper SP証明書」のアップロードを求められます。 この設定を変更すると、IdPからメタデータをエクスポートして、Keeper SSOの設定画面に再度インポートする必要があります。
シングルログアウト (SLO) を無効化する方法
IDプロバイダに「シングルログアウト」オプションがある場合は、IDプロバイダの設定画面からこの機能をOFFにして、新しいメタデータファイルをKeeperにアップロードしてください。
IdPのユーザーインターフェースに設定画面がない場合は、IdPのメタデータファイル (以下のスクリーンショット) を手動で編集すればよいだけです。 テキストエディターまたはvimで、SLO値を表す以下の強調表示された行を削除します。 次にこのファイルを保存して、Keeper SSOの設定画面にメタデータをアップロードします。
証明書の更新 Keeper SSOコネクト用証明書の更新手順
Keeper SSOコネクトでの証明書の更新について
IdPのSAML署名証明書を更新し、アクティブな状態にしておくことは非常に重要です。通常、更新は年に1回行われます。
Keeperボルトへのログイン時に以下のエラーが表示された場合、通常、SAML署名証明書の有効期限が切れていることを示しています。
「申し訳ございません。組織のアカウントから Keeperにログインする際に予期しないエラーが発生しました。IDPからのSAML応答を解析できません。」
バージョン17.0の概要 オートメーターをv17.0にアップグレードする手順
バージョン17.0以降では以下の新機能がご利用になれます。
この動作を好ましくないと考える場合は、「ログアウト」をクリックするのではなく、単にボルトを閉じるようにユーザーに指示する必要があります。
チームユーザーの承認 (ユーザーをチームに割り当てる)
デバイス承認用とチーム承認用のIPアドレスフィルタリング
チームとユーザーは、SCIMを通じてプロビジョニングされ、チームに追加されたユーザーについては、管理者がコンソールにログインするのを待つことなくオートメーターサービスによって即座に処理できることを意味します。
オートメーターコンテナまたは.zipファイルを最新バージョンに更新します。
Keeperコマンダーからautomator editコマンドを使用してデバイスの承認およびチームユーザーの承認を行います。
IDプロバイダからSCIMメッセージングでチームの作成がリクエストされた際、誰かが (ゼロ知識を保持するために) 暗号化キーを生成するまで、リクエストが完全に処理されることはありません。通常は、管理者がKeeper管理コンソールにログインするときに処理されます。
Keeperオートメーターサービスでチーム承認が有効化されている場合、チームに割り当てられたユーザーのいずれかがKeeperボルトに正常にログインすると、自動的にチームが作成されます。そのため少なくとも1人のユーザーがそのチームのボルトにログインするまでチームは表示されません。
これにより、設定ファイルへのアクセスが難しいAzureコンテナーまたは他のDockerのようなコンテナーにオートメーターをインストールする場合の構成が簡単になります。
docker-compose.yml ファイルを使用するDockerやAzureコンテナーなどの環境では、以下のようにdocker composeファイルに環境変数を設定できます。
docker-compose.ymlファイルの編集後に環境変数が変更されている場合、コンテナを再構築する必要があります。 コンテナを再起動しただけでは変更は反映されません。
コピー automator edit --skill=team --skill=team_for_user --skill=device "My Automator"
automator setup "My Automator"
automator init "My Automator"
automator enable "My Automator"
コピー services:
automator:
container_name: "az-autodock"
environment:
- AUTOMATOR_PORT=8090
- AUTOMATOR_HOST=10.0.0.4
- DISABLE_SNI_CHECK=true この問題を解決するには、以下の手順をお試しください。
Keeperアプリケーションに関連するIDプロバイダからのSAML署名証明書を更新します。
新しいSAML署名証明書またはIdPメタデータファイルをダウンロードします。
Keeper管理コンソールでIdPメタデータを更新します。。
Microsoft Azureは最も広く使用されているIDプロバイダーであるため、以下に更新手順を記載しておきます。Azureがプロバイダでない場合も、手順はほぼ同じです。
SAML証明書セクションで、証明書の有効期限が切れていることを確認します。[Edit] (編集) をクリックします。
[New Certificate] (新しい証明書) をクリックして新しい証明書を生成します。
オーバーフローメニューをクリックし、[Make certificate active] (証明書を有効にする) をクリックして保存し、変更を適用します。
SAML証明書セクションから、新しいフェデレーションメタデータXMLファイルをダウンロードしてパソコンに保存します。
Keeper管理コンソールでSAMLメタデータを更新する
Keeper管理コンソールから、Keeperテナントにログインし、SSO構成にアクセスします。
SSOノードを選択し、[プロビジョニング] タブを選択します。
[SSO Connect Cloudによるシングルサインオン] をクリックします。
デスクトップから新しいXMLメタデータファイルをアップロードします。
この時点で、SAML 証明書は正常に更新されるはずです。
最新の証明書を含むメタデータXMLファイルがKeeperにアップロードされましたので、エラーなしでSSOを使用してログインできるはずです。
メタデータXMLファイルをパソコンから削除するか、ボルトに保存します。
来年の有効期限前にSAML証明書を更新するようにカレンダーにリマインダを設定します。
SSO証明書の問題により Keeper管理コンソールにログインできない場合は、以下のいずれかのオプションを選択してアクセスを復元してください。
オプション 1. マスターパスワードを使用して管理コンソールにログインするサービスアカウントを使用する。
オプション 2. 副管理者に連絡してログインして証明書を更新してもらいます。
Amazon AWS Keeper SSO Connect CloudをAmazon AWS SSOと連携させて、スムーズで安全なSAML 2.0認証を実現
AWSにログインし、[AWS Single Sign-On] (AWSシングルサインオン) を選択します。
SSOダッシュボードで、[Configure SSO access to your cloud applications] (クラウドアプリケーションへのSSOアクセスを設定する) を選択します。
[Applications] (アプリケーション) メニューで、[Adda a new application] (新しいアプリケーションを追加) を選択します。
次に、Keeper Security を選択して[Add] (追加) を選択します。
[Details] (詳細) セクションで[Display name] (表示名)と[Description] (説明) (任意) を入力します。
[AWS SSO metadata] (メタデータ) セクションで、[Download] (ダウンロード) ボタンを選択して、AWS SSO SAMLメタデータファイルをエクスポートします。このファイルは、設定画面の[SSO Connect IdPMetadata] (メタデータ) セクションでインポートします。
このファイルをKeeper SSO Connectサーバーにコピーし、ファイルを参照するか、設定画面の[SAMLメタデータ]の箇所にドラッグアンドドロップしてKeeper SSO Connectインターフェースにアップロードします。
次に、Keeperのメタデータファイルをダウンロードし、AWSアプリケーションのメタデータファイルにアップロードします。Keeper SSO Connect Cloud™のプロビジョニングの表示画面に移動します。
[メタデータをエクスポート]ボタンをクリックして、config.xmlファイルをダウンロードします。
\
AWS SSOの[Application metadata] (アプリケーションメタデータ) セクションに戻って、[Browse...] (ファイルを参照) ボタンを選択し、上記の手順でダウンロードしたconfig.xml を選択します。
[Save changes] (変更を保存) をクリックすると、「Configuration for Keeper Password Manager has been saved」 (Keeperパスワードマネージャの設定が保存されました) いうメッセージが表示されます。
より小さいサイズのSSL証明書の生成、メタデータファイルの再エクスポートとインポート、AWS SSOの設定でACS URLとAudience URLを手動設定のいずれかを行なってください。
次に、AWS SSOにマッピングするKeeperの属性が正しいことを確かにします (デフォルトで設定されています)。[Attribute mappings] (属性マッピング) タブを選択します。
AWSの文字列値を${user:subject}に、形式を空白またはunspecified (未指定) にします。
Keeper属性を以下のように設定します。
この変更を行うには、AWS SSOページの[Connected Directory] (接続されたディレクトリ) へ移動します。
[Edit attribute mappings] (属性マッピングを編集) ボタンを選択します。
AWS SSOのemail (メール) 属性を${dir:windowsUpn}から${dir:email}に変更します。
[Assigned users] (割り当てられたユーザー) タブを選択してから、[Assign users] (ユーザーを割り当て) ボタンをクリックして、アプリケーションを割り当てるユーザーまたはグループを選択します。
[Assign users] (ユーザーを割り当て) ウィンドウで、以下の操作を行います。
[Search connected directory] (接続されたディレクトリを検索) を選択して、検索します。
ディレクトリ検索の結果は、検索ウィンドウの下に表示されます。
アプリケーションへのアクセスが必要なユーザーやグループを選択し、[Assign users] (ユーザーを割り当て) ボタンを選択します。
備考: Keeper SSO Connectは、SAMLレスポンスが署名されていることを想定しています。IDプロバイダがSAMLレスポンスに署名するように設定されていることをご確認ください。
これでKeeper SSO Connectの設定は完了です。
既存のユーザー/初期管理者をSSO認証に移行
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
circle-exclamation
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ] をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、
DUO SSO KeeperクラウドSSOコネクトをDUO SSOと連携させて、スムーズで安全なSAML 2.0認証を実現
以下の手順では、Duoが正常に有効化され、認証ソース (Active DirectoryまたはIdP) が設定済みであることを前提としています。Duo SSO を有効にするには、Duo Admin Panel (管理パネル) にアクセスし、「Single Sign-On」 (シングル サインオン) セクションにアクセスします。
手順 1: DUO SSOの設定
DuoのAdmin Panel (管理パネル) にログインし、左側のナビゲーションバーの[Protect an Application] (アプリケーションの保護) をクリックします。Keeperを検索し、アプリケーションリストから、保護タイプが[2FA with SSO hosted by Duo (Single Sign-On)] (DuoがホストするSSOによる2FA (シングルサインオン)」のKeeper Securityを見つけて、[Protect] (保護) をクリックします。
[Download] (ダウンロード) セクションで、ご利用のSSOプロビジョニングメソッドにアップロードするためのSAMLメタデータファイルをダウンロードします。
Keeper管理コンソールに戻り、DUOクラウドSSOコネクトのプロビジョニングメソッドを見つけて、[編集] を選択します。
[アイデンティティプロバイダ] セクションまで下にスクロールし、[IDP タイプ] を[DUO SSO] に設定して、[ファイルを参照] を選択し、先ほどダウンロードしたDUOメタデータファイルを選択します。
引き続き、Keeper管理コンソール内のDUOクラウドSSOコネクトのプロビジョニングメソッドで、編集ビュー を終了して、[表示] を選択します。 サービスプロバイダセクション内に、[エンティティID] 、[IDP起点ログインエンドポイント] 、[アサーションコンシューマーサービス (ACS) エンドポイント] のメタデータの値が表示されます。
Duo Admin Panel (管理パネル) のアプリケーションページに戻り、Entity ID (エンティティID)、Login Enndpoint (ログインエンドポイント)、ACS Endpoint (ACSエンドポイント) をコピーして、Service Provider (サービスプロバイダ) セクションに貼り付けます。
手順 3: ユーザー属性をマッピング
SAML Response (SAMLレスポンス) セクション内で、Map attribute (属性をマッピング) まで下にスクロールして、以下の属性をマッピングします。
Policy (ポリシー) セクションでは、ユーザーがこのアプリケーションにアクセスするときの認証のタイミングと方法を定義します。グローバルポリシーは常に適用されますが、そのルールはカスタムポリシーで上書きできます。
手順 5: グローバルポリシー
Global Policy (グローバルポリシー) セクションでは、DUOまたはKeeperの管理者に表示されるすべてのグローバルポリシー を閲覧、編集、確認できます。
circle-check
これでKeeper Security EPM - Single Sign-On の設定が完了しました。
ご利用のDUO環境内へのKeeper Security EPM - Single Sign-On の実装に関してサポートが必要でしたら、Keeperサポートチームまでお問い合わせください。
既存のユーザー/初期管理者をSSO認証に移行
ユーザーにDuoでログインしてもらいたい場合は、Keeper管理コンソールのルートノード (最上位) で作成されたユーザーをSSO対応ノードに移動する必要があります。管理者は自分自身をSSO対応ノードに移動できません。これには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、メールアドレスを入力し[次へ] をクリックするだけでKeeperボルトにログインできるようになります。機能しない場合は、メールドメイン (例: company.com) が
法人ドメインでオンボードするには、ユーザーは[法人SSOログイン] からKeeper管理コンソールで設定された法人ドメインを入力します。
ユーザーがSSOで認証されると、今後はメールアドレスを入力するだけSSO認証を開始できます。
メールアドレスを入力して[次へ] をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、
PingOne KeeperクラウドSSOコネクトをPingOneと連携させて、スムーズで安全なSAML 2.0認証を実現
PingOneポータル (
PingOne のコンソールメニューから、接続 (Connections) > アプリケーションカタログ (Application Catalog) を選択します。
「Keeper 」を検索し、+をクリックして、Keeperパスワードマネージャー (Keeper Password Manager) アプリケーションを追加します。
Keeper管理コンソール から、PingOne SSO Connect Cloudのエントリーを表示し、以下のスクリーンショットに示したKeeper Securityドメイン とKeeper Security識別子 をメモします。
前の手順のKeeper Securityドメイン (Keeper Security Domain) とKeeper Security識別子 (Keeper Security Identifier) を入力し、次へ (Next) をクリックします。
デフォルトのマッピングを承諾して、次へ (Next) をクリックします。
PingOneユーザーグループをアプリケーションに追加することもできます。 追加したいグループ (複数可) の隣の+をクリックし、保存 (Save) をクリックして、アプリケーションのセットアップウィザードを完了します。
メタデータをダウンロード (Download Metadata) をクリックします
Keeper SSO Connect Cloud™のプロビジョニングの編集 (Edit) 画面で、IDPタイプとして汎用 (Generic) を選択します。
前の手順でダウンロードしたSAMLメタデータファイルを参照するか、またはSAMLメタデータ (SAML Metadata) セクションにドラッグアンドドロップして、Keeper SSO Connectインターフェースにアップロードしてください。
これでPingOneのKeeper SSO Connect Cloud™エントリーの表示が有効 (Active) になります。
PingOne Keeper SSO Connect Cloud™の設定が完了しました。
既存のユーザー/初期管理者をSSO認証に移行
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
circle-exclamation
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ] をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、
ユーザープロビジョニング KeeperクラウドSSOコネクトを使用してユーザーをプロビジョニングする方法
SSOが設定されたノード内のユーザーをオンボーディングするには、以下のオプションがあります。
オプション1. SCIM自動プロビジョニングを使用
IDプロバイダがSCIMプロトコルを使用した自動プロビジョニングに対応している場合、Keeperボルトに自動的にプロビジョニングされます。
まだプロビジョニングを行っていない場合、
SCIMを使用してプロビジョニングされたユーザーは、ボルトのログイン画面でメールアドレスを入力するだけで、自動的にIdPのログイン画面に移動してサインインを完了します。IdPにルーティングされるようKeeperでメールドメインが予約されていることを確かにしてください。ドメインの予約については
オプション 2. ジャストインタイム (JIT) プロビジョニングを使用
SSO設定でジャストインタイム (JIT) プロビジョニングが有効になっている場合、ユーザーがボルトにアクセスする方法は複数あります。
IDプロバイダのダッシュボードにユーザーを誘導して、Keeperアイコンをクリックしてもらいます (IdPが起点となるログイン)。
IDプロバイダ内にKeeperへのハイパーリンクを表示します (正確なURLについては、IdPのアプリケーション設定画面をご参照ください)。
ユーザーをKeeperボルトに誘導し、メールアドレスを入力して[次へ]をクリックしてもらいます。
メールアドレスの使用が望ましくない場合、管理コンソールでSSO用に設定した法人ドメインを使用して、[法人SSOログイン]を選択することもできます。
以下の形式を使用して、ユーザーをKeeperの法人ドメインログイン画面に直接ハイパーリンクします。
<ドメイン> を以下のKeeperのテナントがホストされているデータセンターのエンドポイントに置き換えます。
オプション 3. ユーザーを手動で招待
ジャストインタイムプロビジョニングを使用せずに、管理コンソールからユーザーを手動で招待したい場合は、以下の手順を行います。
[ユーザーを追加]をクリックして、ユーザーを手動で招待します。
招待メールにグラフィックやコンテンツなどのカスタマイズを加えるには、管理コンソールの[環境設定]画面を開きます。
circle-exclamation
テストではKeeper管理者アカウントでSSOを使用しないようにしてください。Keeper管理者は管理コンソールのルートノードに含めて、マスターパスワードログインを使用することを推奨します。 これにより、IDプロバイダを利用できない場合 (Microsoft側で障害が発生した場合など) でも、常にアクセスが得られ、ユーザーを管理できます。
既存のユーザー/初期管理者をSSO認証に移動
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
circle-exclamation
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
Keeperオートメーターサービス クラウドSSOコネクト環境を使用した認証に基づく、自動デバイス承認サービス
Keeperオートメーターはセルフホスト型のサービスで、デバイスの承認、チームの承認、およびチームユーザーの割り当てなどの暗号化処理を実行します。
オートメーターが実行されると、ユーザーはIDプロバイダによる認証に成功した後、それ以上の承認手順を踏まずに、新しい (まだ承認されていない) デバイス上のKeeperにそのままアクセスできます。オートメーターサービスが設定されていない場合でも、ユーザーと管理者はプッシュ承認を通じて手動でデバイスを承認できます。
Keeperオートメーターは、さまざまな方法でクラウドまたはオンプレミス環境に展開できる軽量のサービスです。
オートメーターが必要とされる理由
KeeperクラウドSSOコネクトは、IDプロバイダを使用してKeeperボルトへそのまま認証します。通常、新しいデバイスはユーザー自身が承認するか、管理者がユーザーの代わりに新しいデバイスを承認する必要があります。オートメーターサービスはデバイスの承認に関連する煩わしい操作をすべて解消したいと考える管理者のために作成された任意で選択できるサービスとなります。
ゼロ知識を維持し、暗号化されたデータキー (EDK) のユーザーデバイスへの転送を自動化するには、サービスをKeeper側でホストするのではなく、 企業側で運用するサービスとして実行する必要があります。このサービスには様々な実行方法があり、クラウドでもセルフホストでも実行可能です。
SSOコネクトの暗号化モデルの詳細な説明については、
ご利用の環境に応じて以下のインストール方法からお選びください。
Azure Container App
Azure App Service
Azure App Gateway
AWS Elastic Containerサービス
KSMを使用したAWS Elastic Containerサービス
Google Cloud (GCP Cloud Run)
オートメーターサービスを使用するとユーザー体験は向上しますが、IDプロバイダは完全に保護されている必要があります。
Keeper環境を保護するための
CloudGate UNO KeeperクラウドSSOコネクトをCloudGate UNOと連携させて、スムーズで安全なSAML 2.0認証を実現
HENNGE KeeperクラウドSSOコネクトをHENNGEと連携させて、スムーズで安全なSAML 2.0認証を実現
JumpCloud KeeperクラウドSSOコネクトをJumpCloudと連携させて、スムーズで安全なSAML 2.0認証を実現
Shibboleth KeeperクラウドSSOコネクトとShibbolethでスムーズで安全なSAML 2.0認証とSCIMプロビジョニングを設定
手順 1. Keeperメタデータファイルをエクスポートして保存
Keeper管理コンソール内のSSO Connect Cloudプロビジョニングメソッドで
Ping Identity (PingOne) KeeperクラウドSSOコネクトをPing Identityと連携させて、スムーズで安全なSAML 2.0認証を実現
マルチテナントモード 単一オートメーターインスタンスに複数のテナントをセットアップ
Keeperオートメーターではマルチテナントがサポートされていますので、一度のデプロイで複数のKeeperエンタープライズ環境を自動化できます。
高度な設定 オートメーターの設定と機能
本ページの設定でオートメーターサービスの機能と安全性を制御します。
設定: automator_debug
Env変数: AUTOMATOR_DEBUG
説明: オートメーターでデバッグログをオン/オフします。
設定: automator_config_key
Env変数: AUTOMATOR_CONFIG_KEY
初期値: Empty
説明: Base64 URLエンコードされた256ビットAES キーで、通常環境変数としてのみ使用されます (v3.1.0以降)。この設定は、コンテナインスタンス間で共有される/usr/mybin/configファイルストレージがない場合に、暗号化された設定をKeeperクラウドからロードするために必要となります。
設定: automator_host
Env変数: AUTOMATOR_HOST
初期値: localhost
説明: オートメーターサービスがローカルでリッスンしているホスト名または IP アドレスです。SSLが有効になっている場合 (ssl_modeパラメータ)、automator_hostの値がSSL証明書のサブジェクト名に一致する必要があります。サブジェクト名が一致しない場合、disable_sni_check設定をfalseに設定できます。
サービスが複数のネットワークIPを持つマシンで実行されている場合、この設定によりオートメーターサービスが指定されたIPにバインドされます。
サービスの起動時にバインディングエラーが発生する場合は、localhost の代わりにローカルネットワークのIPアドレスをホスト設定に使用することを推奨します。
設定: automator_port
Env変数: AUTOMATOR_PORT
初期値: 8089
説明: オートメーターがリッスンするポートです。Dockerで実行している場合は、デフォルトの8089を使用します。
設定: disable_sni_check
Env変数: DISABLE_SNI_CHECK
初期値: false
説明: SSLが使用中である場合は、証明書のサブジェクト名に対するSNIチェックを無効にします。
設定: email_domains
Env変数: EMAIL_DOMAINS
初期値: null
説明: オートメーターがデバイスまたはチームを承認するための、ユーザーのメールドメインのカンマ区切りのリストで、example.com、test.com、mydomain.comなど。filter_by_email_domains設定が有効になっているかどうかにも依存します。
設定: filter_by_email_domains
Env変数: FILTER_BY_EMAIL_DOMAINS
説明: trueの場合、Keeperがemail_domainsリストを参照します。falseの場合、email_domainsリストは無視されます。
Env変数: N/A
初期値: false
説明: オートメーターが有効か無効かを決定します。
設定: enable_rate_limits
Env変数: ENABLE_RATE_LIMITS
初期値: false
説明: trueの場合、オートメーターは以下のスケジュールに従って受信するコールのレート制限を行います。
approve_device: 100コール/分 (バースト最大 200)
approve_teams_for_user: 100コール/分 (バースト最大 200)
full_reset: 1 分に4回、バーストは6回まで
health: 1 分に4回
initialize: 1 分に4回、バーストは6回まで
setup: 1 分に4回、バーストは6回まで
status: 1 分に5回
設定: ip_allow and ip_deny
Env変数: IP_ALLOW and IP_DENY
初期値: ""
説明: この制限によりユーザーは自動承認を利用できるようになります。IP制限フィルターによって受け入れられたユーザーも、オートメーターによる通常の方法で承認される必要があります。IP制限フィルターで拒否されたユーザーは自動承認されません。
ip_allowが空の場合、ip_denyリストに記載されているものを除くすべてのIPアドレスが許可されます。この設定を使用した場合、許可範囲外のIPアドレスにあるデバイスはオートメーターによって承認されなくなります。 値は、単一のIPアドレスまたはIP範囲のカンマ区切りのリストとなります。 最初にip_allowリストがチェックされ、次にip_denyリストがチェックされます。
例1:
ip_allow=
ip_deny=
例2:
ip_allow=10.10.1.1-10.10.1.255, 172.58.31.3, 175.200.1.10-175.200.1.20
ip_deny=10.10.1.25
Env変数: N/A
初期値: Automator-1
説明: オートメーターの名前です。エンタープライズ内で固有である必要があります。オートメーターは名前またはIDで参照できます。
設定: persist_state
Env変数: N/A
初期値: true
説明: trueの場合、オートメーターの状態がシャットダウン後も保持されます。オンのままにしておきます。
Env変数: N/A
初期値: device_approval
説明: device_approvalはデバイスの承認を意味します。team_for_user_approvalはチームの承認を意味します。オートメーターは複数のスキルを持つことができます。device_approvalがデフォルト値となります。
設定: ssl_certificate
Env変数: SSL_CERTIFICATE
初期値: null
説明: SSL証明書に使用されるPFXファイルの内容を含んだBase64でエンコードされた文字列です。たとえば、UNIXでは、base64 -i my-certificate.pfxによって必要な値が生成されます。
この環境変数を使用すると、ssl_certificate_filename設定が上書きされます。
設定: ssl_certificate_file_password
Env変数: SSL_CERTIFICATE_PASSWORD
初期値: ""
説明: SSLファイルのパスワードです。使用する場合、キーのパスワードは空であるか同じである必要があります。使用するライブラリでは異なるパスワードは使用できません。
設定: ssl_certificate_key_password
Env変数: SSL_CERTIFICATE_KEY_PASSWORD
初期値: ""
説明: SSLファイル内の秘密キーのパスワードです。空かファイルのパスワードと同じである必要があります。
Env変数: SSL_MODE
初期値: certificate
説明: オートメーターサービスでの通信方式です。certificate、self_signed、noneのいずれかになります。 noneの場合、オートメーターサーバーはHTTPSの代わりにHTTPを使用します。オートメーターがSSLトラフィックを復号化するロードバランサーの下でホストされている場合はそれでも良いかもしれません。
Env変数: N/A
初期値: ""
説明: オートメーターに接続できるURLです。
MSP環境では、単一のKeeperオートメーターインスタンスを使用して複数の企業に対応できます。
エンタープライズユーザーの場合、単一のインスタンスで様々なIDプロバイダの承認を処理できます。
サーバーが実行中となると、企業が異なっても複数のSSOノードに使用できます。
単一のオートメーターインスタンスを発動して複数の企業を管理する手順は以下のとおりです。
設定したい企業を見つけてIDを選択し、以下のように入力します。
以下のように、editの手順では共通のオートメーターURLを使用します。
管理対象の企業ごとに、上記の4つの手順を繰り返します。
同じ企業テナントの複数のノードで、単一のオートメーターインスタンスを有効化する手順は以下のとおりです。
以下のように、各ノードでeditには同じURLを使用します。
同一のURLエンドポイントを持つ別のインスタンスを設定します。
新たに作成したインスタンスは、名前とIDが異なり、割り当てられたノードも異なりますが、同じURLを使用します。
各ノードで手順2を繰り返し、同じオートメーターインスタンスに複数のテナントをセットアップします。
コピー My Vault> msp-info
MSP Plans and Licenses
-----------------------
# Plan Id Available Licenses Total Licenses Stash
--- -------------- -------------------- ---------------- -------
1 business 83 100 0
2 businessPlus 50 100 0
3 enterprise 80 100 0
4 enterprisePlus 85 100 0
# ID Name Plan Allocated Active
--- ------ ----------------------- -------------- ----------- --------
1 81386 Demo Managed Co. LLC enterprisePlus 5 0
2 81344 Elite Auto Works business 5 4
3 114391 John's Garage enterprisePlus 5 0
4 114392 John's Garages enterprisePlus 5 0
5 81345 Perfect Teeth Dental businessPlus 50 4
6 114281 Test business 12 0
7 81346 Troy Financial Services enterprise 20 0
コピー My Vault> automator create --name="Tenant1" --node="SSO Node"
My Vault> automator edit --url=https://my.company.com:8089 <Automator ID>
My Vault> automator setup <Automator ID>
My Vault> automator init <Automator ID>
My Vault> automator enable <Automator ID>
コピー My Vault> switch-to-msp
コピー My Vault> automator create --name="Tenant A" --node="<node_name>"
My Vault> automator edit --url=https://my.company.com:8089 <Automator ID>
My Vault> automator setup <Automator ID>
My Vault> automator init <Automator ID>
My Vault> automator enable <Automator ID>
コピー My Vault> automator create --name="Tenant B" --node="Azure"
My Vault> automator edit --url=https://my.company.com:8089 <Automator ID>
My Vault> automator setup <Automator ID>
My Vault> automator init <Automator ID>
My Vault> automator enable <Automator ID> IdPでの認証が済むと、ユーザーは最初のデバイスで自分のボルトにログインした状態になります。それ以降に使用するデバイスについてはデバイス承認が必要となります。
govcloud.keepersecurity.us
<名前> は、管理コンソールで割り当てられた法人ドメインの名前に置き換えます。
ボルトへのログイン画面からメールアドレスを入力するだけでサインインできます。
CloudGate管理者コンソールへログインします。
[Admin Site]の タイルをクリックします。
左側のメニューから[設定] > [サービスプロバイダー] を選択し、[サービスプロバイダー追加] をクリックします。
「サービスプロバイダー追加 」ページの検索バーで「Keeper」 を検索します。「Keeper SSO Connect Cloud 」のアイコンを選択してクリックします。
「一般設定 」タブの「表示名 」を「Keeper_SSO_Cloud_Connet」など任意の名前に設定します。
「シングルサインオン設定 」タブで、「エンティティID」などの情報が必要になりますので、Keeper管理コンソールを開いてコピーします。
コピーした「エンティティID」などの情報をCloudGateのシングルサインオン設定ページに貼り付けます。
「追加属性 」で[追加] をクリックし、「フィールド名 」を「Email 」に「値 」を「${MAIL_ADDRESS} 」に設定して保存します。
CloudGateでシングルログアウト機能を有効にする場合は、「シングルサインオン設定 」タブに移動して「ログアウトURL 」を入力してから、Keeper管理コンソールから取得したSP証明書をアップロードします。
SP証明書をダウンロードするには、Keeper管理コンソールでSSO設定ページを表示し、[SP 認証エクスポート] ボタンをクリックします。
次に、「シングルログアウト (SLO) エンドポイント 」情報をコピーして、CloudGateのシングルサインオン設定ページに貼り付けます。
最後に、「シングルサインオン設定 」タブの「SMAL 2.0 メタデータ」 からメタデータをダウンロードして、KeeperクラウドSSOコネクトへインポートします。
Keeper管理コンソールへ戻り、作成したクラウドSSOコネクトによるSSO設定の編集画面に入ります。「IDPタイプ 」を「GENERIC 」に設定し、ファイルを「ここにファイルをドロップしてください 」と書かれた箇所へドラッグアンドドロップします。
CloudGateの左側のメニューの「アカウント管理 」 > 「ユーザー 」へ移動し、任意のユーザーをクリックします。「ユーザー管理 」ページの「ユーザー設定 」タブでユーザーを追加できるようになっています。
同じページの「ユーザーID 」の下の[さらに表示する] をクリックして「メールアドレス 」の値が入っていることを確認します。
[保存] をクリックして、KeeperクラウドSSOコネクトとCloudGateの設定を完了します。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
circle-exclamation
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ] をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、こちらのページarrow-up-right をご覧ください。
メニューの[Administration] (管理) タイルをクリックします。
[Connected Services] (接続済みサービス) を選択し、[Add Service] (サービスを追加) をクリックします。
[Add New Service] (新規サービスを追加) ページの[Add Service for SSO]で、[Add Service Manually] (手動でサービスを追加) をクリックします。
サービス名を「Keeper Password Manager and Digital Vault」など任意の名前に設定し、「UsePrincipleName (UPN)」という値の属性Emailクレームを追加して[Submit]ボタンをクリックします。
これで、手順5 のKeeper 側の設定に必要な値がすべて表示されます。右上の[X]をクリックして、このページから一旦離れます。
[Connected Services menu] (接続サービス) メニューで作成したサービス名をクリックし、[Upload Using Metadata] (メタデータを使用してアップロード) ボタンをクリックします。
circle-exclamation
Keeper メタデータは管理コンソールで利用できます。 プロビジョニングのメソッド -> [表示] -> [メタデータをエクスポート]に移動します。
メタデータをアップロードした後、HENNGE Connected Service設定ページに戻り、https://keepersecurity.com/api/rest/sso/ext_login/<SSOID> のようにログインURL を入力します。
ページの一番下までスクロールし、[Save Changes] (変更を保存) ボタンを選択して設定を完了します。
最後に、このコネクタからメタデータをエクスポートしてKeeper SSO Connect Cloud™へインポートします。
[IDPタイプ]を[Generic]に設定し、このファイルを編集画面にドラッグアンドドロップしてKeeper SSO Connect Cloud™ プロビジョニングインターフェイスにアップロードします。
HENNGEで、[User list] (ユーザーリスト) ページの [Access Policy] (アクセスポリシー) でユーザーを追加したり、[Access Policy Groups] (アクセスポリシーグループ) ページの[Allowed services] ( 許可されたサービス) の箇所でグループを追加したりできるようになりました。
circle-check
KeeperクラウドSSOコネクトのセットアップが完了しました。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
circle-exclamation
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ] をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、こちらarrow-up-right をご覧ください。
JumpCloud管理者コンソールにログインします。
「SSOアプリケーションを導入する (Get Started with SSO Application)」ページの検索バーで、Keeper を検索します。Keeperアプリケーションの設定 (Configure) を選択します。
次に、Keeperアプリケーションのコネクタページの一般情報 (General Info) セクションで、表示ラベル (Display Label) を設定します。
Keeper Securityパスワードマネージャ
シングルサインオン設定 (Single Sign-On Configuration) で、[メタデータをアップロード (Upload Metadata)] ボタンをクリックします。
circle-exclamation
Keeperのメタデータは管理コンソールで取得できます。 プロビジョニングインスタンス -> 表示 (View) -> メタデータをエクスポート (Export Metadata) に移動します。
メタデータをアップロードしたら、JumpCloudのSSO設定ページに戻り、ログインURL をhttps://keepersecurity.com/api/rest/sso/ext_login/<ご利用のSSO IDをこちらに入力> のように入力します。
ページの一番下までスクロールして設定を完了し、[有効化 (activate) ] ボタンを選択します。
最後の手順では、このコネクタからメタデータをエクスポートして、KeeperクラウドSSOコネクトにインポートします。
IDPタイプ (IDP Type) を汎用 (GENERIC) に設定し、このファイルを編集画面にドラッグアンドドロップして、KeeperクラウドSSOコネクトのプロビジョニングインターフェースにアップロードします。
circle-check
KeeperクラウドSSOコネクトのセットアップが完了しました。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
circle-exclamation
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ] をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、こちらarrow-up-right をご覧ください。
[表示]
を選択します。そこから、Keeperメタデータファイルをダウンロードして保存することができます。
手順 2. KeeperメタデータをShibbolethに追加
Shibbolethは、リライングパーティとしてのKeeperに関する基本情報を有している必要があります。その情報はSAMLメタデータで定義されていますので、Keeperメタデータファイルを IDP_HOME/metadata/ ディレクトリに追加します。
手順 3. 新規リライングパーティトラストをShibbolethに追加
IDP_HOME/conf/relying-party.xmlで新しいRelyingParty要素を定義することで、Keeperと通信する際にどのように動作するかをShibbolethに指示します。以下のコードをDefaultRelyingParty要素の直後に追加します。プロバイダ属性を法人IDに置き換えます (DefaultRelyingPartyで設定されているプロバイダを使用します)。
引き続きIDP_HOME/conf/relying-party.xmlファイルで、手順2 で追加したKeeperメタデータファイルを使用する設定を行います。既存の設定済みプロバイダの隣に以下のMetadataProvider要素を追加します (ID値が「FSMD」であるはずです)。IDP_HOMEは実際のインストールパスに置き換えてください。
Keeperでは、認証中に特定のユーザー属性 のマッピングが送信される必要があります。以下の表に見られるように、デフォルトのKeeper SSO Connect Cloudユーザー属性は、Email (メールアドレス)、First (名)、Last (姓)となります。IDP_HOME/conf/attribute-resolver.xmlを変更することで、Shibbolethの属性リゾルバーを設定してこのデータを利用できるようにします。
circle-exclamation
Shibboleth Identity Provider SAML属性を設定する際に、KeeperはNameIDFormatがemailAddressの形式で提供されることを想定しています。推奨されたNameIDFormatを使用するか、Keeperにユーザー名ログイン識別子としてユーザーのメールアドレスを与えるような環境に適した値を入力します。
最後に、principal属性 (NameIDとしてエンコード) をGoogleに解放するようにShibboleth属性フィルタリングエンジンを設定します。以下のコードを既存のポリシー要素とともに IDP_HOME/conf/attribute-filter.xmlに追加します。
手順 6. ShibbolethからメタデータXMLファイルを取得
http://shibboleth.example.com/idp/shibbolethまたは <install_folder>/shibboleth-idp/metadataのShibbolethファイルシステムにあるShibbolethメタデータを見つけます。
Shibbolethメタデータを手動で変更し、すべてのユーザーエンドポイントのコメントが解除されていることを確かにします (例: SingleLogout)。
手順 7. IdPメタデータをKeeperにアップロード
Shibbolethメタデータ ファイルの準備ができると、Keeper管理コンソールに戻り、SSO Connectクラウドプロビジョニングメソッドで[編集]を選択します。
[アイデンティティプロバイダ]まで下にスクロールし、[IDP タイプ]を [GENERIC] に設定し、[ファイルの参照]を選択して Shibbolethメタデータファイルを選択します。
Keeper 管理コンソール内で編集ビューを終了し、SSO Connect Cloudプロビジョニングメソッドで[表示]を選択します。 [アイデンティティプロバイダ]セクション内に、現在設定されている法人ID、シングルサインオンサービス、シングルログアウトサービス エンドポイントのメタデータ値が表示されます。
circle-check
KeeperクラウドSSOコネクトのセットアップはこれで完了です。SSOを使用してKeeperにログインしてみてください。
SSOが機能していない場合は、Shibbolethの設定、メタデータファイル、ユーザー属性にエラーがないか確認してください。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
circle-exclamation
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ] をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、こちらarrow-up-right をご覧ください。
Ping Identityポータルにログインします。
ご使用の環境から [Manage Environment] (環境管理) をクリックします。
左側のメニューから、[Application] > [Application Catalog] へ移動してから、「Keeper」 または「Keeper Password Manager」 を検索します。
Application Details ページで、以下の情報を追加します。
Keeper Security Domain: keepersecurity.com
Keeper Security Identifier: 管理コンソールのエンティティID に表示されます (https://keepersecurity.com/api/rest/sso/saml/<Identifier>)
左側パネルで [管理者] に移動し、ルートではなくサブノードを選択します。
[プロビジョニング] > [メソッドを追加] > [Single Sign-On with SSO Connect® Cloud] の順に進みます。
構成名を入力し、ドメインを追加して [保存] をクリックします。
SSO構成が作成されたら、その横にある三点メニュー (⋮) をクリックし、[表示] を選択してエンティティIDを確認します。
次に、Keeperアプリケーションへアクセスするグループ を追加し、[Save] をクリックします。
次の手順で使用するため、[Download Metadata] (メタデータをダウンロード) をクリックしてメタデータをダウンロードします。
属性1 では、Application Attribute 列に「First 」と入力します。
Identity Bridge Attribute or Literal Value 列で「First Name 」を選択し、[Required] ボタンをオンにします。
その後、Add new attribute ボタンを選択します。
属性2 では、Application Attribute 列に「Last 」と入力します。
Identity Bridge Attribute or Literal Value 列で「Last Name 」を選択し、[Required] ボタンをオンにします。
その後、Add new attribute ボタンを選択します。
属性3 では、Application Attribute 列に「Email 」と入力します。
Identity Bridge Attribute or Literal Value 列で「Email 」を選択し、[Required] ボタンをオンにします。Application Attributesの「First 」「Last 」「Email 」は、必ず先頭を大文字で指定してください。
circle-exclamation
アプリケーション属性名は大文字と小文字が区別されます。例に示されているとおり、すべての属性名は大文字で指定してください。小文字を使用すると、SSO設定時に解析エラーが発生する可能性があります。
KeeperクラウドSSOコネクトのプロビジョニング設定にある編集画面で、IDP Type に「Generic 」を選択します。次に、設定画面で saml2-metadata-idp.xml ファイルを参照して選択するか、ファイルをドラッグ&ドロップしてKeeper SSOコネクトインターフェースにアップロードします。
Keeperアプリケーションが追加され、有効化されていることを確認してください。
これでKeeper SSOコネクトの設定は完了です。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
circle-exclamation
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に [法人SSOログイン] のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
法人ドメインを入力する必要はありません。メールアドレスを入力して [次へ] をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、こちらarrow-up-right をご覧ください。
Keeper Security SSOタイプを保護
PingOneにKeeperパスワードマネージャを追加
Keeper Securityのドメインと識別子を確認
PingOneのメタデータをKeeperにアップロード
有効と表示されたKeeper SSO Connectエントリー Okta KeeperクラウドSSOコネクトをOktaと連携させて、スムーズで安全なSAML 2.0認証を実現
Oktaポータルの管理者セクションにログインします。
左側のメニューから[Applications] (アプリケーション) を選択して、[Browse App Catalog] (アプリカタログを見る) をクリックします。
Keeperパスワードマネージャー (Keeper Password Manager) を検索し、Keeperパスワードマネージャ&デジタルボルト (Keeper Password Manager and Digital Vault) アプリケーションの[追加 ] (Add) ボタンを選択します。
次に表示される全般設定 (General Settings) ページで、Keeper管理コンソールに表示された「Entity ID」が必要になります。
サーバーベースURLの例:
https://keepersecurity.com/api/rest/sso/saml/XXXXXXXX
XXXXXXXX の値は、ユーザーの企業に関連付けられた特定のSSO Connectインスタンスを表し、以下に示すように、サービスプロバイダ情報の一部として管理コンソールのSSO設定で確認できます。
Okta画面のベースURL (Base URL) フィールドにエンティティID を貼り付けます。
次に、サインオン (Sign On) タブを選択します。
SAML署名証明書の設定セクションまで下にスクロールし、アクション (Actions) > IdPメタデータを表示 (View IdP metadata) を選択します。
表示されたXMLファイルをコンピュータに保存します。Chrome、Edge、Firefoxで、ファイル (File) > 名前を付けてページを保存... (Save Page As...) を選択して、metadata.xmlファイルを保存します。
Keeper側でSSO設定を編集して、IDPタイプにOKTA を選択し、metadata.xmlファイルを参照するか、または設定画面にドラッグアンドドロップして、KeeperクラウドSSOコネクトインターフェースにアップロードします。
(オプション) シングルログアウトを有効化
Oktaでシングルログアウト機能を有効にしたい場合は、サインオン (Sign On) タブに移動して、編集 (Edit) をクリックします。 「シングルログアウトを有効化(Enable Single Logout)」 チェックボックスをクリックし、Keeper管理コンソールに表示されたSP証明書をアップロードします。
まずSP証明書をダウンロードするために、KeeperでSSO設定を表示し、SP証明書をエクスポート (Export SP Cert) ボタンをクリックします。
SP証明書ファイルをアップロードし、[保存] (Save) を必ずクリックして、サインオン設定をOktaに保存してください。
[Actions] メニューから、[View IdP metadata] を選択します。
表示されたXMLファイルをコンピュータに保存します。Chrome、Edge、Firefoxで、ファイル (File) > 名前を付けてページを保存... (Save Page As...) を選択して、metadata.xmlファイルを保存します。
Keeper管理コンソール側でSSO設定を編集してから、新しいmetadata.xmlファイルを参照するか、セットアップ画面にドラッグアンドドロップして、Keeper SSO Connectインターフェースにアップロードします。
Okta SCIMのプロビジョニング
Okta SCIMのユーザーおよびグループのプロビジョニングを有効にするには、
Oktaから、割当 (Assignments) ページでユーザーまたはグループを追加できるようになりました。
既存のユーザー/初期管理者をSSO認証に移行
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
circle-exclamation
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ] をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、
OneLogin KeeperクラウドSSOコネクトをOneLoginと連携させて、スムーズで安全なSAML 2.0認証とSCIMプロビジョニングを実現
管理 (Administration) を選択して、管理者セクションに移動します。
oneloginメニューから、アプリケーション (Applications) 、アプリを追加 (Add App) の順に選択します。
検索フィールドでKeeperパスワードマネージャー (Keeper Password Manager) を検索し、検索結果から選択します。
Keeperパスワードマネージャーを追加 (Add Keeper Password Manager) 画面で、保存 (Save) をクリックします。
次の手順で、OneLoginからSAMLメタデータをダウンロードします。その他のアクション (MORE ACTIONS) ボタンの下矢印を選択して、SAMLメタデータ (SAML Metadata) を選択します。
Keeper管理コンソールのクラウドSSOコネクトを使用したシングルサインオン (Single Sign-On with SSO Connect™ Cloud) セクションのSAMLメタデータ (SAML Metadata) セクションに、この保存したファイルをドラッグアンドドロップするか、または参照して入力します。
Keeper管理コンソールで、ACSエンドポイント (Assertion Consumer Service (ACS) Endpoint) フィールドをコピーします。
OneLoginの設定 (Configuration) タブに戻り、Keeper SSO ConnectのACSエンドポイント (Assertion Consumer Service (ACS) Endpoint) フィールドに貼り付け、[保存] (Save) をクリックします。
SCIMを使用したい場合は、Keeperのプロビジョニング (Provisioning) タブに戻り、[メソッドを追加] (Add Method) をクリックして、SCIMを選択します。 使用しない場合は、省略して手順12に進みます。
生成 (Generate) をクリックし、URLとトークンをコピーします。
「URL」をSCIMベースURL (SCIM Base URL) に、「トークン (Token)」をSCIMベアラートークン (SCIM Bearer Token) に貼り付けます。
Keeper管理コンソールで、SCIMトークンを必ず保存 してください。
保存 (Save) をクリックして、連携を完了します。
既存のユーザー/初期管理者をSSO認証に移行
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
circle-exclamation
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ] をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、
CLIを使用した承認 コマンダーを使用した承認
KeeperのCLI/SDKプラットフォームであるコマンダーを使用すると、管理コンソールにログインしなくとも自動で管理者によるデバイス承認を実行できます。また、Keeperコマンダーが実行可能であればどのコンピュータ (Mac、PC、Linux) でも設定できます。
この方法はKeeperクラウドからの着信接続を必要としないため、入力ポートが開けない環境に適しています。この方法ではポーリングメカニズムが使用されます (送信接続のみ)。
Keeperコマンダーをインストール
インストール手順についてはpip3を使用します。
CLIを使用してデバイスを承認
keeper shellコマンドを使用してコマンダーCLIを起動します。コマンダーのバイナリをインストールした場合はそのファイルを実行します。
loginコマンドを使用して、デバイスの承認権限を持つKeeper管理者としてログインします。 コマンダーでは、マスターパスワードと2FAがサポートされています。自動化を目的として、デバイスの承認専用のKeeper管理アカウントを作成することを推奨します。 これにより、ユーザーアカウントへの何らかの変更 (強制適用ポリシーなど) によって、コマンダーの処理が中断されることがなくなります。
すべてのデバイスを表示するには、device-approveと入力します。
特定のデバイスを手動で承認するには、以下のコマンドを使用します。
過去に正常なログインが認識されたIPからのデバイスをすべて承認するには、以下のコマンドを使用します。
IPアドレスに関係なくすべてのデバイスを承認するには、以下のコマンドを使用します。
特定のデバイス承認リクエストを拒否するには、denyコマンドを使用します。
すべての承認リクエストを拒否するには、デバイスIDパラメータを削除します。
シェルを終了せずに最新のデバイス承認をリロードするには、reloadコマンドを使用します。
コマンダーでは、X秒ごとに承認を実行する自動化モードがサポートされています。設定するには、自動作成されたconfig.jsonファイルを変更します。このファイルは、ユーザーフォルダの.keeperフォルダ内 (WindowsではC:\Users\Administrator.keeper\config.json、Mac/Linuxでは/home/user/.keeper/config.json) にあります。
既存のデータは変更せずに以下の行を追加します。
これでコマンダーを開く (またはkeeper shellを実行する) と、以下のように指定した時間ごとにコマンダーがコマンドを実行するようになります。
上記の例と同様に、コマンダーを使用してAzure、Okta、JumpCloudなどのSCIMプロバイダによって作成されたチームおよびユーザー割り当てを自動的に承認できます。
設定するには、team-approveというコマンドをJSON設定ファイルに追加します。
Keeperコマンダーでは持続的ログインセッションがサポートされていますので、実行中はマスターパスワードでログインしたりconfigrationファイルにマスターパスワードをハードコードしたりする必要はありません。
以下はデバイス上で30日間 (最大) 持続的ログインを有効にするコマンドとなります。
デバイスで持続的ログインが設定されると、ローカルフォルダ内のconfig.jsonは以下のようになります。
永続的ログインについてはコマンダーの資料の
Keeperコマンダーを使用して自動化コマンドをカスタマイズする方法は数多くありますので、詳細については
Traitware KeeperクラウドSSOコネクトをTraitwareと連携させることで、Keeperにパスワードなしでログイン
TraitwareとKeeperを連携させる
Keeper管理者としてKeeper管理コンソールへログインします。
SecureAuth SAMLアプリケーション連携
コピー https://<ドメイン>/vault/#provider_name/<名前>
コピー <RelyingParty id="keepersecurity.com"
provider="https://keepersecurity.com/api/rest/sso/saml/264325172298110"
defaultSigningCredentialRef="IdPCredential">
<ProfileConfiguration xsi:type="saml:SAML2SSOProfile" encryptAssertions="never" encryptNameIds="never" />
</RelyingParty>
コピー <!-- Keeper Metadata -->
<MetadataProvider id="KeeperMD" xsi:type="FilesystemMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata"
metadataFile="IDP_HOME/metadata/keeper-metadata.xml" maintainExpiredMetadata="true" />
コピー <AttributeFilterPolicy>
<PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="keepersecurity.com" />
<AttributeRule attributeID="principal">
<PermitValueRule xsi:type="basic:ANY" />
</AttributeRule>
</AttributeFilterPolicy>
コピー $ keeper shell
_ __
| |/ /___ ___ _ __ ___ _ _
| ' </ -_) -_) '_ \/ -_) '_|
|_|\_\___\___| .__/\___|_|
|_|
password manager & digital vault
コピー My Vault> device-approve
Email Device ID Device Name Client Version
------------------ ------------------ ---------------- ----------------
[email protected] f68de375aacdff3846 Web Vault Chrome w15.0.4
[email protected] 41sffcb44187222bcc Web Vault Chrome w15.0.4
コピー My Vault> device-approve --approve <デバイスID>
コピー My Vault> device-approve --approve --trusted-ip
コピー My Vault> device-approve --approve
コピー My Vault> device-approve --deny <デバイスID>
コピー My Vault> device-approve --deny
コピー My Vault> device-approve --reload
コピー "commands":["device-approve --reload","device-approve --approve"],
"timedelay":30
コピー $ keeper shell
Executing [device-approve --reload]...
Password:
Logging in...
Syncing...
Executing [device-approve --reload]...
Email Device ID Device Name Client Version
------------------ ------------------ ---------------- ----------------
[email protected] f68de375aacdff3846 Web Vault Chrome w15.0.4
Executing [device-approve --trusted-ip --approve]...
2020/09/20 21:59:47 Waiting for 30 seconds
Executing [device-approve --reload]...
There are no pending devices to approve
.
.
.
コピー {
"user": "[email protected] ",
"commands": [
"debug",
"device-approve --reload",
"device-approve --approve",
"team-approve"
],
"timedelay":60
}
コピー My Vault> this-device register
My Vault> this-device persistent-login on
My Vault> this-device ip-auto-approve on
My Vault> this-device timeout 30d
My Vault> quit
コピー {
"private_key": "8n0OqFi9o80xGh06bPzxTV1yLeKa5BdWc7f7CffZRQ",
"device_token": "R2O5wkajo5UjVmbTmvWnwzf7DK1g_Yf-zZ3dWIbKPOng",
"clone_code": "retObD9F0-WDABaUUGhP0Q",
"user": "[email protected] ",
"server": "keepersecurity.com"
} パスワードレス連携は、管理コンソールで特定のノード (組織部門など) にのみ適用できます。
[管理者] タブをクリックし、[ノードを追加] をクリックします。
[プロビジョニング] タブで[メソッドを追加] をクリックします。
[SSO Connect® Cloud を使用したシングルサインオン] を選択して、[次へ] をクリックします。
[環境設定名] と[法人ドメイン] を入力して、[保存] をクリックします。後で法人SSOログインに使用するので、法人ドメインをメモしておきます。
Cloud SSO Connectを使用したSAML 2.0プロビジョニングメソッドが新規作成されて表示されます。メニューから[表示] を選択します。
circle-check
法人ID とACSエンドポイント (Assertion Consumer Service Endpoint) をメモしておき、後ほどTraitWare側の設定で使用します。
左側のメニューから[Signing Keys] (署名鍵) を選択します。[Generate new Key Pair] (鍵ペアを新規生成) ボタンをクリックします。鍵ペアの表示名を入力し、任意の[Lifetime in Years] (年単位の有効期間)、[Private Key Type] (秘密鍵の種類)、[Private Key Size] (秘密鍵のサイズ) を選択してから、[Generate Key] (鍵を生成)をクリックします。
左側のメニューから[Applications] (アプリケーション) を選択し、[Add Application] (アプリケーションを追加) をクリックします。
[Use a Template] (テンプレートを使用) をクリックして、Keeper を選択します。
前にメモしたKeeperの法人ID とACSエンドポイント を入力し、[Submit] (送信) をクリックします。
Traitware管理コンソールの[Applications] (アプリケーション) タブからKeeper を選択します。
[Provider Credentials] (プロバイダクレデンシャル) タブを選択し、[Traitware IdP SAML Metadata (XML)] (Traitware IdP SAMLメタデータ (XML))のダウンロードアイコンをクリックします。
[Save Application] (アプリケーションを保存) をクリックします。
SAML 2.0 with Cloud SSO Connect™ のプロビジョニングメソッドを編集します。
手順2のファイルを[SAML メタデータ] フィールドにアップロードします。
ユーザーを作成し、Traitwareを介してKeeperボルトにログインできるようにする
Traitware管理コンソールの[Users] (ユーザー) タブで、[Create User] (ユーザーを作成) を選択します。
フォームにすべて入力し、[Save Changes] (変更を保存) をクリックします
新規作成したユーザーをクリックし、[Applications] (アプリケーション) タブを選択します
Keeper の[Application Access] (アプリケーションアクセス) をオンにします
すべてのTraitwareユーザーがTraitwareを介してKeeperボルトにログインできるようにする
Traitware管理コンソールの[Applications] (アプリケーション) タブからKeeper を選択します。
[Enable All User Access] (すべてのユーザーアクセスを有効にする) をクリックします。
操作を確認し、[Enable Access] (アクセスを有効にする) をクリックします。
法人ドメインまたはメールアドレスを使用してログインします。
メールアドレスを入力して、[次へ] をクリックします。
スマートデバイスのTraitwareアプリで、ブラウザに表示されたQRコードをスキャンします。
[法人SSOログイン] のドロップダウンをクリックし、[法人ドメイン] を選択します。
本ページのKeeper側設定部分で指定した法人ドメイン名を入力して、[接続] をクリックします。
スマートデバイスのTraitwareアプリで、ブラウザに表示されたQRコードをスキャンします。
Applications > Browse App Catalog
OktaからKeeperにメタデータファイルをドラッグアンドドロップ
シングルログアウトコンフィグレーション設定を使用して新しいメタデータファイルをアップロード
アサーションコンシューマーサービスエンドポイントを貼り付け Google Workspace Keeper SSO Connect CloudをGoogle Workspaceと連携させてスムーズで安全なSAML 2.0認証とユーザーおよびチームプロビジョニングを実現
Google WorkspaceとKeeperの連携では以下がサポートされています。
Google Cloud APIとSCIMを使用した自動プロビジョニング (ユーザーとグループ)
SCIMを使用した自動プロビジョニング (ユーザーのみ)
SSO、SSOとプロビジョニング、プロビジョニングのみのいずれかを設定できます。
Google Workspaceの設定
Google Workspace管理コンソールにアクセスするには、
[Apps] (アプリ) > [Web and Mobile Apps] (ウェブアプリおよびモバイルアプリ)画面にアクセスします。
続いて、[Add App] (アプリを追加)、[Search for apps] (アプリを検索)の順に選択します。
[Enter app name] (アプリ名を入力) の箇所で「Keeper 」を検索し、「Keeper Web (SAML) 」を選択します。
[Option1] (オプション1)を使用して、IdPのメタデータをダウンロードし、[CONTINUE] (続行) を選択します。
[Service Provider Details] (サービスプロバイダの詳細情報) 画面には、入力フィールドがいくつかあります。ACS URL とEntity ID を、SSO Connect Cloudインスタンスで使用する値に置き換えます。
ACS URL とEntity ID を取得するには、Keeper管理コンソール内でSSO Connect Cloudプロビジョニングメソッドを見つけて、[表示] を選択します。
Service providerの箇所に、ACS URL とEntity ID の値が表示されます。
ACS URL とEntity ID をコピーして、Service provider details (サービスプロバイダの情報) に貼り付け、[Signed Response] (署名付きレスポンス) をチェックして、[CONTINUE] (続行)を選択します。
Attributes (属性) 画面で、以下に表示されているとおり3つのマッピングがあることを確かにします。以下に表示されているように、マッピングフィールドをFirst Name (ファーストネーム) 、Last Name (ラストネーム) 、Primary Email (プライマリメール) に設定し、[Finish] (完了)を選択します。 これで、Google WorkspaceのKeeperへのSAML連携が完了しました。
Keeper SAMLアプリの詳細
設定が完了すると、Keeper SAMLアプリの詳細ページが表示され、SAML接続およびサービスの詳細を確認できます。SSOを有効にするには、[OFF for everyone] (すべてのユーザーに対してOFF) をクリックします。
全ユーザーでSSO Connectを有効にする
全ユーザーでKeeper SSO Connectを有効にするには、[ON for everyone] (すべてユーザーに対してON) を選択して、[SAVE] (保存)をクリックします。
グループのSSO Connectを有効にする
特定のグループでKeeper SSO Connectを有効にするには、[Service status] (サービスステータス) の左側にある[Groups] (グループ) を選択し、Keeper SSO Connectに関連付けたいグループを検索して選択し、ON をチェックして[SAVE] (保存) をクリックします。
Google Workspaceメタデータをインポート
Keeper管理コンソールに戻り、SSO Connect Cloudプロビジョニングメソッドを見つけて[編集] を選択します。
[Browse Files] (ファイルを参照) を選択し、以前にダウンロードしたGoogleメタデータファイルを選択します。
メタデータファイルがプロビジョニングメソッドに反映されると、成功したことになります。 これで、プロビジョニング設定を終了します。
Google Workspaceのシングルログアウト (SLO) 設定に関する注意
これでKeeper SSO ConnectをGoogle Workspaceと連携させる設定は完了となります。以下の手順で、Googleアカウントを使用してKeeperにログインできるようになります。
Keeperボルトを開き、[法人SSOログイン]をクリックします。
SSOの設定時にKeeper管理コンソールに指定した法人ドメインを入力します。SSO Connectのステータス画面ではSSO Connectドメインという名前になっています。
[接続] をクリックし、Google Workspaceの認証情報でログインします。
エンドユーザーの操作手順(Keeperが起点となるログイン)については、以下をご参照ください。
以下はSSOエンドユーザー向け動画です。
ユーザーとチームのプロビジョニング
次に、Google Workspaceからユーザーとチームのプロビジョニングを設定する方法を解説します。 Google Workspaceと統合するには以下の2つの方法があります。
オプション 1 (推奨): ユーザーとグループのプロビジョニング
Google WorkspaceではSCIMグループがネイティブでサポートされていないため、Keeperではユーザーとグループのプロビジョニングを自動化するためにGoogle Workspaceと統合するGoogle Cloud Functionを開発しました。このサービスの設定手順については、以下をご参照ください。
オプション 2: ユーザーのみをプロビジョニングする
SCIM直接統合を使用して直接Google WorkspaceからKeeperへのユーザー (グループではなくユーザーのみ) をプロビジョニングする手順については、以下をご参照ください。
Trusona KeeperクラウドSSOコネクトをTrusonaと連携させることで、Keeperにパスワードなしでログイン
TrusonaとKeeperを連携させる
Keeper管理者としてKeeper管理コンソールへログインします。
circle-check
パスワードレス連携は、管理コンソールで特定のノード (組織部門など) にのみ適用できます。
[管理者] タブをクリックし、[ノードを追加] をクリックします。
ノードに名前を付け、[ノードを追加] をクリックします。
[プロビジョニング] タブで[メソッドを追加] をクリックします。
[SSO Connect® Cloud を使用したシングルサインオン] を選択して、[次へ] をクリックします。
[環境設定名] と[法人ドメイン] を入力して、[保存] をクリックします。後で法人SSOログインに使用するので、法人ドメインをメモしておきます。
Cloud SSO Connectを使用したSAML 2.0プロビジョニングメソッドが新規作成されて表示されます。メニューから[表示] を選択します。
法人ID、ACSエンドポイント、シングルログアウトサービスエンドポイント をメモしておきます。
TrusonaでKeeperとの連携を作成
Trusonaアカウントのダッシュボードで、左側のナビゲーションからKeeper を選択します。
[Create Keeper Integration] (Keeperとの連携を作成) をクリックします。
連携に名前を付け、[Save] (保存) をクリックします。
[Actions] (操作) ドロップダウンメニューから[Edit] (編集) をクリックします。
Keeper管理コンソールで連携を作成する際に、前にメモした以下の情報を該当フィールドに貼り付けます。
シングルログアウト (SLO) サービスエンドポイント
[Certificate] (証明書) で、Keeper管理コンソールからエクスポートしたSP証明書をアップロードして、[保存] (Save) をクリックします。
任意でジャストインタイムプロビジョニング を有効にし、ユーザーがサインアップ時に法人ドメイン名を入力することでノードにアカウントを作成できるようにします。
[SAML メタデータ] にTrusonaのダッシュボードからダウンロードしたmetadata.xmlファイルをアップロードします。
メールアドレス: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
SSO Connect Cloudを使用してユーザーをプロビジョニングする方法については
法人ドメインまたはメールアドレスを使用してログインします。
メールアドレスを使用してログイン
メールアドレスを入力して、[次へ] をクリックします。
スマートデバイスのTraitwareアプリで、ブラウザに表示されたQRコードをスキャンします。
法人ドメインを使用してログイン
[法人SSOログイン] のドロップダウンをクリックし、[法人ドメイン] を選択します。
本ページのKeeper側設定部分で指定した法人ドメイン名を入力して、[接続] をクリックします。
セキュリティとユーザーフロー KeeperクラウドSSOコネクトの技術的説明
Keeperはゼロ知識セキュリティプロバイダです。ゼロ知識は、以下の原則を守ることで、最高レベルのセキュリティとプライバシーを保証するシステムアーキテクチャです (SSO Cloudモデル)。
データは、(サーバー上ではなく) デバイスレベルで暗号化および復号化します
[Download XML] (XMLをダウンロード) をクリックして、Keeper管理コンソールで使用するXMLメタデータをダウンロードします。
[アイデンティティプロバイダ属性マッピング] で、以下のように入力します。
Keeperボルトにログインします。
スマートデバイスのTraitwareアプリで、ブラウザに表示されたQRコードをスキャンします。
SSO Connect™ Cloudを使用したシングルサインオンのためのTrusonaの設定
強調表示されたフィールドをメモして、SP証明書をエクスポート アプリケーションはプレーンテキスト (人間が読める) データを保存しません
Keeperの従業員または第三者が暗号化されていないデータを見ることはできません
データを復号化および暗号化する鍵は、ユーザー (および企業の管理者) が管理します
マルチレイヤー暗号化により、ユーザー、グループ、管理者レベルでアクセス制御します
データの共有には公開鍵暗号を使用し、安全な鍵配布を実現します
データは、ユーザーのデバイス上でローカルに暗号化されてから、Keeperのクラウドボルトに送信されて保存されます。データが他のデバイスに同期されると、そのデバイスで復号化されるまでデータは暗号化されたままになります。
Keeperは、世界で最も多くの認証、テスト、監査を受けた、最も安全なパスワードセキュリティプラットフォームです。Keeperは、業界で唯一のSOC 2およびISO 27001認証パスワード管理ソリューションであり、米国商務省のEU-米国間プライバシーシールドプログラムに準拠し、データ保護に関する欧州委員会の指令にも適合しています。最も安全なレベルの暗号化を実装するだけでなく、第三者によって絶えず監査される極めて厳格な社内規範を遵守し、安全なソフトウェアの開発と、世界で最も安全なサイバーセキュリティプラットフォームの提供を確実に継続できるように努めています。
KeeperクラウドSSOコネクトは、完全なクラウド環境で標準のSAML 2.0プロトコルを使用するサードパーティのIDプロバイダ (IdP) を利用して認証することによって、ユーザーを認証し、ゼロ知識暗号化ボルトに保存されたデータを復号化する方法をKeeperエンタープライズのお客様に提供します。
この実装では、ユーザーはSSO IDプロバイダを使用して認証を受け、ローカルのユーザーデバイス上で自分のボルトの暗号文を復号化できます。デバイスごとに独自のEC (楕円曲線) 公開鍵/秘密鍵のペアと暗号化されたデータキーを設定します。 ユーザーごとに独自のデータキーを設定します。新しいデバイスにサインインするには、ユーザーが既存のデバイスを利用して承認を実行するか、または特権を持つ管理者が新しいデバイスを承認する場合もあります。
この新機能の重要性は、ユーザーがKeeperクラウドに保存された暗号鍵を使用して、自分のボルトを復号化できることにあります。 Keeperクラウドはユーザーのデバイス上でユーザーのデータキーを復号化できないため、ゼロ知識が維持されるのです。ユーザーのデータキー (「DK」) はデバイスの秘密鍵 (「DPRIV」) で復号化されます。暗号化されたデータキー (「EDK」) をユーザーが利用できるのは、指定されたIDプロバイダ (Okta、Azure、AD FSなど) による認証に成功した場合のみです。
SSO Connect Cloudのユーザーの場合、デバイスごとに楕円曲線の秘密鍵が生成されて、ローカルに保存されます。Chromiumベースのウェブブラウザの場合、Keeperボルトは、ローカルデバイスの楕円曲線秘密鍵 (「DPRIV」) をエクスポートできない暗号鍵として保管します。 iOSおよびMacデバイスでは、鍵はデバイスのキーチェーンに保存されます。 利用可能な場合、Keeperは安全なストレージメカニズムを利用します。
デバイスの秘密鍵がボルトデータの暗号化や復号化に直接使用されることはありません。 IDプロバイダによる認証が成功すると、ボルトデータの復号化には (保管されていない) 別の鍵が使用されます。 ローカルデバイスの秘密鍵をオフラインで抽出しても、ユーザーのボルトは復号化できません。
デバイス/プラットフォームによってセキュリティレベルが異なるため、最適なセキュリティを提供するには、最新のChromiumベースのウェブブラウザの使用をお勧めします。
不正アクセスされたデバイスによる攻撃に対する一般的な防御として、すべてのデバイス (デスクトップコンピュータなど) をディスクレベルの暗号化と最新のマルウェア対策ソフトウェアで保護することもお勧めします。
新しいデバイスにサインインするには、ユーザーが既存のデバイスを利用して承認を実行するか、または特権を持つ管理者が新しいデバイスを承認する場合もあります。 新しいデバイスで公開鍵/秘密鍵のセットが新たに生成されます。承認デバイスは、この新しいデバイスの公開鍵でユーザーのデータキーを暗号化します。 新しいデバイスの暗号化されたデータキー (EDK) が要求元のユーザーやデバイスに送信されると、ユーザーはこのデータキーを復号化できるため、自分のボルトデータも復号化できます。 ユーザーは復号化されたボルトデータ内で、レコード鍵、フォルダ鍵、チーム鍵などの他の秘密暗号鍵を復号化できます。
この機能の重要性は、ユーザーがKeeperクラウドに保存された暗号鍵を使用して自分のボルトを復号化できるという点と、暗号鍵を管理するためにオンプレミスのサービスもユーザーがホストするアプリケーションサービスも必要としないという点にあります。 Keeperクラウドはユーザーのデバイス上でユーザーのデータキーを復号化できないため、ゼロ知識が維持されるのです。ユーザーのデータキーはデバイスの秘密鍵 (DPRIV) で復号化されます。EDKをユーザーが利用できるのは、指定されたIDプロバイダ (Okta、Azure、AD FSなど) による認証に成功した場合のみです。
管理者の目から見たメリットは、Keeperの現行SSO Connectの暗号化モデルで説明されている通り、設定が簡単で、暗号鍵の管理にホスト型のソフトウェアが必要ないことです。
Keeper SSO Connectのオンプレミス実装に対する、このモデルのワークフローの唯一の違いは、ユーザーが有効なデバイスで新しいデバイスの承認を実行するか、またはKeeper管理者にデバイス承認を実行する責務を委任する必要があるという点です。
KeeperクラウドSSOコネクトは、以下に記載したSPが起点となるログインフローとIdPが起点となるログインフローの両方をサポートしています。
SPが起点となるログイン (「企業ドメイン」を使用)
ユーザーは、Keeperボルトのログイン画面で「企業ドメイン」を入力します。
Keeperは、Keeper SSO Cloudインスタンスに設定されたSAMLログインURLを取得します (https://keepersecurity.com/api/rest/sso/saml/login/12345678など)。
ユーザーはこのSAMLログインURLにリダイレクトされます。
Keeperは、エンティティIDとKeeperの公開鍵、およびセッションを識別する「Relay State」を含むエンコードされたSAMLリクエストをIdPに送信します。
ユーザーは通常どおりIdPのログイン画面にサインインします。
IdPへのサインインに成功すると、ユーザーは事前に定義された「ACS URL」でKeeperにリダイレクトされます (これは、IdPの設定に応じて「Redirect」または「Post」を使用できます)。
IdPからKeeperへのSAMLメッセージには、ユーザーがIdPで正常に認証されたことを検証した署名付きアサーションが含まれています。 Keeperはこの署名付きアサーションを検証します。
SAML属性「First」、「Last」、「Email」は、IdPからKeeperに送信されます。
KeeperクラウドSSOコネクトは、ユーザーをボルトにリダイレクトします。
ユーザーのデバイスを認識できない場合、Keeperはデバイスの検証を実行します (「Keeper プッシュ通知」または「管理者承認」を使用)。
デバイスの検証と鍵交換が成功すると、Keeperは暗号化されたデータキーをユーザーに送信します。
ユーザーは、自分のデバイスの秘密鍵を使用して、デバイスでデータキーを復号化します。
ユーザーはこのデータキーを使用してボルトを復号化します。
Keeperのボルトログイン画面から、ユーザーは自分のメールアドレスを入力します。
ユーザーが認証済みのデバイスを使用している場合は、メールが検索されて、SAMLログインURLに変換されます。
デバイスが認識されていない場合、Keeperはドメイン部 (@company.com) をチェックして、Keeper SSO Cloudインスタンスに設定されたSAMLログインURLを取得します (https://keepersecurity.com/api/rest/sso/saml/login/12345678など)。
ユーザーはこのKeeperログインURLにリダイレクトされます。
後は、前述のSPが起点となるログインと同じ手順に従います。
ユーザーは、IDプロバイダのウェブサイト (https://customer.okta.comなど) にログインします。
ユーザーは、IDプロバイダのポータルでKeeperアイコンをクリックします。
ユーザーは事前に定義された「ACS URL」でKeeperにリダイレクトされます (これは、IdPの設定に応じて「Redirect」または「Post」を使用できます)。
IdPからKeeperへのSAMLメッセージには、ユーザーがIdPで正常に認証されたことを検証した署名付きアサーションが含まれています。 Keeperは、IdPの公開鍵で署名付きアサーションを検証し、アサーションが改ざんされていないことを確認します。 Keeperは、メッセージがKeeperの公開鍵で署名されていることも検証します。
SAML属性「First」、「Last」、「Email」は、IdPからKeeperに送信されます。
Keeper SSO Connect Cloudは、ユーザーをボルトにリダイレクトします。
ユーザーのデバイスを認識できない場合、Keeperはデバイスの検証を実行します (Keeperプッシュ通知または管理者承認を使用)。
デバイスの検証と鍵交換が成功すると、Keeperは暗号化されたデータキーをユーザーに送信します。
ユーザーは、自分のデバイスの秘密鍵を使用して、デバイスでデータキーを復号化します。
ユーザーはこのデータキーを使用してボルトを復号化します。
質問1. 管理者がKeeperウェブコンソールを使用して新しいユーザーデバイスを承認する場合、ユーザーの暗号化されたデータキーはどのような方法で新しいデバイスに転送されますか。
各デバイスは、一意の楕円曲線 (EC) 公開鍵と秘密鍵のペアをデバイス内で生成します。公開鍵はサーバーに保管されています。 ユーザーがデバイス承認を要求すると、新しいデバイスの公開鍵がサーバーに送信されます。「デバイス承認」権限を持つ管理者は、デバイスの承認処理中にユーザーのデータキーを復号化できます。管理者がデバイスを審査して承認すると、ユーザーのデータキー (DK) は新しいデバイスの (EC) 公開鍵で再度暗号化され、暗号化されたデータキーはそのユーザーのデバイスに関連付けられたサーバーに保管され、新しいデバイスにも送信されます。新しいデバイスは、デバイスの (EC) 秘密鍵でデータキーを復号化します。
質問2. データキーを復号化するのは、新しいデバイスの秘密鍵で暗号化するためですか。
管理者は、承認を実行する際に、メモリ内のデータキーを復号化し、管理コンソール内で新しいデバイスの公開鍵を使用して再度暗号化します。ユーザーがSSOにサインインすると、サーバーは認証を検証して、暗号化されたデータキーを新しいデバイスに送信します。すると、新しいデバイスは、デバイス内のEC秘密鍵でデータキーを復号化します。ユーザーがログインしてIDPの認証を受けるたびに、暗号鍵がデバイスに送信され、メモリ内で復号された後、レコード鍵、フォルダ鍵などの暗号化/復号化に使用されます。
質問3. データキーは、復号化された状態でどこに保管されていますか。
データキーは、復号化された状態で保管されることはありません。データキーは、デバイスの公開鍵で暗号化されてクラウドに保管されています。つまり、ユーザーが10台のデバイスを保有している場合、各デバイスの公開鍵で暗号化された10個のデータキーを保管しているということです。データキーの再暗号化は、ゼロ知識を維持するために、ユーザーまたは管理者によって必ずデバイス内で行われます。
質問4. オートメーターが新しいユーザーデバイスを承認する場合、同じ質問になりますが、ユーザーのデータキーの暗号化処理はどこで行われているのですか。
オートメーターが実行する処理はまったく同じです。リクエスト時にユーザーのデータキーを復号化し、認証を検証して、新しいデバイスのEC公開鍵でデータキーを再度暗号化した後、暗号化されたデータキーをユーザーのデバイスに転送します。
質問5. ユーザーがデータをボルトに暗号化しているにもかかわらず、ユーザーのデータキーの共有を実行できるデバイスがない場合はどうなりますか。
オートメーターと管理者は、ユーザーがすべてのデバイスを紛失した場合でも、常にデバイス承認を実行できます。
質問6. 新しいデバイスを追加するには、新しいユーザーデバイスと古いユーザーデバイスの両方がオンラインである必要がありますか。
いいえ、承認は非同期で実行できます。
質問7. データキーがデバイス上でしか復号化されないのであれば、データキーを新しいデバイスの公開鍵で暗号化するには、古いデバイスがオンラインでなければならないように思われます。
承認プロセス全体は、リアルタイムで実行することも段階を分けて実行することもできます。アプリは、ログイン時にユーザーに承認を求め、データキーを新しい公開鍵で暗号化して、サーバーに送信します。その過程を以下のビデオでご紹介します。
LinuxベースのDocker Keeperオートメーターをシンプルなdocker環境にデプロイする方法
LinuxベースのDocker
本ガイドでは、Dockerを実行できるLinuxインスタンスでKeeperオートメーターを実行するための手順を解説します。
Dockerをインストールしていない場合は、ご利用のプラットフォームの手順に従ってセットアップします。たとえば、yumパッケージインストーラーを使用する場合、以下のようになります。
Dockerサービスが実行されていない場合は、Dockerサービスを開始します。
次に、サービスが自動的に開始するように設定します。
root以外のユーザーにDockerの実行を許可するには (セキュリティ要件を満たしている場合)、以下のコマンドを実行します。
docker pullコマンドを使用して、最新のKeeperオートメーターイメージを取得します。
以下のコマンドを使用してサービスを開始します。以下の例では、ポート443をリッスンしています。
dockerコンテナ内にconfigフォルダを作成します。
ssl-certificate.pfxファイルをコンテナにコピーします。
.pfxファイルがパスフレーズで保護されている場合は、ssl-certificate-password.txtという名前のファイルを作成します。
そのファイルをdockerコンテナに配置します。
コンテナ内のkeeper.propertiesファイルで、ssl_modeパラメータがcertificateに設定されていることを確認してください。
証明書がインストールされましたので、Dockerコンテナを再起動します。
この時点でサービスは実行中ですが、Keeperとはまだ通信でない状態です。
ご利用のワークステーション、サーバー、コンピュータなどにKeeperコマンダーCLIをインストールします。バイナリインストーラーを含むインストール手順についてはkeeper shellと入力してセッションを開いてからloginコマンドを使用してログインします。オートメーターをセットアップするには、Keeper管理者、またはSSOノードを管理できる管理者としてログインする必要があります。
Keeperコマンダーにログインし、automator createで始まる一連のコマンドを使用してオートメーターを有効化します。
ノード名 (この場合はAzure Cloud) は、以下のように管理コンソールのUIに表示されます。
コマンドの出力には、IDプロバイダから取得したメタデータを含むオートメーターの設定が表示されます。
以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます (team、 team_for_user、device)。
次にキーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。
新しい設定でオートメーターを初期化します。
オートメーターサービスを有効にします。
この時点で設定は完了となります。
自動ヘルスチェックには以下のURLをご使用になれます。
https://<server>/health
以下はその例です。
AD FSを使用した環境の場合
IDプロバイダとしてAD FSを使用してKeeperオートメーターを有効にする場合、以下の手順に従ってKeeper証明書を更新するまでログインできません。
[管理者] > SSOノード > [プロビジョニング] に移動し、SSOクラウド設定を見ます。
Keeperのサーバーおよびご利用のワークステーションからサービスへのネットワークアクセスを制限することを推奨します。許可するKeeper IPアドレスのリストについては、
Keeperオートメーターがデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。
Keeperオートメーターサービスを停止/開始する際、Dockerサービスは自動的に状態を保持します。
Keeperオートメーターの新しいバージョンが利用できるようになった際には、上記の手順2〜7 繰り返すことでオートメーターサービスを更新できます。以下は例です。
Keeperコマンダーのコマンドを実行します。
Keeperオートメーターのログを確認してください。通常これで問題がわかります。Docker環境では、以下のコマンドを使用してログファイルを追跡できます。
以下のコマンドを使用して、コンテナに接続してログファイルを確認できます。
その他のSAML 2.0プロバイダ KeeperクラウドSSOコネクトをSSO IDプロバイダと連携させて、スムーズで安全なSAML 2.0認証を実現
Keeperは、すべてのSAML 2.0 SSO IDプロバイダ (IdP) と互換性があります。ご利用のIDプロバイダがリストにない場合は、このガイドの手順に従って設定を完了してください。この設定において、Keeperはサービスプロバイダ (SP) です。
手順1. IDプロバイダを設定
KeeperクラウドSSOコネクトについて、以下のような情報をIDプロバイダのアプリケーションに提供する必要があります。
ACS (Assertion Consumer Service) エンドポイント
この情報を取得するには、Keeper管理コンソール内でSSO Connect Cloudプロビジョニングメソッドを見つけて、表示 (View) を選択します。 そこから、Keeperメタデータファイル、サービスプロバイダ (SP) 証明書ファイル、およびダイレクトURLと設定情報をダウンロードできます (IDプロバイダアプリケーションがメタデータファイルのアップロードをサポートしていない場合)。
サービスプロバイダのメタデータをアップロードする方法、または必要なSAMLレスポンス設定フィールドに手動で入力する方法については、IDプロバイダのアプリケーション設定ガイドをご参照ください。
手順2. IdPメタデータを取得
IdPメタデータをKeeperにインポートするには、正しく書式設定されたメタデータファイルが必要です。 ご利用のSSO IDプロバイダのアプリケーションがメタデータファイルをエクスポートできる場合、これがKeeperクラウドSSOコネクトプロビジョニングメソッドにメタデータをインポートするための最も便利でお勧めの方法でしょう。
ご利用のIDプロバイダからメタデータファイルをエクスポート/ダウンロードできない場合は、正しく書式設定されたメタデータファイルを作成してください。 手順については、SSOアプリケーションの設定ガイドをご参照ください。
KeeperクラウドSSOコネクトに対応したIDプロバイダのシンプルなmetadata.xmlファイルの書式のサンプル/テンプレートを以下に示します。 このサンプル/テンプレートを使用して作成を開始する場合は、お好みの.xmlや.txt用のエディターで、ご利用のIdPの情報に従って、その他のフィールドをコピー、貼り付け、修正、追加してください。
circle-exclamation
この例に含まれているフィールドは、SSOアプリケーションをKeeperに接続するために最低限必要なものなので、どのフィールドも削除「しない」でください。
手順3. ユーザー属性をマッピング
Keeperでは、認証中に送信される特定のユーザー属性 をマッピングする必要があります。 KeeperクラウドSSOコネクトのデフォルトのユーザー属性は、以下の表に示したEmail 、First 、Last です。 IDプロバイダのユーザー属性がKeeperの属性と一致するようにしてください。 手順については、ご利用のIDプロバイダの設定ガイドをご参照ください。
手順4. IdPメタデータをKeeperにアップロード
IDプロバイダのメタデータファイルの作成、またはIDプロバイダのメタデータファイルのダウンロードが完了したら、Keeper管理コンソールに戻り、SSO Connect Cloudプロビジョニングメソッドを見つけて、編集 (Edit) を選択します。
IDプロバイダ (Identity Provider) セクションまで下にスクロールし、IDPタイプ (IDP Type) を汎用 (GENERIC) に設定して、ファイルを参照 (Browse Files) を選択し、作成したメタデータファイルを選択します。
引き続き、Keeper管理コンソール内のSSO Connect Cloudプロビジョニングメソッドで、編集 (Edit) ビュー を終了して、表示 (View) を選択します。 IDプロバイダ (Identity Provider) セクション内のエンティティID (Entity ID)、シングルサインオンサービス (Single Sign On Service) 、シングルログアウトサービスエンドポイント (Single Logout Service Endpoint) のメタデータ値が入力されたことを確認できます。
IDプロバイダがアプリケーションのアイコンやロゴファイルを必要とする場合は、
circle-check
成功です。 これでKeeper Security SSO Cloud の設定が完了しました。 これで、SSOを使用してKeeperへのログインを試すことができます。
アプリケーションが機能していない場合は、IDプロバイダのアプリケーション設定を見直し、メタデータファイルとユーザー属性にエラーがないか確認してください。
確認が済んだら、手順4 を繰り返します。
サポートが必要な場合は、[email protected] までメールでご相談ください。
既存のユーザー/初期管理者をSSO認証に移動
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
circle-exclamation
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ] をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、
Docker Compose Docker Composeメソッドを使用したKeeperオートメーターのインストール
本ページでは、DockerまたはDocker Composeを実行できるLinuxインスタンスでKeeperオートメーターを実行するための手順を解説します。
Docker Composeには、標準のDockerよりも利点が多くあります。
Docker Composeメソッドを使用したオートメーターのインストール手順は以下のとおりです。
DockerとDocker Composeのインストール
DockerとDocker Composeのインストール手順はプラットフォームによって異なります。以下の公式ドキュメントをご参照ください。
LinuxにDockerおよびDocker Composeインストール手順をご参照ください。
備考: Linuxではdocker composeの代わりにdocker-composeを使用できます。
インストール後にDockerサービスが動作していない場合は、Dockerサービスの起動が必要になる場合があります。
次に、サービスが自動的に開始するように設定します。
root以外のユーザーにDockerの実行を許可するには (セキュリティ要件を満たしている場合)、以下のコマンドを実行します。
docker-compose.ymlファイルを作成します
以下のコードをdocker-compose.ymlファイルとして、サーバーのdocker composeコマンドを実行する場所に保存します。
この時点でサービスは実行中ですが、Keeperとはまだ通信できない状態です。
ご利用のワークステーション、サーバー、コンピュータなどにKeeperコマンダーCLIをインストールします。初期設定に使用のみとなります。バイナリインストーラーを含むインストール手順についてはkeeper shellと入力してセッションを開いてからloginコマンドを使用してログインします。オートメーターをセットアップするには、Keeper管理者、またはSSOノードを管理できる管理者としてログインする必要があります。
Keeperコマンダーにログインし、automator createで始まる一連のコマンドを使用してオートメーターを有効化します。
ノード名 (この場合は、Azure Cloud) は、以下に示すように管理コンソールのUIに表示されます。
コマンドの出力には、IDプロバイダから取得したメタデータを含むオートメーターの設定が表示されます。
URLはまだ設定されていないませんので、選択したFQDNを使用してURLを編集します。
以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます (team、 team_for_user、device)。
次にキーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。
新しい設定でオートメーターを初期化します。
オートメーターサービスを有効にします。
この時点で設定は完了となります。
自動ヘルスチェックには以下のURLをご使用になれます。
https://<server>/health
以下はその例です。
Docker Compose コマンドを使用してオートメーターログをモニターできます。
AD FSを使用した環境の場合
IDプロバイダとしてAD FSを使用してKeeperオートメーターを有効にする場合、以下の手順に従ってKeeper 証明書を更新するまでログインできません。
[管理者] > SSOノード > [プロビジョニング] に移動し、SSOクラウド設定を見ます。
Keeperのサーバーおよびご利用のワークステーションからサービスへのネットワークアクセスを制限することを推奨します。許可するKeeper IPアドレスのリストについては、
オートメーターの新バージョンが利用できるようになった際には、コンテナのアップデートするだけでご利用になれます。
Keeperオートメーターがデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。
Beyond Identity KeeperクラウドSSOコネクトをBeyond Identityと連携させて、Keeperにパスワードなしでログイン
KeeperをBeyond Identityと連携させる
Keeper管理者として
circle-check
パスワードレス連携は、管理コンソールで特定のノード (組織部門など) にのみ適用できます。
[管理者] タブをクリックし、[ノードを追加] をクリックします。
ノードに名前を付け、[ノードを追加] をクリックします。
[プロビジョニング] タブで[メソッドを追加] をクリックします。
[SSO Connect® Cloud を使用したシングルサインオン] を選択して、[次へ] をクリックします。
[環境設定名] と[法人ドメイン] を入力して、[保存] をクリックします。後で法人SSOログインに使用するので、法人ドメインをメモしておきます。
Cloud SSO Connectを使用したSAML 2.0プロビジョニングメソッドが新規作成されて表示されます。メニューから[表示] を選択します。
法人ID、ACSエンドポイント、シングルログアウトサービスエンドポイント をメモしておきます。
Beyond Identity側の 設定
Beyond Identityの管理コンソール (
Beyond IdentityでKeeperとの連携を作成
Beyond Identityの管理コンソールで、左側のナビゲーションから[Integrations] (連携) を選択します。
[Add SAML Connection] (SAML接続を追加)をクリックします。
Beyond Identityのフィールド
使用する値
[Attribute Statements] (属性ステートメント) セクションで、以下の2つの属性を追加します。
[Save Changes] (変更を保存) をクリックします。
[Download Metadata] (メタデータをダウンロード) アイコン</>をクリックして、Keeper管理コンソールで使用するXMLメタデータをダウンロードします。
Beyond Identityのプロビジョニングメソッドで[編集] をクリックして設定を表示します。
任意でジャストインタイムプロビジョニング を有効にし、ユーザーがサインアップ時に法人ドメイン名を入力して、ノードにアカウントを作成できるようにします。
[SAML メタデータ] にBeyond Identityの管理コンソールからダウンロードしたmetadata.xmlファイルをアップロードします。
SSO Connect Cloudを使用してユーザーをプロビジョニングする方法については、
法人ドメインまたはメールアドレスを使用してログインします。
Beyond Identity Authenticatorがインストールされたデスクトップでメールアドレスを使用してログイン
メールアドレスを入力して、[次へ] をクリックします。
Beyond Identity Authenticatorがインストールされたデスクトップで法人ドメインを使用してログイン
[法人SSOログイン] のドロップダウンをクリックし、[法人ドメイン] を選択します。
本ページのKeeper側設定部分で指定した法人ドメイン名を入力して、[接続] をクリックします。
iOSまたはAndroid用のBeyond Identityをインストールし、法人ドメインを使用してログイン
[法人 SSO ログインを使用] ドロップダウンをタップします
本ページのKeeper側設定部分で指定した法人ドメイン名を入力して、[接続] をタップします
iOSまたはAndroid用のBeyond Identityをインストールし、メールアドレスを使用してログイン
メールアドレスを入力して、[次へ] をクリックします。
Beyond Identityアプリからのプッシュ通知を承諾します。
Windowsサービス KeeperオートメーターのWindowsサーバーでの実装例
本ガイドでは、Dockerを使用せずにオートメーターサービスをWindowsサーバーで実行するための手順を解説します。
1. オートメーターサービスをインストール
オートメーターインスタンスで、以下のURLからKeeperオートメーターのインストーラーをダウンロードし、解凍して実行します。
設定画面でJavaのチェックボックスをオンにして、Javaランタイムをインストールに含めます。現在はJava 17ランタイムが同梱されており、新バージョンのリリースに合わせて更新されます。
これにより、Keeperオートメーターが以下のフォルダにインストールされます。
C:\Program Files\Keeper Security\Keeper Automator\
設定は以下のフォルダに保存されます。
C:\ProgramData\Keeper Automator\
2. configフォルダを作成
C:\ProgramData\Keeper Automator フォルダにconfigというフォルダを作成します。
3. 証明書ファイルとパスワードファイルをコピー
ssl-certificate.pfxファイル (C:\ProgramData\Keeper Automator\Config に配置します。
ssl-certificate.pfxファイルがパスフレーズで保護されている場合は、ssl-certificate-password.txtという名前のファイルもC:\ProgramData\Keeper Automator\Config に作成する必要があります。
サービス画面でKeeperオートメーターを選択し、サービスを再起動します。
ウェブブラウザでサービスが実行中であることを確認します (テストしているデバイスからポート443が解放されている必要があります)。
この場合のURLは、https://automator.company.com/api/rest/status となります。
自動ヘルスチェックには以下のURLもご使用になれます。
https://automator.company.com/health
Windowsファイアウォール
Defenderファイアウォールが実行されているWindowsでデプロイしている場合は、Windows Defenderファイアウォールでポート443 (または任意の指定ポート) を開く必要がありますので、 以下の手順に従います。
[スタート] メニューを開き、[Windows Defenderファイアウォール] と入力して、結果の一覧から選択します。横のナビゲーションメニューで[詳細設定] を選択し、[受信の規則] を選択します。ポートを開くには、[新しい規則] を選択して手順を完了します。
コマンダーを使用した最後の設定
サービスが実行中となりましたので、Keeperコマンダーを使用してオートメーターをご利用のKeeperの環境に統合します。
5. Keeperコマンダーをインストールします
ご利用のワークステーション、サーバー、コンピュータなどにKeeper Commander CLIをインストールします。バイナリインストーラーを含むインストール手順については
6. Keeperコマンダーにログインし、automator createで始まる一連のコマンドを使用してオートメーターを有効化し、オートメーターに任意の名前を付けます。
ノード名 (この場合は、Azure Cloud) は、以下に示すように管理コンソールのUIに表示されます。
コマンドの出力には、IDプロバイダから取得したメタデータを含むオートメーターの設定が表示されます。
URLがまだ入力されいませんので、以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます (team、 team_for_user、device)。
次にキーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。
次に、以下のコマンドを使用して新しい設定でオートメーターを初期化します。
最後に、以下のコマンドでオートメーターサービスを有効にします。
この時点で設定は完了となります。
AD FSを使用した環境の場合
IDプロバイダとしてAD FSを使用してKeeperオートメーターを有効にする場合、以下の手順に従ってKeeper証明書を更新するまでログインできません。
[管理者] > SSOノード > [プロビジョニング] に移動し、SSOクラウド設定を見ます。
Keeperオートメーターがデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。
Keeperオートメーターサービスを再設定する際は、Keeperコマンダーを使用してサービスエンドポイントを再初期化する必要があります。
Keeperオートメーターのログを確認してください。通常これで問題がわかります。Windowsの場合、ログはC:\ProgramData\Keeper Automator\logs にあります。
常に承認のプロンプトが表示される
Keeperオートメーターサービスを再インストールする際、Keeperコマンダーを使用してサービスエンドポイントを再初期化する必要がある場合があります。Keeperコマンダーについては
Keeperコマンダーでオートメーターインスタンスを再初期化するのに必要なコマンドは以下のとおりです。
Entra ID (Azure AD) KeeperクラウドSSOコネクトをMicrosoft Entra ID (旧Azure AD)に連携させて、スムーズで安全なSAML 2.0認証を実現
Microsoft AD FS Keeper SSO Connect CloudをMicrosoft AD FSと連携させて、スムーズで安全なSAML 2.0認証を実現
LinuxベースのJava スタンドアロンJavaサービスを使用したKeeperオートメーターの実装例
本ページでは、Dockerを実行できるLinuxインスタンスでKeeperオートメーターを実行する手順を取り扱います。
カスタムSSL証明書 カスタムSSL証明書またはCloudflare接続を使用したKeeper Automatorの設定
KeeperオートメーターによりKeeperバックエンドとお客様の環境で実行されているオートメーターサービスの間の通信を暗号化されます。
カスタム証明書を使用しない場合、Keeperオートメーターがデフォルトで自己署名証明書を生成します。これにより、テスト用途ではオートメーターを起動して動作させることができますが、本番環境では有効なSSL暗号化が必要です。
オートメーターのデプロイにおけるSSL証明書の管理方法はいくつかあります。
AD FS管理コンソールで、KeeperクラウドSSO証明書利用者信頼プロパティを選択します。
[暗号化] タブで、古い証明書をこの新しい証明書に置き換えます。
[署名] タブで、新しいSP証明書をこの新しい証明書に置き換えます。
シングルログアウト (SLO) サービスエンドポイント
SPメタデータ ファイルまたはKeeper SP証明書 ファイル
これはエンティティID で、発行者 (Issuer) と表記される場合もあり、IdPアプリケーションに固有の名前です。
これはX509証明書 で、IDプロバイダから送信されたSAMLレスポンスの署名を検証するためにKeeperが使用します。
Keeperにログインするときに使用する名前識別子の形式を定義します。 Keeperは以下の種類の識別子をサポートしています。
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
または
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
SingleSignOnService "POST"
これは、Keeper からのリクエストに対するレスポンスとして使用されるIDプロバイダの「POST 」バインディングです。
SingleSignOnService "Redirect"
これは、Keeper からのリクエストに対するレスポンスとして使用されるIDプロバイダの「Redirect 」バインディングです。
KeeperクラウドSSOコネクトのプロビジョニングメソッドを表示 AD FS管理コンソールで、KeeperクラウドSSO証明書利用者信頼プロパティを選択します。
[暗号化] タブで、古い証明書をこの新しい証明書に置き換えます。
[署名] タブで、新しいSP証明書をこの新しい証明書に置き換えます。
[Edit SAML Connection] (SAML接続を編集) ダイアログで、以下の表を参考にして入力します。
Authentication Context Class
Keeper管理コンソールからエクスポートしたSP証明書
Keeperボルトにログインします。
Beyond Identityアプリからのプッシュ通知を承諾します。
Keeperボルトにログインします。
Keeper管理コンソールのACSエンドポイント値
Keeper管理者でBeyond Identityのノードを作成
SSO Connect™ Cloudを使用したシングルサインオンのためのBeyond Identityの設定
Beyond Identityのプロビジョニング設定を表示
強調表示されたフィールドをメモして、SP証明書をエクスポート
Beyond Identityと連携するためのSAML設定を指定
Beyond Identityメタデータをダウンロード
メタデータのアップロードとジャストインタイムプロビジョニングの設定 AD FS管理コンソールで、KeeperクラウドSSO証明書利用者信頼プロパティを選択します。
[暗号化] タブで、古い証明書をこの新しい証明書に置き換えます。
[署名] タブで、新しいSP証明書をこの新しい証明書に置き換えます。
Keeperは、すべてのMicrosoft Azure AD / Entra ID環境と互換性があり、SAML 2.0認証および自動プロビジョニングに対応しています。
Keeperアプリケーション (ウェブボルト、KeeperFill、Keeperデスクトップ、iOS/Android用Keeperなど) は、条件付きアクセスポリシーに完全対応しています。
Keeperでは商用 (portal.azure.com) とAzure Governmentクラウド (portal.azure.us) の両方の環境がサポートされています。
AzureにクラウドSSOコネクトを設定する手順の詳細については以下の動画をご覧ください。
Keeper Enterpriseアプリケーションを追加
https://portal.azure.comarrow-up-right からAzure Adminアカウントへ移動し、[Azure Active Directory] > [Enterprise Applications] (エンタープライズアプリケーション) をクリックします。SCIMプロビジョニング用にKeeperアプリケーションがすでに設定されている場合は、既存のアプリケーションを編集します。
[New Application] (新規のアプリケーション) をクリックし、Keeperを検索してKeeper Password Manager を選択します。
[Create] (作成) をクリックしてアプリケーションを作成します。
[Set up single sign on] (シングルサインオンの設定) をクリックしてから [SAML] をクリックします。
Keeper管理コンソールを開き、[管理者] 画面に移動します。
対象ノードを選択し、[プロビジョニング] タブをクリックします。
[SSO Connect Cloud] を選択して [次へ] をクリックします。
必要な構成情報を入力し、[次へ] をクリックします。
すると、[メタデータのエクスポート] ボタンが表示され、ダウンロードできるようになります。
[Upload metadata file] (メタデータファイルのアップロード) ボタンを選択してKeeper管理コンソールからダウンロードしたばかりのファイルを選択します。
[Add] (追加) ボタンを押してAzureインターフェースにメタデータファイルをアップロードします。
エラーを修正するには、管理コンソールのクラウドSSOインスタンスの詳細]画面で [IDP起点のログインエンドポイント] のURLをコピーし、[Sign on URL] (サインオンURL) 蘭に貼り付けます。
IdP-initiated方式のログインエンドポイントをサインオンURL蘭にコピーする シングルログアウトサービスエンドポイント (SLO)
KeeperのURLエンドポイントで、IDプロバイダからのログアウトリクエストの送信先となります。シングルログアウトは任意で、IDプロバイダ側で設定します。
IDプロバイダを使用したKeeper起点のシングルログアウトの制御については、こちら をご参照ください。
デフォルトでは、ログアウト後にKeeperが強制的にEntra/Azureからのログアウトセッションを行います。この動作が発生しないようにしたい場合は、AzureメタデータファイルをKeeper にアップロードする前に編集し、SingleLogoutServiceの行を削除します。セキュリティ上の理由から、この行はそのまま含めておくことを推奨します。
[Save] (保存) をクリックしてからSAML設定ウィンドウを閉じます。
保存後、設定のテストを求められますがテストは行わなず、数秒待ってからウェブブラウザでAzureポータルページを更新します。これで、[SAML Signing Certificate] (署名証明書) の箇所に証明書の項目が表示されます。
[Federation Metadata XML] (フェデレーションメタデータXML) の箇所の [Download] (ダウンロード) をクリックします。
メタデータファイルをKeeper管理コンソールにアップロードします。
管理コンソールで、[IDPタイプ] にAzureを選択し、手順9で保存したフェデレーションメタデータファイルをインポートします。
[User Attributes & Claims] (ユーザー属性と要求) を編集します。
[User Attributes] (ユーザー属性) セクションでは、AzureがユーザーID、名、姓、メールに対する要求を自動的に作成します。
[Additional clams] (追加要求) セクションの4つの要求は不要ですので、削除してください。
Keeper管理コンソールで、IDプロバイダとの新しいログインセッションを実施するオプションがご利用になれます。SAMLリクエストでForceAuthn="true" が設定されていると、ユーザーがすでに認証されている場合でもサービスプロバイダ (Keeper) から新しい認証済みセッションを強制しなければならない旨IDプロバイダに伝えます。セキュリティポリシーやエンドユーザー環境によっては望ましい動作となります。
Entra ID / Azure AD のSAML署名証明書は1年後に失効します。
circle-exclamation
証明書の有効期限前に更新できるよう、カレンダーでリマインダを設定しておきましょう。更新が終わるまでKeeperユーザーはログインできなくなります。
手動または自動のプロビジョニングを使用して、AzureポータルからKeeperにユーザーをプロビジョニングできます。
Keeperパスワードマネージャに特定のユーザーまたはグループのみを割り当てる場合は、以下の設定を変更する必要があります。Azureコンソールで、[Azure Active Directory] > [Enterprise Applications] (エンタープライズアプリケーション) > Keeper Password Manager へ進み、[Properties] (プロパティ) を選択します。
[User assignment required] (ユーザーの割り当てが必要ですか) を [Yes] (はい) に変更して保存します。これにより、アプリケーションに割り当てられたユーザーとグループのみが使用できるようになります。
[Users and groups] (ユーザーおよびグループ) の箇所で、Keeperアプリケーションにプロビジョニングするユーザーやグループを選択します。
ルートノード (最上位レベル) で作成されたユーザーについては、SSO連携が設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスするときにマスターパスワードの入力を求められます。
管理者はSSO対応ノードに自ら移動できません。移動するには、別の管理者が必要となります。
ジャストインタイムプロビジョニングが有効になっている
ドメインが予約されていない場合、最初に [法人SSOログイン] を選択し、SSO統合で設定された法人ドメインを入力することでKeeperボルトへログインできます。ユーザーが最近非SSOノードからSSOノードに移動した場合、マスターパスワードの入力を求められる場合があります。
最初に[Enterprise SSO Login]を選択します。 ユーザーがSSO認証されると、それ以後はメールアドレスを使用するだけでSSO認証を開始できます。
メールアドレスを入力して [次へ] をクリックしても目的のSSOにルーティングされない場合は、KeeperのSSO設定でジャストインタイムプロビジョニングが有効になっていることを確認し、メールドメインがKeeperによって予約されていることを確かにします。ルーティングとドメイン予約の詳細については、こちらarrow-up-right を参照してください。
Keeperは、AzureのIdP起点のログインをサポートしています。以下のURLからアプリケーションダッシュボードへ移動します。
MicrosoftアプリケーションダッシュボードからのAzure IdP-initiated方式によるログイン AD FS管理アプリケーション内で、フェデレーションメタデータxmlファイルを特定します。AD FS > Service (サービス) > Endpoint (エンドポイント) をクリックしてから、「Metadata」 (メタデータ) セクションでURLのパスを探して確認します。パスは通常以下に見られるように、/FederationMetadata/2007-06/FederationMetadata.xml となります。
メタデータファイルをダウンロードするには通常サーバー上でブラウザにURLをロードします。 以下はその例です。
https://localhost/FederationMetadata/2007-06/FederationMetadata.xml
このファイルをダウンロードして、コンピュータに保存します。
Keeper管理コンソールのSSOクラウド設定画面で、IdPタイプとして[ADFS]を選択し、前の手順で保存したフェデレーションメタデータファイルをインポートします。
IDPタイプを選択してSAMLメタデータをアップロード プロビジョニング画面に戻り、[表示] をクリックします。
次に、後ほど証明書利用者信頼 (Relying Party Trust) ウィザードでインポートするため、Keeperメタデータファイルをダウンロードします。Keeper SSO Connect Cloud™のプロビジョニングの[表示]をクリックします。
[メタデータをエクスポート]ボタンをクリックして、config.xmlファイルをダウンロードします。
circle-exclamation
KeeperのCloud SSO SP証明書の有効期限は1年間のみです。毎年、管理コンソールから最新のKeeper SP証明書をダウンロードして、AD FSのRelying Party Trust (証明書利用者信頼) の設定にアップロードする必要があります。
証明書の有効期限が迫っている際には、Keeperからすべてのユーザーにお知らせします。
証明書利用者信頼 (Relying Party Trust) を作成
Keeper SSO Connectを証明書利用者信頼として作成します。
以下に見られるように、証明書利用者信頼 (Relying Party Trust) ウィザードを完了して、Keeper SSO Connect Cloudの表示画面から前もってエクスポートしたKeeperメタデータファイルをインポートします。
Welcome (ようこそ) 画面で[Claim aware] (要求に対応する) を選択し、Keeperから保存したメタデータファイルを選択します。
表示名にKeeper SSO Connect Cloudを入力 triangle-exclamation
ログアウトエラーを防ぐには、証明書利用者信頼 (Relying Party Trust) のSAMLログアウトエンドポイントをhttps://<ご利用のADFSサーバーのドメイン名> /adfs/ls/?wa=wsignout1.0に変更します。
AD FSとKeeperの間で属性をマッピングするには、[LDAP 属性を要求として送信する] (Send LDAP Attributes as Claims) で要求発行ポリシーを作成し、LDAPの属性をKeeper Connectの属性にマッピングする必要があります。
ログアウトのサポート用に、さらに2つの要求発行ポリシー規則を追加する必要があります。
要求規則に追加する構文をコピーするには、以下のテキストをコピーしてカスタム規則に貼り付けます。
入力方向の要求の種類 (Incoming claim type): http://mycompany/internal/sessionid
送信方向の要求の種類 (Outgoing claim type) : Name ID (名前ID)
送信される名前IDの形式 (Outgoing name ID format) : Transient Identifier (一時識別子)
a. AD FSサーバーで管理者としてPowershellを開きます。
b. 以下のコマンドを実行してSSO Connect Relying Party Trust Identifier (証明書利用者信頼の識別子) の文字列を特定します。
このコマンドを実行すると、長い出力リストが生成されます。SSO Connectセクションと「識別子」(Identifier) の文字列を探します。 この文字列は以下のようになります。
https://keepersecurity.com/api/rest/sso/saml/459561502484
c.以下のコマンドを実行し、<Identifier>を手順(b)で見つけた文字列に置き換えます。
Get-ADFSRelyingPartyTrustを再度実行すると、SamlResponseSignatureセクションが「MessageAndAssertion」に設定されていることが確認できます。
サービスマネージャから、AD FSサービスを再起動します。
テスト目的または内部PKI証明書のために、IdPでの証明書の有効性確認を無効にする必要がある場合は、以下のPowershellコマンドをご使用ください。 < Identifier>を上記の「SAML署名の設定」 の手順で特定した文字列に置き換えます。
備考: 署名設定に何らかの変更を加えると、IdPとSSO Connectの間でXMLメタデータの交換が必要になる場合があります。
ルートノード (最上位) で作成されたユーザーは、SSOが設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力を求められます。
circle-exclamation
管理者は、SSOが有効になっているノードに自分自身を移動できません。この操作を行うには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンからSSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
法人ドメインを入力する必要はありません。メールアドレスを入力して[次へ] をクリックしても目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。 ルーティングとドメイン予約の詳細については、こちらarrow-up-right をご覧ください。
サービスの準備としてJava 17以上をインストールします。標準のAmazon AWS Linux 2インスタンスでは、以下のコマンドでAmazon Corretto Java 17 SDKをインストールできます。
どのバージョンが実行中かを確認するには、以下のように入力します。
オートメーターインスタンスから、Keeperオートメーターサービスをダウンロードして解凍します。
このフォルダが存在しない場合は、解凍先にconfigフォルダを作成します。
.pfxファイルとパスワードファイルをコピーします
ssl-certificate.pfxファイルがパスフレーズで保護されている場合は、ssl-certificate-password.txtという名前のファイルも作成して、dockerコンテナにコピーする必要があります。
settingsフォルダ内のkeeper.propertiesファイルは、サービスの高度な構成パラメータを管理するために使用されます。編集が必要となる一般的なパラメーターには、以下が含まれます。
オートメーターインスタンスから、java -jarを使用してサービスを開始します。以下の例では、nohupを使用してバックグラウンドで実行します。
Windowsのコマンドラインまたはpowershellでは、コマンドは以下の記載通りに実行する必要があります。
サービスが実行中であることをウェブブラウザで確認します (テストしているデバイスからポート 443を開く必要があります)。
この場合、URLはhttps://<server>/health となります。
このURLは自動ヘルスチェックにもご使用になれます。
サービスは実行中となりましたので、Keeperコマンダーを使用してオートメーターをご利用の環境に統合します。
Keeperコマンダーでオートメーター設定の最後の手順を実行します。コマンダーはどこからでも実行可能で、サーバーにインストールする必要はありません。
ご利用のワークステーション、サーバー、コンピュータなどにKeeperコマンダーCLIをインストールします。バイナリインストーラーを含むインストール手順についてはこちらarrow-up-right のページをご参照ください。
コマンダーをインストールした後、keeper shellと入力してセッションを開き、loginコマンドを使用してログインできます。オートメーターを設定するには、Keeper管理者、またはSSOノードを管理できる管理者としてログインする必要があります。
Keeperコマンダーにログインし、automator createで始まる一連のコマンドを使用してオートメーターを有効化します。
ノード名 (この場合は、「Azure Cloud」) は、以下に示すように管理コンソールのUIに表示されます。
コマンドの出力には、IDプロバイダから取得したメタデータを含むオートメーターの設定が表示されます。
以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます (team、 team_for_user、device)。
次にキーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。
次に、他のIdPメタデータをオートメーターに送信します。
IDプロバイダとしてAD FSを使用してKeeperオートメーターを有効にする場合、以下の手順に従ってKeeper証明書を更新するまでログインできません。
[管理者] > SSOノード > [プロビジョニング] に移動し、SSOクラウド設定を見ます。
AD FS管理コンソールで、Keeper Cloud SSO証明書利用者信頼プロパティを選択します。
[暗号化] タブで、古い証明書をこの新しい証明書に置き換えます。
[署名] タブで、新しいSP証明書をこの新しい証明書に置き換えます。
Keeperのサーバーおよびご利用のワークステーションからサービスへのネットワークアクセスを制限することを推奨します。許可するKeeper IPアドレスのリストについては、こちら のページをご参照ください。
Keeperオートメーターがデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。
最も簡単なテストするには、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインします。デバイスの承認を求めるプロンプトは表示されなくなります。
Keeperオートメーターサービスを停止/開始する場合、あるいはサーバーを再起動する場合は、Keeperコマンダーを使用してサービスエンドポイントを再初期化する必要がある場合があります。
Keeperオートメーターのログを確認してください。通常これで問題がわかります。Linuxではログはインストールディレクトリにあります。
Keeperオートメーターサービスを再設定する際、Keeperコマンダーを使用してサービスエンドポイントを再初期化する必要がある場合があります。Keeperコマンダーについてはこちらarrow-up-right のページをご参照ください。
Keeperコマンダーでオートメーターインスタンスを再初期化するのに必要なコマンドは以下のとおりです。
Cloudflare Connectorsなどのトンネルサービスを利用すると、オートメーター側で証明書を用意しなくてもTLSレイヤーを適用できます。
また、OpenSSLを使用して各手順を細かく制御したい場合は、以下の手順に従って設定することもできます。
Keeperオートメーターには、公的認証局によって署名された有効な署名付きSSL証明書が必要です。SSL 証明書を生成するプロセスはプロバイダによって異なりますが、ここでは一般的なフローについて記載します。
以下の手順に従ってオートメーターの実行に必要な2つの証明書ファイルを作成します。これらのファイルには ssl-certificate.pfx および ssl-certificate-password.txt という名前を付けます。
opensslコマンド プロンプトを使用して秘密キーを生成します。
オートメーターに使用する予定のホスト名を使用してCSRを生成します。この場合、automator.lurey.com を使用します。Common Nameはドメインと完全に一致します。
SSL証明書を購入するか90日間の無料証明書を取得し、CSRをSSL証明書プロバイダに送信します。
circle-exclamation
オートメーターインスタンス用に作成したSSL証明書はこの目的にのみ使用するようにしてください。他のサービスと共有されているワイルドカード証明書は使用しないでください。
automator.company.com などのURLを選択 し、オートメーターに限定したドメインの証明書を作成します。
SSL証明書プロバイダが署名付き証明書 (.crt ファイル) と中間CA証明書を含むzipファイルを配信します。バンドルのファイル拡張子は .crt または .ca-bundle のいずれかとなります。このファイルを、前に作成した.keyファイルと同じ場所に解凍します。
証明書が発行された後、OpenSSL を使用して完全な証明書チェーン (ルート、中間、CA証明書) を含む .pfx 形式に変換する必要があります。
エクスポートパスワードを設定してから、ssl-certificate-password.txtという名前の新しいテキストファイルを作成し、そのファイルにエクスポートパスワードを入力して保存します。
automator.key は手順1で生成された秘密キーです。
automator.yourcompany.com.crt は手順3で配信された署名付き証明書です。
automator.yourcompany.com.ca-bundle はCAバンドルです。
ssl-certificate.pfx は、オートメーターによって使用されるパスワードで暗号化済みの出力ファイルです。
ssl-certificate-password.txt には、.pfxファイルの暗号化に使用されるパスワードが含まれています。
5つのファイルすべてをKeeperボルトに保存することを推奨します。
circle-exclamation
.pfxファイルに、発行した証明書とプロバイダからの完全な証明書チェーンが含まれていることを確かにしてください。完全な証明書チェーンを提供しない場合は通信が失敗し、オートメーターがURLに接続できません。
.pfxを確認するにはopensslを使用します。
&#xNAN;openssl pkcs12 -in ssl-certificate.pfx -info
証明書が1つしか表示されない場合、4つまたは5つの証明書が表示される場合は.pfxが間違っているため、プロセスを繰り返す必要があります。
ssl-certificate.pfx と ssl-certificate-password.txt を保存し、後述のデプロイ手順で使用できるようにします。
また、後でサービスを更新したり証明書を再入力したりするときに参照できるように、Keeperコンテナ内のファイルは必ずバックアップしておいてください。
Keeperオートメーターには、公的認証局によって署名された有効な署名付きSSL証明書が必要です。自己署名証明書はサポートされていません。SSL 証明書を生成するプロセスはプロバイダによって異なりますが、ここでは一般的なフローについて記載します。
OpenSSLをダウンロードしてインストールします。サードパーティ (slproweb.com) がバイナリインストーラーを作成しています。一般的なバイナリインストーラーについては以下をご参照ください。
インストール中にデフォルトのオプションを選択できます。Microsoft Visual Studio拡張機能もインストールするように求められる場合がありますので、OpenSSLのセットアップを完了する前にこの拡張機能をインストールしてください。
Visual Studioコンポーネントのインストール スタートメニューにOpenSSLフォルダがありますので、[Win32 OpenSSLコマンドプロンプト] をクリックします。
Cloudflare Connectorsを利用すると、オートメーター側でSSL証明書を設定しなくても通信を暗号化できます。Cloudflareを使用する手順は以下のとおりです。
ドメインのオンボーディング
[Onboard a Domain] をクリックし、example.com などのドメイン名を入力します。
Cloudflareのプラン (無料または有料) を選択します。
DNSレコードの確認と構成
Cloudflareが既存のDNSレコードを自動検出します。
ネームサーバーの更新
Cloudflareから2つのネームサーバーが提示されます。
ドメインレジストラでこれらのネームサーバーに変更します
SSL/TLSの有効化
Cloudflareダッシュボードで「SSL/TLS」に移動します。
SSLモードを [Full] または [Full (strict)] に設定し、安全な接続を有効にします。
トンネルの作成
[Create a tunnel] をクリックし、コネクタータイプとして [Cloudflared] を選択します。
トンネル名を設定します (例: automator-service-tunnel)。
ネットワーク内のマシンにcloudflaredクライアントをインストールします。このマシンは、オートメーターを実行するマシンと同一でも、通信可能な別のマシンでも構いません。
公開ホスト名の作成
トンネル設定中に、公開ホスト名を定義します (例: automator.yourdomain.com)。パスは空欄のままにします。
環境変数の設定
オートメーターをセットアップする際に、SSL_MODE 環境変数(または設定項目)を none に設定します。SSL証明書用の設定やボリュームは指定しません。
コマンダーでの構成
Keeperコマンダーの automator edit コマンドを使用してオートメーターを設定します。手順2で設定したトンネルのホスト名 (例: https://automator.yourdomain.com) をURLとして指定します。
毎年SSL証明書の更新が必要となりますが、ほとんどの証明書プロバイダーで新しい証明書を生成してくれます。証明書の更新後、オートメーターインスタンス内の.pfx証明書ファイルを置き換えてからサービスを再起動します。ファイルの更新とサービスの再起動の正確なプロセスについては、特定のオートメーターインストール方法のドキュメントをご参照ください。
IDプロバイダーとしてAD FSを使用してKeeperオートメーターを使用している場合、以下の手順に従って Keeper証明書を更新するまでログインできません。
[管理者] > SSOノード > [プロビジョニング] に移動し、SSOクラウド設定を見ます。
AD FS管理コンソールで、KeeperクラウドSSO証明書利用者信頼プロパティを選択します。
[暗号化] タブで、古い証明書をこの新しい証明書に置き換えます。
[署名] タブで、新しいSP証明書をこの新しい証明書に置き換えます。
証明書の更新後、IDプロバイダで新しいSP証明書を発行する必要がある場合があります。以下がその手順となります。
[管理者] > SSOノード > [プロビジョニング] に移動し、SSOクラウド設定を見ます。
[SP証明書をエクスポート] をクリックして証明書ファイルを保存します。
[メタデータのエクスポート] をクリックして証明書が含まれるメタデータファイルを保存します。
IDプロバイダポータルにログインし、KeeperのSSO設定を見ます。
サービスプロバイダーの証明書更新の指示に従って、KeeperのSP証明書ファイル (または必要に応じてメタデータ) をアップロードし、保存します。
オートメーターサービスが本質的にサービスプロバイダーになるのが理由となります。署名プロセスには、お客様が生成したSSL証明書が使用されます。
SSLを終了するカスタムドメインを持つアプリケーションゲートウェイまたはロードバランサーを利用する環境でSSL証明書を更新する場合は、そのデバイス上の証明書も更新する必要があります。
App Gatewayを使用したAzureデプロイの場合、ゲートウェイのhttpsリスナーで.pfx証明書も更新する必要があります。[Azure] > [リソースグループ] > [アプリゲートウェイ] > [リスナー] に移動し、新しい証明書をアップロードします。
Azure App Services Azure App Servicesでデプロイ
本ページでは、Azure App Services内でKeeperオートメーターをウェブアプリとしてインスタンス化する手順を解説します。GCC HighやDoDなどの環境では、オートメーターをホストするのにこのサービスを利用いただけます。
コピー sudo yum install docker
コピー sudo service docker start
コピー sudo systemctl enable docker.service
コピー sudo chmod 666 /var/run/docker.sock
コピー docker pull keeper/automator
コピー docker run -d -p443:443/tcp \
--name "Keeper-Automator" \
--restart on-failure:3 \
keeper/automator
コピー docker exec -it Keeper-Automator mkdir /usr/mybin/config
コピー docker cp ssl-certificate.pfx \
Keeper-Automator:/usr/mybin/config/ssl-certificate.pfx
コピー echo "my_pfx_password..." > ssl-certificate-password.txt
コピー docker cp ssl-certificate-password.txt \
Keeper-Automator:/usr/mybin/config/ssl-certificate-password.txt
コピー docker exec -it Keeper-Automator sed -i 's/^ssl_mode=.*/ssl_mode=certificate/' settings/keeper.properties
コピー docker restart "Keeper-Automator"
コピー My Vault> automator create --name="My Automator" --node="Azure Cloud"
コピー Automator ID:1477468749950
Name:My Automator
URL:
Enabled:No
Initialized:No
Skills:Device Approval
コピー automator edit --url https://<application URL> --skill=team --skill=team_for_user --skill=device "My Automator"
コピー automator setup "My Automator"
コピー automator init "My Automator"
コピー automator enable "My Automator"
コピー $ curl https://automator.lurey.com/health
OK
コピー docker restart "Keeper-Automator"
コピー docker pull keeper/automator
docker stop Keeper-Automator
docker rm Keeper-Automator
docker run -d -p443:443/tcp \
--name "Keeper-Automator" \
--restart on-failure:3 \
keeper/automator
docker exec -it Keeper-Automator mkdir /usr/mybin/config
docker cp ssl-certificate.pfx \
Keeper-Automator:/usr/mybin/config/ssl-certificate.pfx
docker cp ssl-certificate-password.txt \
Keeper-Automator:/usr/mybin/config/ssl-certificate-password.txt
docker exec -it Keeper-Automator \
sed -i 's/^ssl_mode=.*/ssl_mode=certificate/' settings/keeper.properties
docker restart "Keeper-Automator"
コピー automator setup "My Automator"
automator init "My Automator"
automator enable "My Automator"
コピー docker logs -f "Keeper-Automator"
コピー docker exec -it "Keeper-Automator" /bin/sh
コピー <?xml version="1.0" encoding="UTF-8"?>
<md:EntityDescriptor entityID="MySSOApp" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata">
<md:IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" WantAuthnRequestsSigned="true">
<md:KeyDescriptor use="signing">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>MIIDpDCCAoygAwIBAgIGAW2r5jDoMA0GCSqGSIb3DQEBCwUAMIGSMQswCQYDVQQGEwJVUzETMBEG
A1UECAwKQ2FsaWZvcm5pYTEWMBQGA1UEBwwNU2FuIEZyYW5jaXNjbzENMAsGA1UECgwET2t0YTEU
MBIGA1UECwwLU1NPUHJvdmlkZXIxEzARBgNVBAMMCmRldi0zODk2MDgxHDAaBgkqhkiG9w0BCQEW
DWluZm9Ab2t0YS5jb20wHhcNMTkxMDA4MTUwMzEyWhcNMjkxMDA4MTUwNDEyWjCBkjELMAkGA1UE
BhMCVVMxEzARBgNVBAgMCkNhbGlmb3JuaWExFjAUBgNVBAcMDVNhbiqGcmFuY2lzY28xDTALBgNV
BAoMBE9rdGExFDASBgNVBAsMC1NTT1Byb3ZpZGVyMRMwEQYDVQQDDApkZXYtMzg5NjA4MRwwGgYJ
KoZIhvcNAQkBFg1pbmZvQG9rdGEuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA
hr4wSYmTB2MNFuXmbJkUy4wH3vs8b8MyDwPF0vCcjGLl57etUBA16oNnDUyHpsY+qrS7ekI5aVtv
a9BbUTeGv/G+AHyDdg2kNjZ8ThDjVQcqnJ/aQAI+TB1t8bTMfROj7sEbLRM6SRsB0XkV72Ijp3/s
laMDlY1TIruOK7+kHz3Zs+luIlbxYHcwooLrM8abN+utEYSY5fz/CXIVqYKAb5ZK9TuDWie8YNnt
7SxjDSL9/CPcj+5/kNWSeG7is8sxiJjXiU+vWhVdBhzkWo83M9n1/NRNTEeuMIAjuSHi5hsKag5t
TswbBrjIqV6H3eT0Sgtfi5qtP6zpMI6rxWna0QIDAQABMA0GCSqGSIb3DQEBCwUAA4IBAQBr4tMc
hJIFN2wn21oTiGiJfaxaSZq1/KLu2j4Utla9zLwXK5SR4049LMKOv9vibEtSo3dAZFAgd2+UgD3L
C4+oud/ljpsM66ZQtILUlKWmRJSTJ7lN61Fjghu9Hp+atVofhcGwQ/Tbr//rWkC35V3aoQRS6ed/
QKmy5Dnx8lc++cL+goLjFVr85PbDEt5bznfhnIqgoPpdGO1gpABs4p9PXgCHhvkZSJWo5LobYGMV
TMJ6/sHPkjZ+T4ex0njzwqqZphiD9jlVcMR39HPGZF+Y4TMbH1wsTxkAKOAvXt/Kp77jdj+slgGF
gRfaY7OsPTLYCyZpEOoVtAyd5i6x4z0c</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
<md:SingleSignOnService Location="https://sso.mycompany.com/saml2/keepersecurity"
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>
<md:SingleSignOnService Location="https://sso.mycompany.com/saml2/keepersecurity"
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>
</md:IDPSSODescriptor>
</md:EntityDescriptor>
コピー sudo service docker start
コピー sudo systemctl enable docker.service
コピー sudo chmod 666 /var/run/docker.sock
コピー name: keeper-automator
services:
automator:
container_name: "automator"
environment:
- AUTOMATOR_PORT=443
- AUTOMATOR_HOST=localhost
- SSL_MODE=certificate
restart: on-failure
image: "keeper/automator:latest"
ports:
- 8089:443
volumes:
- automatordata:/usr/mybin/config
volumes:
automatordata:
コピー docker compose pull
docker compose up -d
コピー docker cp ssl-certificate.pfx automator:/usr/mybin/config/
docker cp ssl-certificate-password.txt automator:/usr/mybin/config/
コピー docker compose restart
コピー My Vault> automator create --name="My Automator" --node="Azure Cloud"
コピー Automator ID:1477468749950
Name:My Automator
URL:
Enabled:No
Initialized:No
Skills:Device Approval
コピー automator edit --url https://<application URL> --skill=team --skill=team_for_user --skill=device "My Automator"
コピー automator setup "My Automator"
コピー automator init "My Automator"
コピー automator enable "My Automator"
コピー $ curl https://automator.lurey.com/health
OK
コピー docker compose logs -f
コピー docker compose pull
docker compose up -d
コピー automator create --name="My Automator" --node="Azure Cloud"
コピー Automator ID:1477468749950
Name:My Automator
URL:
Enabled:No
Initialized:No
Skills:Device Approval
コピー automator edit --url https://<application URL> --skill=team --skill=team_for_user --skill=device "My Automator"
コピー automator setup "My Automator"
コピー automator init "My Automator"
コピー automator enable "My Automator"
コピー automator setup "My Automator"
automator init "My Automator"
automator enable "My Automator"
コピー $ keeper shell
My Vault> automator list
288797895952179 My Automator True https://something.company.com
(find the Name corresponding to your Automator)
My Vault> automator setup "My Automator"
My Vault> automator init "My Automator"
My Vault> automator enable "My Automator"
コピー c1:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
&& c2:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant"]
=> add(store = "_OpaqueIdStore", types = ("http://mycompany/internal/sessionid"), query = "{0};{1};{2};{3};{4}", param = "useEntropy", param = c1.Value, param = c1.OriginalIssuer, param = "", param = c2.Value);
コピー Get-ADFSRelyingPartyTrust
コピー Set-ADFSRelyingPartyTrust -TargetIdentifier <Identifier> -samlResponseSignature MessageAndAssertion
コピー Set-ADFSRelyingPartyTrust -TargetIdentifier
<Identifier> -EncryptionCertificateRevocationCheck None
コピー Set-ADFSRelyingPartyTrust -TargetIdentifier
<Identifier> -SigningCertificateRevocationCheck None
コピー [ec2-user@xxx ~]$ sudo yum install -y java-17-amazon-corretto-devel
コピー [ec2-user@xxx ~]$ java --version
コピー mkdir automator
cd automator/
wget https://keepersecurity.com/automator/keeper-automator.zip
unzip keeper-automator.zip
コピー mkdir keeper-automator/config
コピー scp -i xxx.pem ssl-certificate.pfx \
ec2-user@xxx:/home/ec2-user/automator/keeper-automator/config/
コピー echo "my_pfx_password..." > ssl-certificate-password.txt
scp -i xxx.pem ssl-certificate-password.txt \
ec2-user@xxx:/home/ec2-user/automator/keeper-automator/config/
コピー cd automator/
nohup java -jar keeper-automator.jar &
コピー start "" /B javaw -jar "keeper-automator.jar"
コピー curl https://automator.lurey.com/health
OK
コピー $ keeper shell
My Vault> login [email protected]
_ __
| |/ /___ ___ _ __ ___ _ _
| ' </ -_) -_) '_ \/ -_) '_|
|_|\_\___\___| .__/\___|_|
v16.1.10 |_|
password manager & digital vault
Logging in to Keeper Commander
SSO user detected.Attempting to authenticate with a master password.
(Note:SSO users can create a Master Password in Web Vault > Settings)
Enter password for [email protected]
Password:
Successfully authenticated with Master Password
Syncing...
Decrypted [58] record(s)
My Vault>
コピー My Vault> automator create --name="My Automator" --node="Azure Cloud"
コピー Automator ID:1477468749950
Name:My Automator
URL:
Enabled:No
Initialized:No
Skills:Device Approval
コピー automator edit --url https://<application URL> --skill=team --skill=team_for_user --skill=device "My Automator"
コピー automator setup "My Automator"
コピー automator init "My Automator"
コピー automator enable "My Automator"
コピー automator setup "My Automator"
automator init "My Automator"
automator enable "My Automator"
コピー $ keeper shell
My Vault> automator list
288797895952179 My Automator True https://something.company.com
(find the Name corresponding to your Automator)
My Vault> automator setup "My Automator"
My Vault> automator init "My Automator"
My Vault> automator enable "My Automator"
コピー openssl genrsa -out automator.key
コピー openssl req -new -key automator.key -out automator.csr
Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:Illinois
Locality Name (eg, city) [Default City]:Chicago
Organization Name (eg, company) [Default Company Ltd]:Company, LLC
Organizational Unit Name (eg, section) []:Engineering
Common Name []:automator.yourcompany.com
Email Address []:[email protected]
コピー openssl pkcs12 -export -out ssl-certificate.pfx -inkey automator.key -in automator.yourcompany.com.crt -certfile automator.yourcompany.com.ca-bundle DNSの反映を待ちます (最大24時間かかる場合があります)。
Service URLには、http://<HOSTNAME>:<PORT> を指定します。HOSTNAME はオートメーターを実行しているマシンのIPアドレスまたはホスト名、PORT はオートメーターで使用しているポート番号です。
コマンドラインを開き、オペレーティングシステムに応じて次のいずれかの方法を使用してURLエンコード形式で256ビットAESキーを生成します。
このコマンドによって生成される値を手順 6 のために保存します。
Azureポータルから、検索バーで [App Services] を選択し、[+ 作成] から [+ Web アプリ] を選択して新しいウェブアプリを作成します。
[インスタンスの詳細] の [名前] に名前を入力します。
[オペレーティング システム] に [Linux] を選択します。
Linuxプランを選択するか、新しいプランを作成します。料金プランは最低でも「Premium V3 P0V3」 が必要ですが、最終的なプラン内容はエンドユーザーの利用環境によって異なります。
イメージ ソース: その他のコンテナー レジストリ
レジストリ サーバー URL: https://index.docker.io (入力済)
イメージとタグ: keeper/automator:latest
[Application Insights を有効にする] に対して [はい] を選択します。
[Application Insights] を選択するか、新規で作成します。
数分後、WebAppが作成され、自動的に起動します。
[リソースに移動] をクリックしてコンテナ環境へ移動します。
デフォルトのドメイン値をメモしておきます。これはオートメーターサービスのセットアップと初期化の際に必要になります。
[構成] へ移動し、[新しいアプリケーション設定] を選択します。
環境変数の設定は、以下のように左側メニューの [環境変数] で行う場合があります。
以下の環境変数を作成し、それぞれの値に設定します。
AUTOMATOR_CONFIG_KEY: 手順1からの値
[診断設定] を選択し、[+ 診断設定を追加する] をクリックします。
[App Service コンソール ログ] を選択します。
[App Service アプリケーション ログ] を選択します。
[Log Analytics ワークスペースへの送信] を選択します。
Log Analyticsを選択するか、新規で作成します。
メイン メニューから [ログ] を選択します。[X] をクリックしてクエリウィンドウを閉じます。
シンプルモードからKQLモードに切り替えて新しいクエリを追加します。
以下はDockerのデプロイおよび起動ログを確認するためのKQLクエリです。
以下はアプリケーションのエラーログを確認するためのKQLクエリです。
メインメニューの [監視] から [App Service ログ] を選択します。次に、[アプリケーション ログ] の [ファイル システム] を選択し、任意の保持期間を設定します。
メインメニューの [概要] から [ログ ストリーム] を選択し、オートメーターサービスが接続され、正しくログが記録されていることを確認します。
メイン メニューの [監視] から[正常性チェック] を選択します。次に、ヘルス チェック機能を有効にし、パスの値を「/health」 に設定します。[保存] をクリックして設定を保存し、もう一度 [保存] をクリックして変更を確定します。
[ネットワーク] で簡単なアクセスルールを設定したり、Azure Front Doorを構成したりできます。 メインメニューか [ネットワーク] を選択し、[アクセス制限なしで有効] をクリックします。
[アクセス制限] で、[選択した仮想ネットワークと IP アドレスから有効] を選択し、[不一致のルール アクション] を [拒否] にします。[+ 追加] をクリックして、受信アクセスルールを追加します。
[ルールの追加] で、受信ファイアウォールルールを追加します。トラフィックは、以下のページをご参照の上、各地域向けの [ネットワーク ファイアウォールの設定] として公開されているKeeper公開IPアドレスに制限します。
オートメーター構成の最終ステップを実行するには、Keeperコマンダーが必要です。これはどこからでも実行できます。サーバーにインストールする必要はありません。 ワークステーションまたはサーバーに、KeeperコマンダーCLI をインストールします。バイナリインストーラーを含むインストール手順については、こちらのページarrow-up-right をご参照ください。
インストール後、Keeperコマンダーを起動するか、既存のターミナルから keeper shell と入力してセッションを開き、loginコマンドを使用してログインします。オートメーターを設定するには、Keeper管理者またはSSOノードを管理できる管理者としてログインする必要があります。
automator create から始まる一連のコマンドを使用してオートメーターを作成します。
ノード名 (この場合は「Azure Cloud」) は、以下のように管理コンソールUIから取得します。
コマンドを実行すると、IDプロバイダからのメタデータを含むオートメーター設定が表示されます。
「URL」はまだ入力されていないことにご留意ください。これは、手順5 のDefault Domain の値です。
以下のように、「automator edit」コマンドを実行します。これにより、URL が設定され、スキル (team、team_for_user、device) も設定されます。
次に、キーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーが オートメーターに提供されます。
外部のヘルスチェックについては以下のURLをご使用ください。
Keeperオートメーターがデプロイされましたので、ユーザー体験をテストできます。ユーザーが SSO IDプロバイダで認証した後は、承認を求めるプロンプトが表示されなくなります。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されません。
Google Cloud (GCP Cloud Run) Cloud Runを使用してGoogle Cloudプラットフォーム上でKeeperオートメーターサービスを実行
本ガイドでは、特にGCP Cloud Runサービスを使用してGoogle CloudでKeeperオートメーターサービスを実行する手順について取り扱います。オートメーターは、KeeperのインフラストラクチャIPへのアクセスを制限するために、Google Armorサービスによっても保護されています。
Google Cloudコンソール (https://console.cloud.google.com) から新しいプロジェクトを作成します。
次に、この新しいプロジェクトで[プロジェクトを選択] をクリックします。
2. クラウドシェルを起動する
本ページでは、ウェブインターフェースからGoogle Cloud Shellを使用します。クリックしてCloud Shellを有効にするか、ローカルマシンにインストールしてください。
Project ID をメモしておきます。この場合はkeeper-automator-439714となります。このプロジェクトIDは後続のコマンドで使用されます。
3. 請求先アカウントをリンクする
まだお済みでない場合は、有効な請求先アカウントをプロジェクトにリンクする必要があります。これは、Google Cloudユーザーインターフェースの[お支払い] メニューから実行します。
4. オートメーターConfigキーを作成する
Cloud Shellから、URLエンコード形式で256ビットのAESキーを生成します。
キーの例:6C45ibUhoYqkTD4XNFqoZoZmslvklwyjQO4ZqLdUECs=
結果のキーをKeeperに保存します。これは、コンテナをデプロイするときに環境変数として使用されます。このキーにより、起動時に一時的なコンテナが構成されるようになります。
5. アーティファクトレジストリを有効にする
サービスを実行するには、地域を選択する必要があります。使用可能な地域コードは、以下のコマンドを使用して確認できます。
この例では、us-east1を使用します。
7. オートメーターサービス用のArtifact Registryを作成する
以下の 2 つのコマンドを実行し、「us-east1」を手順6の値に置き換えます。
8. オートメーターコンテナをArtifact Registryにアップロードする
次の内容を含むcloudbuild.yamlというファイルを作成し、文字列us-east1を手順6の地域に置き換えます。その他の内容はすべてそのままにします。
このファイルをCloud Shellユーザーインターフェースからアップロードするか、Cloud Shellでテキストファイルを作成します。
Cloud Shellから、以下を実行します。
次にビルドを実行します。
これにより、最新のオートメーターコンテナがGoogle Artifact Registryに同期されます。
9. オートメーターサービスをデプロイする
以下のコマンドで、Artifact RegistryからKeeperオートメーターサービスをGoogle Cloud Runにデプロイします。このサービスは、内部アクセスとロードバランサのみに制限されています。
以下の点にご注意ください。
[PROJECT_ID]は手順2のProject IDに置き換えます。
XXXを上記の手順 3 で作成した構成キーに置き換えます。
AUTOMATOR_PORTがコンテナにポート8080をリッスンするように指示します。
10. マネージド証明書の作成
Keeperシステムは、パブリックにルーティング可能なDNS名を介してオートメーターサービスと通信します。この例では、gcpautomator.lurey.comを使用しています。設定には、まずマネージドSSL証明書を作成する必要があります。以下はそのためのコマンドとなります。
gcpautomator.lurey.comを任意の名前に置き換えてください。
11. サーバーレスネットワークエンドポイントグループを作成する
次のコマンドで、Cloud RunサービスをGoogle Cloud Load Balancerにリンクします。
us-east1を
12. NEGを 使用するバックエンドサービスを作成する
これにより、Cloud Runサービスにリンクするバックエンドサービスが作成されます。
13. バックエンドサービスにNEGをアタッチする
これにより、NEGがバックエンド サービスに接続されます。
14. 受信トラフィックをバックエンドサービスに誘導するURLマップを作成する
15. HTTPSターゲットプロキシを作成し、オートメーター証明書をマップする
16. 静的IPアドレスを予約し、DNSエントリを割り当てる
IPアドレスを取得して、後で使用するためにメモしておきます。
IPアドレスは有効な DNSにマッピングする必要があります。
DNSプロバイダで、IPを指すA-recordを設定します。
A-Record構成の例
この手順は重要です。目的のドメイン名が指定されたIP アドレスを指していることを確かにしてください。この手順はDNSプロバイダで直接実行する必要があります。
17. グローバル転送ルールを作成する
受信リクエストをターゲットプロキシに転送するためのグローバル転送ルール を作成します。
18. 特定のIPへのアクセスをロックダウンする
Keeperオートメーターサービスは、
特定のIPアドレスへのアクセスを制限するCloud Armorセキュリティポリシー を作成しましょう。
この手順では、
オートメーターサービスをテストできるように、外部IPをこのリストに追加することをお勧めします。
他のトラフィックを制限するために、デフォルトの「拒否」ルールも追加します。
最後に、Cloud Armorセキュリティポリシーを バックエンドサービスにアタッチします。
この時点で、オートメーターサービスが実行され、サービスはKeeperインフラストラクチャにのみ公開されます。
次の手順では、Keeperコマンダーのユーティリティを使用して構成を完了します。
19. Keeperコマンダーにログイン
オートメーター設定の最終手順を実行するには、Keeperコマンダーが必要となります。コマンダーはどこからでも実行でき、サーバーにインストールする必要はありません。
ワークステーションまたはサーバーに、KeeperコマンダーCLI をインストールします。バイナリインストーラーを含むインストール手順については、
コマンダーをインストールした後、Keeperコマンダーを起動するか、既存のターミナルからkeeper shellと入力してセッションを開いてから、loginコマンドを使用してログインします。オートメーターを設定するには、Keeper管理者かSSOノードを管理する権限を持つ管理者としてログインする必要があります。
20. オートメーターを作成する
automator createで始まる一連のコマンドを使用してオートメーターを作成します。
ノード名 (この場合は「Azure Cloud」) は、以下に見られるように管理コンソールから取得します。
コマンドの出力には、IDプロバイダからのメタデータを含むオートメーター設定が表示されます。
「URL」はまだ入力されていないことに注意してください。これは、オートメーターURLが入力されます。
以下のように、automator editコマンドを実行します。これにより、URLが設定され、スキル ( team、team_for_user、device) も設定されます。
注: gcpautomator.lurey.comを
次に、キーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。
新しい設定でオートメーターを初期化します。
サービスを有効にします。
Keeperオートメーターがデプロイされましたので、エンドユーザー体験をテストできます。ユーザーが SSOのIDプロバイダで認証した後は、承認を求めるポップアップが表示されなくなります。
最も簡単にテストするには、Keeperウェブボルトをシークレットモードのウィンドウで開いて、クラウドSSOでログインします。デバイスの承認は求められなくなっています。
Keeperから新しいバージョンが利用可能になる際にGoogleのコンテナを更新するには、以下のコマンドを実行します。
サポートが必要な場合は、[email protected]
Kubernetesサービス KubernetesサービスとしてKeeperオートメーターをインストール
本ガイドでは、KeeperオートメーターをKubernetesサービスとして実行するための手順を解説します。
1. Kubernetesのセットアップ
Kubernetesのインストールとデプロイについては詳しく触れませんが、デモの目的でプラットフォームに依存しない2つのEC2インスタンス(マスターとワーカー)を使用する、非常に基本的な単一ノード環境について記載しました。K8環境がすでに整っている場合には
Kubernetesはコンテナランタイムを要しますのでDockerを使用します。
kubeadm、kubelet、kubectlのインストール
これらのパッケージは、マスターノードとワーカーノードの両方にインストールする必要があります。 今回の例ではAWS Amazon Linux 2インスタンスタイプを使用しています。
マスターノードとして使用をご希望のマシンで以下を実行します。
--pod-network-cidr 引数は、特定のネットワークプロバイダーで必要となります。ポッドに設定するIP範囲を置き換えます。
kubeadm initが完了後、ワーカーノードをマスターに参加させるために使用できるコマンドが表示されます。レスポンスと初期化コードをメモして次の手順で使えるようにします。
ローカルのkubeconfigをセットアップします。
ポッドネットワークのインストール
クラスターが機能する前にポッドネットワークをインストールする必要があります。簡単にflannelを使用できます。
ワーカーノードとして追加する各マシンで、初期化コードを含む以下のコマンドを実行します。
セキュリティグループ内のワーカーノードとマスターノードの間でポート6443 が開いている必要があリます。
ワーカーが参加した後、Kubernetesクラスターが稼働します。マスター上でkubectl get nodesを実行すると、ノードのステータスを確認できます。
2. Kubernetes Secretの作成
KeeperオートメーターのSSL証明書がSecretとしてKubernetesサービスに提供されます。SSL証明書とSSL証明書パスワード (SSL 証明書ガイドから作成) を保存するには、以下のコマンドを実行します。
以下は、automator-deployment.yamlとして保存できるマニフェストファイルです。デプロイメントリソースとサービスリソースの両方の設定が含まれています。
デプロイメントリソースはKeeperオートメーターDockerコンテナを実行します。
SSL証明書と証明書パスワードファイルは、マウントされたSecretとして参照されます。
Secretは初期化コンテナ内のポッドにコピーされます。
30秒以内にサービスが起動します。
5. サービスステータスのチェック
ウェブブラウザでサービスが実行されていることを確認します (テストしているデバイスからポート 30000を開く必要があります)。
今回の場合、URLはhttps://automator2.lurey.com:30000/api/rest/statusとなります。
自動ヘルスチェックには以下のURLもご利用になれます。
https://<server>/health
例
これで単一ポッドのサービスが実行されていますので、Keeperコマンダーを使用してオートメーターをご利用の環境に統合します。
6. コマンダーでポッドを設定
ポッドを設定してオートメーター機能を使うには、Keeperコマンダーが必要となります。Keeperコマンダーはどこからでも実行できます。
ご利用のワークステーションにKeeperコマンダーCLIをインストールします。バイナリインストーラーを含むインストール手順については
コマンダーをインストールした後、keeper shellと入力してセッションを開いてからloginコマンドを使用してログインします。オートメーターをセットアップするには、Keeper管理者またはSSOノードを管理する権限を持つ管理者としてログインする必要があります。
Keeperコマンダーにログインし、automator createで始まる一連のコマンドを使用してオートメーターを有効にします。
ノード名 (この場合はAzure Cloud) は、以下のように管理コンソールUIから取得します。
コマンドの出力には、IDプロバイダからのメタデータを含むオートメーター設定が表示されます。
URLはまだ入力されていませんので、以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます (team、 team_for_user、device)。
次にキーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。
次に、他のIdPメタデータをオートメーターに送信します。
オートメーターサービスを有効にします。
この時点で設定は完了となります。
Keeperのサーバーおよびご利用のワークステーションからサービスへのネットワークアクセスを制限することを推奨します。許可するKeeper IPアドレスのリストについては、
8. オートメーターサービスのテスト
単一のポッドでオートメーターサービスが適切に動作していることを確認するには、以下の手順を行います。
ブラウザのシークレットモードでウィンドウを開きます。
SSOユーザーアカウントを使用してKeeperウェブボルトにログインします。
SSOログインの成功後にデバイスの承認が必要ないことを確認します。
この時点では、単一のポッド設定を実行しています。最初のポッドにオートメーターサービスがセットアップされKeeperクラウドに設定されましたので、ポッドの数を増やせます。以下のように、YAMLファイル内のreplicasステートメントを実行したいポッドの数に更新します。
次に変更を適用します。
複数のポッドが実行されている場合、コンテナはラウンドロビン方式のセットアップで負荷が分散されます。最初の承認リクエスト時に構成設定がKeeperクラウドからオートメーターポッドへ自動的かつ安全にロードされます。
オートメーターサービスのトラブルシューティング
オートメーターサービスを実行しているログファイルでエラーを監視できます。ポッドのリストを取得するには以下を実行します。
以下のコマンドを使用して、ターミナル経由でオートメーターコンテナに接続します。
ログファイルはlogs/フォルダにあります。ターミナルに接続する代わりに、以下のコマンドからコンテナのログファイルを追跡することもできます。
SCIMを使用したGoogle Workplaceユーザープロビジョニング SCIMを直接Google Workplaceに統合してユーザープロビジョニング
ユーザー プロビジョニングには、以下のライフサイクルマネジメント向け機能が備わっています。
Google Workspaceに新しくユーザーを追加すると、そのユーザーにKeeperボルトセットアップの招待メールが届きます。
ユーザーは、ユーザーまたはチーム単位でKeeperに割り当てることができます。
ユーザーのプロビジョニングが解除されると、Keeperアカウントが自動的にロックされます。
Keeper管理コンソールから、Google Workspaceノードの[プロビジョニング] タブに移動し、[メソッドを追加] をクリックします。
SCIMを選択して[次へ]をクリックします。
[プロビジョニングトークンを作成]をクリックします。
次の画面に表示されるURLとトークンは、Google Workspace管理コンソールで必要となりますので、URLとトークンをファイルに一時的に保存してから[保存] をクリックします。
circle-exclamation
URLとトークンを必ず保存してから[保存] をクリックするようにします。 これらのパラメータは次の手順で必要となります。
Google Workspace管理コンソールに戻って、Home (ホーム) > [Apps] (アプリ) > [SAML Apps] (SAMLアプリ) に移動し、セットアップしたKeeperの横の[Provisioning Available] (プロビジョニングが利用可能) というテキストをクリックします。
ページ下部にある[Configure auto-provisioning] (自動プロビジョニングの設定) を選択します。
手順 1: アプリケーションの認証
Keeper管理コンソールでSCIMプロビジョニングメソッドを作成したときに保存したアクセストークンを貼り付け、[CONTINUE] (続行) をクリックします。
手順 2: エンドポイントURL
Keeper 管理コンソールでSCIMプロビジョニングメソッドを作成したときに保存したエンドポイント URLを貼り付け、[CONTINUE] (続行) をクリックします。
手順 3: デフォルトの属性マッピング
デフォルトの属性マッピングのまま[CONTINUE] (続行) をクリックします。
手順 4: Provisioning Scope (プロビジョニングスコープ)
Keeper SSO Connectに割り当てられたすべてのユーザーをプロビジョニングする場合は、[CONTINUE] (続行) をクリックします。
手順 5: Deprovisioning (プロビジョニング解除)
Deprovisioning (プロビジョニング解除) 画面で、[FINISH] (完了)をクリックすると、ユーザーのプロビジョニング解除を自動化できます。
Auto-provisioning (自動プロビジョニング) を有効にする
自動プロビジョニングのセットアップが完了すると、Keeperの詳細画面に戻ります。自動プロビジョニングが非アクティブになっているのでアクティブ に切り替えます。
切り替えた後、自動プロビジョニングをアクティブにする準備ができていることを確認するポップアウトウィンドウが表示されるので、[TURN ON] をクリックします。
Keeperの詳細画面に戻ると、自動プロビジョニングがアクティブになっています。
自動プロビジョニングの設定が完了しました。今後、Google WorkspaceでKeeperを使用するように設定され、プロビジョニングスコープの定義内にある新しいユーザーは、Keeperボルト使用の招待を受け取り、Google Workspaceの制御下に置かれます。
SSOを使用せずにSCIMでユーザーをプロビジョニング
Google Workspace SCIMプロビジョニングを介してKeeperにユーザーをプロビジョニングしつつSSOでユーザーを認証しない場合は、以下の手順を行います。
上記のSSO設定の場合と同じ手順に従い、サービスプロバイダの詳細画面でACS URL とEntity ID を、コントロール内のドメインを指し、通信可能なソースがないNULL 値で置き換えます。
例:
Entity ID =ACS URL =
Google Workspaceで Keeper アプリケーションがセットアップされると、本ページで前述した通りに自動プロビジョニングメソッドを有効にします。
「not_a_saml_app」というエラーが表示された場合は、SAML アプリケーションで「自動プロビジョニング」が「オン」になっていることを確かにしてください。
SAMLアサーションへの署名用GoogleのIdP x.509証明書は5年後に期限が切れるように設定されています。Google Workspaceの[Manage Certificates] (証明書の管理) の箇所で有効期限をメモし、将来の機能停止を防ぐためにカレンダーのアラートを設定する必要があります。
証明書の有効期限が迫っている場合や証明書の有効期限が切れている場合は、以下の手順に従います。
[アプリ]をクリックしてから[ウェブアプリとモバイルアプリ]を選択します。
本件の詳細については、以下のGoogleサポートページをご参照ください。
既存のユーザーや初期管理者をSSO認証に移行させる
ルートノード (最上位) で作成されたユーザーは、SSO統合が設定されたサブノードに移行する必要があります。ユーザーがルートノードに残っている場合、ボルトや管理コンソールにアクセスする際にマスターパスワードの入力が必要となります。
circle-exclamation
管理者は、SSOが有効になっているノードに自分自身を移動することはできません。この操作を実行するには別の管理者が必要となります。
ユーザーがSSO対応ノードに移動した後、最初に[法人SSOログイン]のプルダウンを選択し、SSO統合で設定した法人ドメインを入力し、Keeperボルトにログインする必要があります。また、マスターパスワード入力による確認を求められる場合があります。
SSOで認証されると、それ以降はメールアドレスだけでSSO認証を開始できます。
メールアドレスを入力して[次へ]をクリックしてもユーザーが目的のSSOにルーティングされない場合は、Keeper SSO設定でジャストインタイムプロビジョニングが有効になっていることと、メールドメインがKeeperによって予約されていることを確かにします。ルーティングとドメイン予約の詳細については、
コピー openssl rand -base64 32
コピー [Byte[]]$key = New-Object Byte[] 32; [System.Security.Cryptography.RNGCryptoServiceProvider]::Create().GetBytes($key); [System.Convert]::ToBase64String($key)
コピー AppServicePlatformLogs
project TimeGen=substring(TimeGenerated, 0, 19), Message
sort by TimeGen desc
コピー AppServiceConsoleLogs
project TimeGen=substring(TimeGenerated, 0, 19), ResultDescription
sort by TimeGen desc
コピー $ keeper shell
My Vault> login [email protected]
_ __
| |/ /___ ___ _ __ ___ _ _
| ' </ -_) -_) '_ \/ -_) '_|
|_|\_\___\___| .__/\___|_|
v16.x.xxx |_|
password manager & digital vault
Logging in to Keeper Commander
Enter password for [email protected]
Password: ********************
Successfully authenticated with Master Password
Syncing...
Decrypted [58] record(s)
My Vault>
コピー My Vault> automator create --name "My Automator" --node "Azure Cloud"
コピー Automator ID: 1477468749950
Name: My Automator
URL:
Enabled: No
Initialized: No
Skills: Device Approval
コピー automator edit --url https://<Default domain> --skill=team --skill=team_for_user --skill=device "My Automator"
コピー automator setup "My Automator"
コピー automator init "My Automator"
コピー automator enable "My Automator"
コピー $ [rainer@iradar keeper]$ curl -vk https://keeperapprovalautomator.azurewebsites.net/health
* About to connect() to keeperapprovalautomator.azurewebsites.net port 443 (#0)
* Trying 40.112.243.106...
* Connected to keeperapprovalautomator.azurewebsites.net (40.112.243.106) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* skipping SSL peer certificate verification
* SSL connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* Server certificate:
* subject: CN=*.azurewebsites.net,O=Microsoft Corporation,L=Redmond,ST=WA,C=US
* start date: Oct 31 23:08:36 2023 GMT
* expire date: Jun 27 23:59:59 2024 GMT
* common name: *.azurewebsites.net
* issuer: CN=Microsoft Azure TLS Issuing CA 01,O=Microsoft Corporation,C=US
> GET /health HTTP/1.1
> User-Agent: curl/7.29.0
> Host: keeperapprovalautomator.azurewebsites.net
> Accept: */*
>
< HTTP/1.1 200 OK
< Content-Length: 2
< Content-Type: text/plain
< Date: Sat, 23 Mar 2024 05:08:13 GMT
< Server: Jetty(11.0.20)
< Strict-Transport-Security: max-age=31622400; includeSubDomains
<
* Connection #0 to host keeperapprovalautomator.azurewebsites.net left intact
SSL_MODEでSSL接続をロードバランサで終了できるようになります。
DISABLE_SNI_CHECKでロードバランサーの背後でリクエストを完了できるようになります。
インスタンスの最小数は 1 であり、これはほとんどの環境で許容されます。
最小/最大が設定されていない場合、サービスはインスタンスをゼロに減らし、最初のリクエストで起動します。
オートメーターサービスはポート30000でリスンしてから、コンテナーのポート443にルーティングします。
本手順では、単一のコンテナ (replicas: 1) のみをデプロイしてコンテナを設定できるようにします。最後の手順でreplicasの数を増やします。
[ADD CERTIFICATE] (証明書の追加) をクリックします。
[DOWNLOAD METADATA] (メタデータのダウンロード) をクリックします。
メタデータファイルを保存します。これがIdPメタデータとなります。
[管理者] > SSOノード > プロビジョニングへ移動し、SSO Cloudプロビジョニングメソッドを編集します。
Google IdPメタデータをKeeperへアップロードします。
Initially select 'Enterprise SSO Login' AzureにSSO Connect Cloudを設定
コピー openssl rand -base64 32
コピー gcloud services enable run.googleapis.com artifactregistry.googleapis.com
コピー gcloud run regions list
コピー gcloud artifacts repositories create keeper-automator-repo \
--repository-format=docker \
--location=us-east1 \
--description="Artifact registry for Keeper Automator service"
コピー gcloud auth configure-docker us-east1-docker.pkg.dev
コピー steps:
- name: 'gcr.io/cloud-builders/docker'
args: ['pull', 'keeper/automator:latest']
- name: 'gcr.io/cloud-builders/docker'
args: [
'tag',
'keeper/automator:latest',
'us-east1-docker.pkg.dev/$PROJECT_ID/keeper-automator-repo/keeper-automator:latest'
]
- name: 'gcr.io/cloud-builders/docker'
args: [
'push',
'us-east1-docker.pkg.dev/$PROJECT_ID/keeper-automator-repo/keeper-automator:latest'
]
images:
- 'us-east1-docker.pkg.dev/$PROJECT_ID/keeper-automator-repo/keeper-automator:latest'
コピー gcloud services enable cloudbuild.googleapis.com
コピー gcloud builds submit --config cloudbuild.yaml
コピー gcloud run deploy keeper-automator \
--image us-east1-docker.pkg.dev/[PROJECT ID]/keeper-automator-repo/keeper-automator:latest \
--platform managed \
--region us-east1 \
--allow-unauthenticated \
--ingress internal-and-cloud-load-balancing \
--min-instances 1 \
--max-instances 2 \
--set-env-vars "AUTOMATOR_CONFIG_KEY=XXX,AUTOMATOR_PORT=8080,DISABLE_SNI_CHECK=true,SSL_MODE=none"
コピー gcloud compute ssl-certificates create automator-compute-certificate \
--domains gcpautomator.lurey.com \
--global
コピー gcloud compute network-endpoint-groups create keeper-automator-neg \
--region us-east1 \
--network-endpoint-type=serverless \
--cloud-run-service keeper-automator
コピー gcloud compute backend-services create keeper-automator-backend \
--global \
--protocol HTTP
コピー gcloud compute backend-services add-backend keeper-automator-backend \
--global \
--network-endpoint-group keeper-automator-neg \
--network-endpoint-group-region us-east1
コピー gcloud compute url-maps create keeper-automator-url-map \
--default-service keeper-automator-backend
コピー gcloud compute target-https-proxies create keeper-automator-target-proxy \
--url-map keeper-automator-url-map \
--ssl-certificates automator-compute-certificate
コピー gcloud compute addresses create keeper-automator-ip --global
コピー gcloud compute addresses list
コピー gcloud compute forwarding-rules create keeper-automator-forwarding-rule \
--global \
--target-https-proxy keeper-automator-target-proxy \
--ports 443 \
--address keeper-automator-ip
コピー gcloud compute security-policies create allow-specific-ips-policy --description "Allow specific IPs"
コピー gcloud compute security-policies rules create 1000 \
--security-policy allow-specific-ips-policy \
--src-ip-ranges 54.208.20.102,34.203.159.189 \
--action allow
コピー gcloud compute security-policies rules create 2000 \
--security-policy allow-specific-ips-policy \
--action deny-404 \
--src-ip-ranges '*'
コピー gcloud compute backend-services update keeper-automator-backend \
--global \
--security-policy allow-specific-ips-policy
コピー $ keeper shell
My Vault> login [email protected]
_ __
| |/ /___ ___ _ __ ___ _ _
| ' </ -_) -_) '_ \/ -_) '_|
|_|\_\___\___| .__/\___|_|
v16.x.xxx |_|
password manager & digital vault
Logging in to Keeper Commander
Enter password for [email protected]
Password: ********************
Successfully authenticated with Master Password
Syncing...
Decrypted [58] record(s)
My Vault>
コピー My Vault> automator create --name "My Automator" --node "Azure Cloud"
コピー Automator ID: XXXX
Name: My Automator
URL:
Enabled: No
Initialized: No
Skills: Device Approval
コピー automator edit --url https://gcpautomator.lurey.com --skill=team --skill=team_for_user --skill=device "My Automator"
コピー automator setup "My Automator"
コピー automator init "My Automator"
コピー automator enable "My Automator"
コピー sudo yum update -y
sudo yum install -y docker
sudo systemctl enable docker
sudo systemctl start docker
コピー cat <<EOF | sudo tee /etc/yum.repos.d/kubernetes.repo
[kubernetes]
name=Kubernetes
baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-x86_64
enabled=1
gpgcheck=1
repo_gpgcheck=1
gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg
EOF
sudo setenforce 0
sudo sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config
sudo yum install -y kubelet kubeadm kubectl --disableexcludes=kubernetes
sudo systemctl enable --now kubelet
コピー sudo kubeadm init --pod-network-cidr=10.244.0.0/16
コピー mkdir -p $HOME/.kube
sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
sudo chown $(id -u):$(id -g) $HOME/.kube/config
コピー kubectl apply -f https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml
コピー sudo kubeadm join [your code from kubeadm init command]
コピー kubectl create secret generic certificate-secret --from-file=ssl-certificate.pfx --from-file=ssl-certificate-password.txt
コピー apiVersion: apps/v1
kind: Deployment
metadata:
name: automator-deployment
spec:
replicas: 1
selector:
matchLabels:
app: automator
template:
metadata:
labels:
app: automator
spec:
initContainers:
- name: init-container
image: busybox
command: ['sh', '-c', 'cp /secrets/* /usr/mybin/config']
volumeMounts:
- name: secret-volume
mountPath: /secrets
- name: config-volume
mountPath: /usr/mybin/config
containers:
- name: automator
image: keeper/automator:latest
ports:
- containerPort: 443
volumeMounts:
- name: config-volume
mountPath: /usr/mybin/config
volumes:
- name: config-volume
emptyDir: {}
- name: secret-volume
secret:
secretName: certificate-secret
items:
- key: ssl-certificate.pfx
path: ssl-certificate.pfx
- key: ssl-certificate-password.txt
path: ssl-certificate-password.txt
---
apiVersion: v1
kind: Service
metadata:
name: automator-service
spec:
type: NodePort
ports:
- port: 443
targetPort: 443
protocol: TCP
nodePort: 30000
selector:
app: automator
コピー kubectl apply -f automator-deployment.yaml
コピー $ curl https://automator2.lurey.com:30000/health
OK
コピー $ keeper shell
My Vault> login [email protected]
_ __
| |/ /___ ___ _ __ ___ _ _
| ' </ -_) -_) '_ \/ -_) '_|
|_|\_\___\___| .__/\___|_|
vxx.x.xx |_|
Logging in to Keeper Commander
SSO user detected. Attempting to authenticate with a master password.
(Note: SSO users can create a Master Password in Web Vault > Settings)
Enter password for [email protected]
Password:
Successfully authenticated with Master Password
Syncing...
Decrypted [58] record(s)
My Vault>
コピー My Vault> automator create --name="My Automator" --node="Azure Cloud"
コピー Automator ID: 1477468749950
Name: My Automator
URL:
Enabled: No
Initialized: No
Skills: Device Approval
コピー automator edit --url https://automator2.lurey.com:30000 --skill=team --skill=team_for_user --skill=device "My Automator"
コピー automator setup "My Automator"
コピー automator init "My Automator"
コピー automator enable "My Automator"
コピー kubectl apply -f automator-deployment.yaml
コピー kubectl exec -it automator-deployment-<POD> --container automator -- /bin/sh
コピー kubectl exec -it automator-deployment-<POD> --container automator -- tail -f /usr/mybin/logs/keeper-automator.log Azure Container Apps Azureコンテナーアプリでのデプロイ
本ページでは、KeeperオートメーターをAzure Container Appsサービスに公開するための手順を解説します。これにより、オートメーターサービスを簡単にクラウドでホストしていただけます。
1. オートメーターConfigキーの作成
コマンドラインを開き、オペレーティングシステムに応じて次のいずれかの方法を使用してURLエンコード形式で256ビットAESキーを生成します。
このコマンドによって生成される値を手順 3 のために保存します。
2. コンテナレジストリの作成
コンテナレジストリをまだお持ちでない場合は、以下のように新しく作成し、適切に構成する必要があります。
Azureから新しいコンテナーアプリを作成します。
コンテナアプリ名を「keeperautator」または任意の名前に設定します。
デプロイメントソースとして「コンテナイメージ」を選択します。
4. コンテナの詳細のセットアップ
「コンテナ」の手順では以下のように設定します。
[クイックスタートイメージを使用する] のチェックを外します
[Docker Hub または他のレジストリ] を選択します
5. イングレスのセットアップ
イングレスセットアップ画面で以下を選択します。
イングレスのトラフィックをAccepting traffic from anywhere
[Review + Create] をクリックしてから [Create] をクリックします。
数分後、コンテナアプリが作成され自動的に起動します。
[Go to Resource (リソースに移動)] をクリックするとコンテナ環境に移動します。
7. イングレス設定のカスタマイズ
Keeperオートメーターサービスへの通信を制限するには、画面左側の [設定] セクションにある [Ingress] のリンクをクリックします。
[Allow traffic from IPs configured below, deny all other traffic] を選択します。
[Add] をクリックして
[Application] から [Scale] セクションへ進み、[Min replicas] と [Max replicas] を1に設定します。
[Application] > [Volume] を選択し、[+ 追加] をクリックします。
[Ephemeral Storage] (一時ストレージ) を選択し、任意の名前を付けて [Add] をクリックします。
[Save as a new revision] をクリックします。
10. ヘルスプローブとボリュームマウントのセットアップ
[Application] の [Revisions and replicas] セクションに移動します。
[Create new revision] をクリックします。
[Application] > [Revisions and replicas] をクリックし、新しいリビジョンがアクティブ化されるのを確認します。
次に、[Container] タブをクリックします。
下部にあるコンテナーイメージ名のリンク (この例では「keeperautomator」) をクリックします。
[Health Probes] に移動し、[Liveness probes] の箇所で以下のように設定します。
[Enable liveness probes] をチェック
[Startup probes] の箇所で以下のように設定します。
[Enable startup probes] をチェック
[Volume Mounts] のタブで以下のように設定します。
以前の手順で作成したボリュームを選択し、[Mount path] に「/usr/mybin/config」を追加します。
構成を完了します。
[Save] をクリックしてから [Create] をクリックして新しい構成をビルドします。
数分後、新しいコンテナが起動します。
11. アプリケーションURLの取得
リビジョンがアクティブ化が完了するまで待ちます。
コンテナーアプリの概要の右側に、割り当てられたアプリケーションURLが表示されます。このURLをコピーして次の手順で使用します。
(例: https://craigautomator1.xyx-1234.azurecontainerapps.io)
12. Keeperコマンダーにログイン
最後に、Keeperコマンダーが必要となります。どこからでも実行でき、サーバーにインストールする必要はありません。
ご利用のワークステーションまたはサーバーにKeeperコマンダーCLIをインストールします。 バイナリインストーラーを含むインストール手順についてはkeeper shellと入力してセッションを開いてから、loginコマンドを使用してログインします。オートメーターをセットアップするには、Keeper管理者として、または SSOノードを管理する権限を持つ管理者としてログインする必要があります。
automator createで始まる一連のコマンドにノード名を使用してオートメーターを作成します。
ノード名 (この場合はAzure Cloud) は、以下のように管理コンソールUIから取得します。
コマンドの出力には、IDプロバイダからのメタデータを含むオートメーター設定が表示されます。
URLはまだ入力されていないことにご留意ください。手順8のアプリケーションURLとなります。
以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます (team、 team_for_user、device)。
次にキーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。
新しい設定でオートメーターを初期化します。
サービスを有効にします。
この時点で設定は完了となります。
外部ヘルスチェックには以下のURLをご使用になれます。
https://<server>/health
以下はcurlコマンドを使用した例です。
Keeperオートメーターがデプロイされましたので、ユーザー体験をテストしてみましょう。ユーザーが SSO IDプロバイダで認証した後は、承認を求めるプロンプトが表示されなくなります。
最も簡単にテストするには、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインしてみます。デバイスの承認を求めるプロンプトは表示されません。
Azureコンテナーアプリには本ページには含まれていない多くの高度な機能があります。以下はその一部となります。
複数のコンテナーでのスケーリング
複数のコンテナでKeeperオートメーターサービスを実行したい場合は以下を行います。
[Scale and replicas] をクリックします。
[Edit and deploy] をクリックします。
Keeperオートメーターのログは、「コンソール」または「ログストリーム」を使用して表示および監視できます。
たとえば、実行中のオートメーターサービスのログファイルを追跡するには以下のようにします。
環境変数をコンテナに渡してランタイム環境の機能を有効にしたり無効にしたりできます。変数およびその説明については、
Azure App Gateway (高度な設定) Azure App Gatewayサービスを使用してKeeperオートメーターをAzure Container Instancesにデプロイ
本ガイドでは、Azure Application Gatewayを使用して安全なVNetでKeeperオートメーターを公開するための手順を解説します。この方式は、Azureコンテナーアプリの設定よりも高度となりますので、Azure App Gatewayや暗号化されたSAMLリクエストを使用する必要がない場合は、
この方式では、すでにSSL証明書をお持ちであることを確かにしてください。お持ちでない場合は、
サービスをホストしたい地域を選択します。
新しいアプリ環境を作成するか、既存の環境を選択します。
レジストリログインサーバーにdocker.io
イメージを設定し、keeper/automator:latest
「Container resource allocation (コンテナリソース割り当て)」 に進みます
CPUとメモリについては、0.5 CPU コアと1Gi メモリで十分ですが、新しいデバイスのログイン量に基づいて変更できます
上記の手順1の値を使用してAUTOMATOR_CONFIG_KEY
8089 AUTOMATOR_PORT
none SSL_MODE
HTTP
にします
コンテナーの最小数および最大数を選択します。最小数は少なくとも1にします。
コンテナーの数に応じて何度かautomator setup xxxを実行します (コンテナーにつき1回)。
コンテナーの数に応じて何度かautomator init xxxを実行します (コンテナーにつき1回)。
プロンプトが表示されるとtail -f logs/keeper-automator.logと入力します。
portal.azure.comにログインし、クラウドシェルのアイコンをクリックします。
Azureにリソースグループがまだ存在しない場合は作成します。こちらの例ではeastusの地域を使用していますが、必ずお客様の地域をご使用ください。
ストレージアカウントがまだ存在しない場合は作成します。正しい地域 (useeast) と上のリソースグループ名を使用するようにします。keeperautomatotorstorageを置き換えるのに選択する名前は、azureではグローバルで他に存在しないものである必要があります。
コンテナー用にバーチャルネットワーク (VNet) と1件のSubnetを作成
バーチャルネットワークをサービスエンドポイントで更新
アカウントのストレージキーを見つけるには以下のコマンドを使用します。ストレージアカウント名は実際の名前に置き換えます。
サブネットIDを見つけるには以下のコマンドを実行します。
サブネットIDのパスを _subnetで終わるところまで全部コピーします。以下はその例です。
ローカルで、automatorなどの名前でフォルダを作成します。
任意のエディタを使用して、そのフォルダー内に以下の内容を含むautomator.yml というファイルを作成します。
前の手順の設定に基づいて文字列の値を変更する必要がある箇所が複数あります。
サブネットIDは、手順8で取得したIDのフルパスと一致する必要があります。
storageAccountNameは手順3の値と一致する必要があります。
storageAccountKeyは手順7の値と一致する必要があります。
SSL証明書とSSLパスワードファイルのアップロード
Azureインターフェイスから、[リソースグループ] > [ストレージアカウント] > [ファイルシェア]に移動し、作成したオートメーターファイルシェアに移動します。ここから、automator.ymlファイル、SSL証明書ファイル、SSL証明書パスワードファイルをアップロードします。
3つのファイルをローカルのCLIワークスペースにコピーします
automator.ymlの設定を使用してコンテナーを作成します。
後で使用するために、このIPの変数を設定します。以下はその例となります。
XXXXXXの箇所でSSL証明書のパスワードが置き換えられていることを確かにします。
Azure portalのインターフェイスで、[リソースグループ] > [アプリゲートウェイ]に移動し、パブリックIPアドレスをメモします。
オートメーターサービスのDNS (例: automator.company.com) が、Azureコンテナーサービスが手順 15で生成したIPアドレスを指していることを確かにします。
circle-exclamation
DNS名はSSL証明書のサブジェクト名と一致する必要があります。一致しない場合、リクエストは失敗します。
正常性プローブは、オートメーターサービスが実行されていることをApp Gatewayに通知します。Azure portalのインターフェイスからAutomator App Gatewayを開き、左側のメニューから[正常性プローブ]をクリックします。
次に、以下のスクリーンショットに見られる設定で新しい正常性プローブを作成します。必ずホストを手順16で設定したFQDNに置き換えます。
[テスト]をクリックしてプローブを追加します。コンテナIPがホスト名に適切にアドレス指定されていれば、テストは成功します。
Azure portalのインターフェイスからAutomator App Gatewayを開き、左側の[ウェブアプリケーションファイアウォール] をクリックします。 WAF V2を有効にして以下の画面のように設定します。
[ルール]タブをクリックし、[OWASP 3.2] に設定されたルールを選択して、[有効] および[保存] をクリックします (重要な手順となります)。
最後にKeeperコマンダーを使ってオートメーターの設定を行います。
この時点では、サービスは実行されていますがまだKeeperとは通信ができません。
ワークステーション、サーバー、コンピューターのどれかにKeeperコマンダーCLIをインストールします。初期設定にのみ使用します。バイナリインストーラーを含むインストール手順についてはこちらarrow-up-right のページをご参照ください。
コマンダーを開いた後、loginコマンドでログインします。オートメーターをセットアップするにはKeeper管理者、またはSSOノードを管理する権限を持つ管理者としてログインする必要があります。
Keeperコマンダーにログインし、automator createで始まる一連のコマンドを使用してオートメーターを有効にします。
ノード名 (この場合はAzure Cloud) は、以下のように管理コンソールのUIから取得します。
コマンドの出力には、IDプロバイダからのメタデータを含むオートメーター設定が表示されます。
URLはまだ入力されていません。選択したFQDNを使用してURLを編集します。
次に、キーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。
自動ヘルスチェックには以下のURLをご使用になれます。
IDプロバイダとしてAD FSを使用してKeeperオートメーターを有効にする場合、以下の手順に従ってKeeper証明書を更新するまでログインできません。
[管理] > [SSOノード] > [プロビジョニング]に移動し、SSOクラウド設定を見ます。
[Export SP Cert]をクリックします。
AD FS管理コンソールで、Keeper Cloud SSO証明書利用者信頼プロパティを選択します。
[暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。
[署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。
これでオートメーターサービスが実行された状態になりました。
Azure Portalの「コンテナーインスタンス」システムで、コンテナーが実行されているのを確認できます。 /bin/shを使用してコンテナーに接続し、実行ログを表示することもできます。
この設定に基づいてコンテナーを再起動すると、/24サブネットから新しい IP アドレスが割り当てられることがあります。新しいIPをすばやく見つけて、正しいIPでApplication Gatewayバックエンドプールを更新するには、Azure CLIから以下のスクリプトを実行します。
Keeperオートメーターがデプロイされましたので、エンドユーザー体験のテストが可能です。ユーザーが SSO IDプロバイダーで認証した後は、承認を求めるプロンプトは必要ありません。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトarrow-up-right へアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトが表示されない場合、オートメーターが正常に機能しています。
Cloud Serviceを使用したGoogle Workplaceのユーザーとチームのプロビジョニング Cloud Functionを使用してGoogle Workspaceからユーザーとグループを自動的にプロビジョニングする方法
Google Cloud Functionを使用してGoogle WorkspaceからKeeperにユーザーを自動的にプロビジョニングする方法について解説します。これには、ユーザー、グループ、ユーザー割り当てのプロビジョニングが含まれます。ユーザーとチームのプロビジョニングには、ライフサイクル管理のためのいくつかの機能が備わっています。
どのGoogleグループやユーザーをKeeperにプロビジョニングするかを指定できます。
コピー openssl rand -base64 32
コピー [Byte[]]$key = New-Object Byte[] 32; [System.Security.Cryptography.RNGCryptoServiceProvider]::Create().GetBytes($key); [System.Convert]::ToBase64String($key)
コピー $ keeper shell
My Vault> login [email protected]
_ __
| |/ /___ ___ _ __ ___ _ _
| ' </ -_) -_) '_ \/ -_) '_|
|_|\_\___\___| .__/\___|_|
v16.x.xxx |_|
password manager & digital vault
Logging in to Keeper Commander
Enter password for [email protected]
Password: ********************
Successfully authenticated with Master Password
Syncing...
Decrypted [58] record(s)
My Vault>
コピー My Vault> automator create --name="My Automator" --node="Azure Cloud"
コピー Automator ID: 1477468749950
Name: My Automator
URL:
Enabled: No
Initialized: No
Skills: Device Approval
コピー automator edit --url https://<application URL> --skill=team --skill=team_for_user --skill=device "My Automator"
コピー automator setup "My Automator"
コピー automator init "My Automator"
コピー automator enable "My Automator"
コピー $ curl https://craigautomator1.xyz.azurecontainerapps.io/health
OK
コピー $aciPrivateIp=10.100.2.4
コピー aciPrivateIp=10.100.2.4
コピー az group create --name keeper_automator_rg --location eastus
コピー az storage account create -n keeperautomatorstorage -g keeper_automator_rg -l eastus --sku Standard_LRS
コピー az storage share create --account-name keeperautomatorstorage --name keeperautomatorfileshare
コピー az storage share list --account-name keeperautomatorstorage
コピー az network vnet create --address-prefixes 10.100.0.0/16 --name keeper_automator_vnet --resource-group keeper_automator_rg --subnet-name keeper_automator_subnet --subnet-prefixes 10.100.2.0/24
コピー az network vnet subnet update -g keeper_automator_rg -n keeper_automator_subnet --vnet-name keeper_automator_vnet --service-endpoints Microsoft.Storage --delegations Microsoft.ContainerInstance/containerGroups
コピー az storage account keys list --resource-group keeper_automator_rg --account-name keeperautomatorstorage
コピー "value": "zuVgm9xnQNnxCQzY=5n4Ec6kxhDn2xMZSfpwZnTeqsyGaHd5Abn584mpAP3xamg3rGns4=Fd7FeFsaR6AgtnqW=="
コピー az network vnet subnet list --resource-group keeper_automator_rg --vnet-name keeper_automator_vnet | grep "id"
コピー "id": "/subscriptions/abc123-abc123-abc-123/resourceGroups/keeper_automator_rg/providers/Microsoft.Network/virtualNetworks/keeper_automator_vnet/subnets/keeperautomator_appgw_subnet"
コピー apiVersion: '2021-07-01'
location: eastus
name: keeperautomatorcontainer
properties:
containers:
- name: keeperautomatorcontainer
properties:
image: keeper/automator:latest
ports:
- port: 443
protocol: TCP
resources:
requests:
cpu: 1.0
memoryInGB: 1.5
volumeMounts:
- name: automatorvolume
mountPath: /usr/mybin/config
osType: Linux
restartPolicy: Always
sku: Standard
volumes:
- name: automatorvolume
azureFile:
shareName: keeperautomatorfileshare
readOnly: false
storageAccountName: keeperautomatorstorage
storageAccountKey: XXX-YOUR-KEY-XXX
subnetids:
- id: /subscriptions/XXX-YOUR-SUBNET /path/to/subnets/keeper_automator_subnet
name: keeper_automator_subnet
tags: null
type: Microsoft.ContainerInstance/containerGroups
コピー az storage copy -s https://keeperautomatorstorage.file.core.windows.net/keeperautomatorfileshare/automator.yml -d .
az storage copy -s https://keeperautomatorstorage.file.core.windows.net/keeperautomatorfileshare/ssl-certificate.pfx -d .
az storage copy -s https://keeperautomatorstorage.file.core.windows.net/keeperautomatorfileshare/ssl-certificate-password.txt -d .
コピー az container create -g keeper_automator_rg -f automator.yml
コピー az container show --name keeperautomatorcontainer --resource-group keeper_automator_rg --query ipAddress.ip --output tsv
コピー az network vnet subnet create --name keeperautomator_appgw_subnet --resource-group keeper_automator_rg --vnet-name keeper_automator_vnet --address-prefix 10.100.1.0/24
コピー az network application-gateway create --name KeeperAutomatorAppGateway --location eastus --resource-group keeper_automator_rg --sku Standard_v2 --public-ip-address AGPublicIPAddress --cert-file ssl-certificate.pfx --cert-password XXXXXX --vnet-name keeper_automator_vnet --subnet keeperautomator_appgw_subnet --frontend-port 443 --http-settings-port 443 --http-settings-protocol Https --servers 10.100.2.4 --priority 100
コピー automator create --name="My Automator" --node="Azure Cloud"
コピー Automator ID: 1477468749950
Name: My Automator
URL:
Enabled: No
Initialized: No
Skills: Device Approval
コピー automator edit --url=https://automator.lurey.com --skill=team --skill=team_for_user --skill=device "My Automator"
コピー automator setup "My Automator"
コピー automator init "My Automator"
コピー automator enable "My Automator"
コピー $ curl https://automator.lurey.com/health
OK
コピー # change these 3 variables according to your setup
RESOURCE_GROUP="keeper_automator_rg"
GATEWAY_NAME="KeeperAutomatorAppGateway"
CONTAINER_NAME="keeperautomatorcontainer"
BACKEND_POOL_NAME="appGatewayBackendPool"
CONTAINER_IP=$(az container show --resource-group $RESOURCE_GROUP --name $CONTAINER_NAME --query 'ipAddress.ip' --output tsv)
az network application-gateway address-pool update --resource-group $RESOURCE_GROUP --gateway-name $GATEWAY_NAME --name $BACKEND_POOL_NAME --servers $CONTAINER_IP Keeperに割り当てられたGoogleグループはKeeperチームとして作成されます。
Keeperチームをボルト内の共有フォルダに割り当てられます。
グループに追加された新しいユーザーは自動的にKeeperに招待されます。
グループとユーザーの割り当ては同期のたびに適用されます。
ユーザーのプロビジョニングが解除されると、Keeperカウントが自動的にロックされます。
本ページの設定手順で、Google Workspaceアカウントからユーザーとグループをプロビジョニングします。設定には以下のリソースにアクセスする必要があります。
この実装ではKeeperシークレットマネージャーを使用して、最小限の権限でGoogleとKeeperを最も安全に統合します。Keeperシークレットマネージャーをご使用でない場合は、Keeperカスタマーサクセス チームにお問い合わせください。
手順 1. Google Cloudプロジェクトの作成
手順 2. Admin SDK APIを有効にする
APIs & Servicesで、[+ ENABLE APIS AND SERVICES] (APIとサービスを有効にする) をクリックします。
Search for APIs & Servicesで、Admin SDK APIを入力します。
[ENABLE] (有効にする) をクリックします。
ここで作成したサービスアカウントは、Google Workspaceのユーザーとグループの情報にアクセスするために使用されます。
IAM and Adminメニューで、Service accounts (サービスアカウント)を選択します。
keeper-scimというサービスアカウント名で[+ CREATE SERVICE ACCOUNT]をクリックします。
新規作成のサービスアカウントの場合、Actionsの3つの点をクリックして[Manage keys] (キーの管理) を選択します。
[ADD KEYS] (鍵を追加) から[Create new Key] (新しい鍵を作成) をクリックし、鍵のタイプとして[JSON]を選択してから[CREATE] (作成) をクリックします。
サービスアカウントの認証情報が含まれたJSONファイルがコンピュータにダウンロードされます。
ファイル名をcredentials.jsonに変更し、上のセットアップ手順で作成したKeeper設定レコードに添付ファイルとして追加します。
サービスアカウントへと移動し、[DETAILS]タブから[Advanced Settings]へ進みます。
[Domain-wide delegation]でClient IDをコピーします。次の手順でこのClient IDにGoogle Workspace Directoryへのアクセスを付与します。
手順 5. Google Workspaceでサービスアカウントを承認
[Security] (セキュリティ) > [API controls] (API制御) へ進みます。
Domain wide delegationの下の[MANAGE DOMAIN WIDE DELEGATION]をクリックします。
API Clientsで[Add new]をクリックします。
前の手順でコピーしたClient IDを貼り付けます。
以下のテキストをOAuth scopes (comma-delimited)に貼り付けます。
[AUTHORIZE] (承認) をクリックします。これらのスコープにより、サービスアカウントにGoogle Workspaceディレクトリユーザー、グループ、メンバーシップへの読み取り専用アクセスが付与されます。
次の手順で使うため、Primary adminメールアドレス (右上) をクリップボードにコピーします。
手順 7. Keeperボルトで共有フォルダを作成
Keeperボルトで、新しい共有フォルダを作成します。このフォルダーには「Google SCIM Push」などの任意の名前を付けます。ユーザー権限とレコード権限については、任意の権限を選択します。
アプリケーションに「Google SCIM Push」などの名前を付けて、[アクセストークンの作成]をクリックします。 このトークンは破棄され、このシナリオでは使用されません。
次に、一覧から「Google SCIM Push」を選択し、[編集]、[デバイスの追加]の順にクリックします。
設定タイプにはBase64を選択してコンピュータにダウンロードします。
ファイルをconfig.base64としてコンピュータに保存します。
手順 9. SCIMプロビジョニングメソッドを作成
Keeper管理コンソールから、Google Workspaceノードの[プロビジョニング] タブに移動し、[メソッドを追加] をクリックします。
[プロビジョニングトークンを作成]をクリックします。
URLとトークンが表示されるので、URLとトークンをファイルに一時的に保存してから、[保存] をクリックします。
circle-exclamation
URLとトークンを必ず保存してから[保存] をクリックするようにします。 これらのパラメータは次の手順で必要となります。
手順 10. 共有フォルダでKeeperレコードを作成
手順7で作成した共有フォルダ内に、以下のフィールドを含むレコードを作成します。
Google Workspace admin email
手順3のGoogle Serviceアカウント認証情報の添付ファイル
プロビジョニングされるすべてのグループのリストを含む複数行のカスタムテキストフィールド。名前はグループメールかグループ名のいずれかとなります。
指定したグループとそのユーザーがKeeperにプロビジョニングされます。
この時点で、Keeper側の設定は完了となります。残りの手順はGoogle CloudコンソールでのCloud Functionの設定となります。
手順 11. Google Cloud Functionを作成
Google CloudコンソールからCloud Functionsを開き、[関数を作成]をクリックします。
Environment (環境) に2nd gen (第2世代) を選択します。
Function name (関数名) は「keeper-scim-push」にします。
Region (地域) には任意の地域を選択してメモしておきます。
TriggerのTrigger typeををHTTPSにします。
Authentication (認証) を「Require authentication」 (認証が必要) にします。
Memory allocated (メモリの割り当て) : 256MiB
Concurrency (同時実行) のコンテナあたりの最大リクエスト数: 1
Autoscaling (自動スケーリング) のインスタンスの最小数 : 0
Autoscaling (自動スケーリング) のインスタンスの最大数 : 1
Runtime service account (ランタイムサービスアカウント) : 選択
Runtime service account (ランタイムサービスアカウント) で, 「Default compute service account」を選択
Runtime environment variables (ランタイム環境変数)
Name 1をKSM_CONFIG_BASE64、Value 1を手順8で生成したKSM設定ファイルの内容に設定します。
Name 2をKSM_RECORD_UID、Value 2を手順10でボルトで作成したレコードUIDに設定します。
[CONNECTIONS] (接続) をクリックし、[Allow internal traffic only] (内部トラフィックのみ) を選択します。
[Allow internal traffic only] (内部トラフィックのみ) 下へスクロールして[ NEXT ] (次へ) をクリックし、Cloud Function Sourceをアップロードします。
手順 12. Cloud Function Sourceをアップロード
source.zip
Cloud Function Code Source Runtime (ランタイム) は「Go 1.21」にします。
Source code (ソースコード) にはZip Uploadを選択します。
Entry point (エントリーポイント) にはGcpScimSyncHttpを入力します。
Zip upload (Zipアップロード) のDestination bucketには、デフォルトバケット許可 (非公開) を用いて任意の名前のバケットを作成します。
Zip file (Zipファイル) : 前の手順で保存したsource.zipを アップロードします。
[ DEPLOY ] (デプロイ) をクリックしてクラウド関数を作成します。 数分後、関数が作成され、パブリッシュされます。
この関数はプライベートであり、認証を必要とするため、次の手順ではCloud Schedulerを作成します。
手順 13. Cloud Function URLをコピー
Cloud Function画面で、以下に見られるようにURLをコピーします。
手順 14. Cloud Schedulerを作成
Google Cloudコンソールで、Cloud Schedulerを検索して開きます。
[SCHEDULE A JOB] (ジョブをスケジュール) をクリックします。
「Keeper SCIM Push for Google Workspace」など、任意の名前を付けます。
1時間に1回実行の場合0 * * * *など、頻度を設定します。
Target type (ターゲットタイプ) をHTTPにします。
URLを手順13でコピーしたCloud Function URLに設定します。
HTTP method (HTTPメソッド) をGETに設定します。
Auth Header (Authヘッダ) をAdd OIDC tokenに設定します。
ServiceアカウントをDefault compute service accountに設定します。
[CONTINUE] (続行) 、[CREATE] (作成) の順にクリックします。
Scheduler Jobs画面にジョブが表示されます。強制的に実行するには、右側のオーバーフロー メニューをクリックし、[Force run] (強制実行) を選択します。
即座にCloud Functionが実行されます。
成功すると、[Status of last execution] (最後の実行のステータス) に[Success] (成功) と表示されます。
Keeperが同期情報を受信したことを確認するには、Keeper管理コンソールにログインします。保留中および招待状態のユーザー、チーム、チーム割り当てのリストが表示されます。
プロセスが正常に動作すると、この過程で作成されたすべてのローカルファイルとシークレットを削除します。
circle-exclamation
重要: 以下のような、コンピュータにあるローカルファイルや一時ファイルをすべて削除します。
デフォルトでは、Keeper管理コンソール内の管理されていないチームとチーム割り当てが同期処理中に削除されることはありません。ただし、管理されていないチームもチーム割り当てもすべて削除される同期方法をご希望の場合は、Keeperレコードにカスタムフィールドを作成して特定の値を入力します。
同期中、SCIM で制御されているグループとメンバーシップのみが削除されます (デフォルト設定)
同期中、手動で作成されたグループやメンバーシップとSCIMで制御されたグループやメンバーシップが削除されます。
Keeperレコードを変更することで、Google Cloud Functionログに詳細なログを作成できます。
Keeperは、Cloud Functionプロビジョニングを実行する際に、グループ名またはグループのメールアドレスに対して厳密な文字列照合を実行します。グループ名とグループメールアドレスでは大文字と小文字が区別されます。
招待状態のユーザーは、ユーザーがボルトを作成し、Keeper管理者が管理コンソールにログインするまで、割り当てられたチームに追加されされることはありません。 ユーザーのチームへの参加も、チームの別のメンバーがボルトにログインする際に行われます。管理コンソールから[同期]をクリックすることでもチーム参加が行われます。
大規模なデプロイの場合、
新しいグループを追加する場合は、Keeperボルトのレコード内のリストにグループを追加します (
Google Workspaceでネストされたグループは、Keeperと同期する際にフラット化されます。 ネストされたグループのユーザーは、Keeper側の親グループに追加されます。
Cloud Functionの新しいバージョンが作成される際のコードのアップデートは簡単です。
Google CloudのCloud Functionsの箇所へ移動します。
Cloud Functionの詳細をクリックし、[EDIT]をクリックしします。
Source codeで、[ZIP Upload]を選択します。
コンピュータに保存したsource.zipファイルを選択します。
[DEPLOY] (デプロイ) をクリックします。
[Actions] > [Force Run]をクリックします。
コピー https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.group.member.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly AWS Elastic Containerサービス AWS ECS (Fargate)サービスでKeeperオートメーターを使う
この例では、必要最小限の依存関係で最も簡単な方法でAmazon ECSでKeeperオートメーターサービスを起動する方法について解説します。
要件
1. Automator Configキーの作成
オペレーティングシステムに応じて以下のいずれかの方法を使用してURL エンコード形式で256ビットAESキーを生成します。
タスク定義に設定された環境変数としてこの値を保存します。
VPCが存在しない場合は、複数のサブネット、ルートテーブル、インターネットゲートウェイを持つ基本的なVPCをセットアップする必要があります。こちらの例では、以下のリソースマップに見られるようにインターネットゲートウェイを備えたVPC内に3つのサブネットがあります。
3. CloudWatchロググループの作成
ログをキャプチャしたい場合 (推奨)、[CloudWatch] > [ロググループの作成]に移動します。
ロググループにautomator-logsという名前を付けます。
4. タスク実行IAMロールの作成
[IAM] > [ロールの作成]へ行きます。
[AWSサービス]を選択します。
次に、Elastic Container Serviceを検索して選択します。
[Elastic Container Serviceタスク]を選択し、[次へ]をクリックします。
[AmazonECSTaskExecution]ポリシーをロールに追加し、[次へ]をクリックします。
ECSTaskWritetoLogs という名前を割り当てて、ロールを作成します。
次の手順で使用するため、このロールのARNをメモしておきます。
本事例ではarn:aws:iam::373699066757:role/ECSTaskWritetoLogs
5. ECSのセキュリティグループを作成
[EC2] > [セキュリティ グループ] に移動し、[セキュリティグループの作成] をクリックします。
Keeperテナントがホストされている地域に応じて、Keeperクラウドからのhttpsポート443を許可する受信ルールを作成する必要があります。各テナントの場所のIPのリストについては以下をご覧ください。以下の例では米国データセンターとなります。
また、テストとトラブルシューティングのためにワークステーションの外部IPアドレスを追加することを推奨します。
MyAutomatorService などの名前を割り当て、[作成]をクリックします。
6. セキュリティグループをインバウンドルールのリストに追加
セキュリティグループを保存した後、受信ルールを再度編集します。 今回は以下の内容を追加します。
ソースがセキュリティ グループに設定された状態のHTTPポート8089 を追加します。これにより、ALBからネットワーク内のコンテナへのトラフィックとヘルスチェック処理が可能となります。
7. Elastic Container Serviceクラスターの作成
Amazon Elastic Container Serviceへ進みます。
[クラスターの作成]を選択し、クラスター名とVPCを割り当てます。 こちらの例では、デフォルトの[AWS Fargate (サーバーレス)]インフラストラクチャを使用しています。
デフォルトの名前空間はautomatorで問題ありません
[インフラストラクチャ]は AWS Fargate (サーバーレス) に設定します
任意のテキストエディタで、以下のJSONタスク定義ファイルをコピーして保存します。
重要 JSONファイルに以下の変更を加えます。
24行目の XXX (REPLACE THIS) XXX を上記の手順1で作成した秘密キーに変更します。
37行~39行 を手順3のロググループの名前 と場所 に置き換えます。
44行目のXXX をAWSロールに固有のロールIDに変更します(手順4の373699066757)。
次に、[Elastic Container Service] > [タスク定義] > [JSONからタスクを作成] に移動します。
既存のJSONを削除し、変更したJSONファイルをボックスにコピーして貼り付け、[作成] をクリックします。
このタスク定義は、インスタンスのCPU/メモリ要件に応じて変更できます。
9. SSL証明書をAWS Certificate Managerにアップロード
AWSのアプリケーションロードバランサーがオートメーターのクエストに対応するには、SSL証明書が AWS Certificate Managerによって管理されている必要があります。AWSが管理する証明書をインポートするか作成します。
AWSコンソールから[Certificate Manager]を開きます。
パブリック証明書をリクエストし、[次へ] をクリックします。
Route53を使用してドメインを管理している場合は証明書をクリックし、[Route53でレコードを作成] を選択するとドメインが即座に検証され証明書が作成されます。別のDNSプロバイダーを使用する場合は、画面に見られるようにCNAMEレコードを作成する必要があります。
CNAMEレコードを作成すると、ドメインは数分以内に有効となります。
この証明書は、手順11でアプリケーションロードバランサーを作成する際に参照されます。
10. ターゲットグループの作成
[EC2] > [ターゲットグループ]に移動し、[ターゲットグループの作成] をクリックします。
ターゲットの種類として[IPアドレス]を選択します。
ターゲットグループ名にautomatortargetgroup または任意の名前を入力します。
11. アプリケーションロードバランサー (ALB) の作成
[EC2] > [ロードバランサー] > [ロードバランサーの作成] に移動します。
[Application Load Balancer] > [作成] を選択します。
automarnalb などの任意の名前を割り当てます。
スキームはInternet-facingとなります。
[Elastic Container Service] > [タスク定義] > 手順8で作成したタスクを選択します。
このタスク定義から、[デプロイ] > [サービスの作成]をクリックします。
automator の既存のクラスターを選択します。
サービス名にautomatorservice または任意の名前を割り当てます。
必要なタスクの数については、とりあえず1に設定します。設定が完了後に実行したいタスクの数を増やせます。
数分後にサービスが起動します。
DNS名がRoute53によってホストおよび管理されていると仮定します。
Route53 > レコードの作成 または編集に移動します。
トラフィックを[アプリケーションおよびクラシックロードバランサーへのエイリアス] にルーティングします。
次の手順では、タスクを1件だけ実行した状態でKeeperコマンダーを使用してオートメーターを設定します。
14. Keeperコマンダーのインストール
この時点ではサービスは実行されていますが、まだKeeperと通信できない状態です。
ご利用のワークステーション、サーバー、コンピューターのどれかにKeeperコマンダーCLIをインストールします。初期設定にのみ使用します。バイナリインストーラーを含むインストール手順については
コマンダーをインストールした後、keeper shellと入力してセッションを開いてからloginコマンドを使用してログインします。オートメーターをセットアップするには、Keeper管理者またはSSOノードを管理する権限を持つ管理者としてログインする必要があります。
15. コマンダーでの初期設定
automator createで始まる一連のコマンドを使用してオートメーターを有効にします。
ノード名 (この場合はAzure Cloud) は、以下のように管理コンソールUIから取得します。
コマンドの出力には、IDプロバイダからのメタデータを含むオートメーター設定が表示されます。
以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます (team、 team_for_user、device)。
次にキーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。
新しい設定でオートメーターを初期化します。
サービスを有効にします。
この時点で設定は完了となります。
自動ヘルスチェックには以下のURLをご使用になれます。
https://<server>/health
以下はcurlコマンドを使用した例です。
本セットアップ例では、ロードバランサーはHTTP ポート8089経由でターゲットインスタンスにヘルスチェックを転送します。
Keeperオートメーターが1件のタスクを実行した状態でデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。
承認が機能しましたので、実行するタスクの数を増やせます。
17. タスク定義の更新 (任意)
Keeperオートメーターサービスは、処理するリクエストの数が少ないため単一のコンテナ上で問題なく快適に実行できます。ただし、複数のコンテナを実行したい場合は以下の手順に従ってください。
ECSサービス画面からautomatorservice をクリックします。
[新規デプロイメントを強制] するのチェックボックスを選択します。
各コンテナーに対して、オートメーターセットアップ、初期化、有効化を実行する必要があります。
以下は3つのコンテナが実行されている場合となります。
オートメーターログは、ECSサービスの[ログ]タブまたはCloudWatchで検索およびモニターできます。
automator.lurey.comなど、オートメーターサービスのドメイン名を入力します。
証明書の一覧から証明書リクエストをクリックします。
[ヘルス チェック] で、ヘルスチェックプロトコルとして[HTTP] を選択します。
ヘルスチェックのパスとして/health
[オーバーライド] を選択し、ポート8089 を入力します。
まだターゲットを選択せずに[ターゲットグループの作成] をクリックします。
[ネットワークマッピング]の箇所で、ECSサービスをホストするVPCとサブネットを選択します。
セキュリティグループで、手順4で作成したMyAutomatorService を選択します。
[リスナーとルーティング]の箇所でHTTPSポート443を選択し、ターゲットグループで前の手順で作成したターゲットグループ (automatortargetgroup ) を選択します。
[セキュアリスナー設定]で、手順9でAWS Certificate ManagerにアップロードしたACMからのSSL証明書を選択します。
[ネットワーク]でVPCとサブネットを選択し、既存のセキュリティグループを手順4で作成した ECSセキュリティグループに置き換えます。この場合はMyAutomatorService となります。
[ロードバランシング]で、ロード バランサーの種類として[Application Load Balancer] を選択します。
既存の ロードバランサーを使用し、手順11で作成したautomatralb を選択します。
既存の リスナーを使用し、443:HTTPSリスナーを選択します。
既存の ターゲットグループを使用し、手順10のターゲットグループを選択します。
ヘルスチェックのパスを/health に設定します。
AWS地域を選択します。
automaticalb アプリケーションロードバランサーを選択します
最新のタスクリビジョンが選択されていることを確かにします。
[必要なタスク] を実行したいコンテナの数に設定します。
数分後、新しいコンテナがデプロイされます。すべてのコンテナがアクティブになるまで待ちます。
Keeperコマンダーを起動します (あるいはまだ開いたままである可能性があります)。
コピー openssl rand -base64 32
コピー [Byte[]]$key = New-Object Byte[] 32; [System.Security.Cryptography.RNGCryptoServiceProvider]::Create().GetBytes($key); [System.Convert]::ToBase64String($key)
コピー {
"family": "automator",
"containerDefinitions": [
{
"name": "automator",
"image": "keeper/automator:latest",
"cpu": 1024,
"portMappings": [
{
"containerPort": 8089,
"hostPort": 8089,
"protocol": "tcp",
"appProtocol": "http"
}
],
"essential": true,
"environment": [
{
"name": "SSL_MODE",
"value": "none"
},
{
"name": "AUTOMATOR_CONFIG_KEY",
"value": "XXX (REPLACE THIS) XXX"
},
{
"name": "AUTOMATOR_PORT",
"value": "8089"
}
],
"mountPoints": [],
"volumesFrom": [],
"readonlyRootFilesystem": false,
"logConfiguration": {
"logDriver": "awslogs",
"options": {
"awslogs-group": "automator-logs",
"awslogs-region": "eu-west-1",
"awslogs-stream-prefix": "container-2"
}
}
}
],
"executionRoleArn": "arn:aws:iam::XXX:role/ecsTaskExecutionRole",
"networkMode": "awsvpc",
"requiresCompatibilities": [
"FARGATE"
],
"cpu": "1024",
"memory": "3072",
"runtimePlatform": {
"cpuArchitecture": "X86_64",
"operatingSystemFamily": "LINUX"
}
}
コピー My Vault> automator create --name="My Automator" --node="Azure Cloud"
コピー Automator ID: 1477468749950
Name: My Automator
URL:
Enabled: No
Initialized: No
Skills: Device Approval
コピー automator edit --url https://<application URL> --skill=team --skill=team_for_user --skill=device "My Automator"
コピー automator setup "My Automator"
コピー automator init "My Automator"
コピー automator enable "My Automator"
コピー $ curl https://automator.lurey.com/health
OK
コピー automator setup "My Automator"
automator setup "My Automator"
automator setup "My Automator"
automator init "My Automator"
automator init "My Automator"
automator init "My Automator"
automator enable "My Automator"
automator enable "My Automator"
automator enable "My Automator" KSMを使用したAWS Elastic Container サービス (高度な設定) ECS (Fargate)サービスを使用してKeeperオートメーターを実行し、機密情報のストレージとして Keeperシークレットマネージャーを実行
本ガイドでは、Fargateを使用してAmazon ECSでKeeperオートメーターサービスを起動する方法について解説しながら、公開されたDockerコンテナのシークレット設定を取得するためにKeeperシークレットマネージャーを使用する方法を解説します。
本デプロイでは、Keeperシークレットマネージャーを使用する必要があるため、オートメーターサービスを公開するためにKeeperボルトおよびSSL証明書を設定するために必要な手順を確認します。
この手順が完了すると、ssl-certificate.pfxとssl-certificate-password.txtの2つのファイルが作成されます。
ボルト内に共有フォルダを作成します。このフォルダーは、シークレットマネージャーアプリケーション以外の誰にも共有されません。
共有フォルダにレコードを作成し、レコードUIDをメモします。SSL証明書とSSL証明書パスワードファイルを共有フォルダのレコードにアップロードします。
4. オートメータープロパティファイルの追加
以下の内容のkeeper.propertiesという新しいファイルをアップロードします。
disable_sni_check=trueは、マネージドロードバランサーでオートメーターサービスを実行する場合に必要になります。
共有フォルダとレコードは以下のようになります。
5. KSMアプリケーションの作成
コンテナー内にKeeperシークレットマネージャー (KSM) アプリケーションを作成します。シークレットマネージャーをご使用でない場合は、
6. KSMアプリケーションを共有フォルダに添付
共有フォルダを編集し、オートメーターアプリケーションをこのフォルダに追加します。
7. KSMデバイス設定の作成
シークレットマネージャーアプリケーションを開き、[デバイス]タブをクリックして、[デバイスの追加]をクリックします。Base64 設定を選択します。この設定をダウンロードして保存し、ECSタスク定義で使用できるようにします。
VPCが存在しない場合は、複数のサブネット、ルートテーブル、インターネットゲートウェイを持つ基本的なVPCをセットアップする必要があります。こちらの例では、以下のリソースマップに見られるように、インターネットゲートウェイを備えたVPC内に3つのサブネットが含まれています。
2. CloudWatchロググループの作成
[CloudWatch] > [ロググループの作成]に移動します。
ロググループをautomator-logs と名付けます。
3. タスク実行IAMロールの作成
[IAM] > [ロールの作成]へ行きます。
[AWSサービス]を選択します。
次に、Elastic Container Serviceを検索して選択します。
[Elastic Container Serviceタスク]を選択し、[次へ]をクリックします。
[AmazonECSTaskExecution]ポリシーをロールに追加し、[次へ]をクリックします。
ECSTaskWritetoLogs という名前を割り当てて、ロールを作成します。
このロールのARNをメモして次の手順で使用できるようにします。
本事例ではarn:aws:iam::373699066757:role/ECSTaskWritetoLogs
4. ECSのセキュリティグループを作成
[EC2] > [セキュリティ グループ] に移動し、[セキュリティグループの作成] をクリックします。
Keeperテナントがホストされている地域に応じて、Keeperクラウドからのhttpsポート443を許可する受信ルールを作成する必要があります。各テナントの場所のIPのリストについては以下をご覧ください。以下の例では米国データセンターとなります。
また、テストとトラブルシューティングのためにご使用のワークステーションの外部IPアドレスを追加することを推奨します。
MyAutomatorService などの名前を割り当て、[作成]をクリックします。
セキュリティグループを保存した後、受信ルールを再度編集します。今回はHTTPSポート443を追加し、ドロップダウンでセキュリティグループを選択します。これにより、ロードバランサーは状況を監視してトラフィックを分散できるようになります。
5. EFS用セキュリティグループの作成
クラスターからEFSへのNFSアクセスを制御する別のセキュリティグループを作成します。
[EC2] > [セキュリティ グループ] に移動し、[セキュリティグループの作成] をクリックします。
MyAutomatorEFS のように名前を設定します。
NFS のタイプを選択してカスタム を選択してから、ECSクラスターの前の手順で作成したセキュリティ グループを選択します。
[セキュリティグループの作成]をクリックします。
次の手順のためにセキュリティグループIDをメモしておきます。この場合はsgr-089fea5e4738f3898となります。
6. 2つのElastic File Systemボリュームを作成
現在、オートメーターサービスは2つの異なるフォルダにアクセスする必要があります。本セットアップ例では、SSL証明書とSSLパスフレーズファイルを保存するために1つのボリュームを作成しています。2つ目のボリュームには、オートメーターサービスのプロパティファイルが保存されます。これら3つのファイルはKeeperのレコードに含まれています。
[AWS] > [Elastic File System] に移動し、[ファイルシステムの作成] をクリックします。
automator_config と名付けて、[作成] をクリックします。
再び[Elastic File System] に移動し、[Create file system] をクリックします。automator_settings と名付けて[作成] をクリックします。
表示されるファイルシステムID (fs-xxxなど) は、ECSタスク定義で使用されます。
1 分後、2 つのファイルシステムが使用可能になります。それぞれをクリックしてから[ネットワーク]タブを選択し、[管理]をクリックします。
各サブネットのセキュリティグループを上記の手順で作成したもの (MyAutomatorEFSなど) に変更し、[保存]をクリックします。作成された両方のファイルシステムに同じネットワーク変更を加えます。
7. Elastic Container Serviceクラスターの作成
Amazon Elastic Container Serviceへ進みます。
[クラスターの作成]を選択し、クラスター名とVPCを割り当てます。 こちらの例では、デフォルトの[AWS Fargate (サーバーレス)]インフラストラクチャを使用しています。
デフォルトの名前空間はautomatorで問題ありません
[インフラストラクチャ]は AWS Fargate (サーバーレス) に設定します
任意のテキストエディタで、以下のJSONタスク定義ファイルをコピーして保存します。
JSONファイルに以下の変更を加えます。
本ガイドの冒頭で作成したKeeperシークレットマネージャーのXXXCONFIGXXX値をBase64設定に変更します。
3箇所あるXXXXXを、KSMがアクセスしているボルトの共有フォルダ内のSSL証明書、SSL証明書パスワード、設定ファイルが含間れるレコードUIDに変更します。
2つのファイルシステム ID (fs-XXX) を、上記の手順からのものに変更します。
次に、[Elastic Container Service] > [タスク定義] > [JSONからタスクを作成]に移動します。
既存のJSONを削除し、変更したJSONファイルをボックスにコピーして貼り付けてから[作成] をクリックします。
このタスク定義は、インスタンスのCPU/メモリ要件に応じて変更できます。
9. SSL証明書をAWS Certificate Managerにアップロード
AWSのアプリケーションロードバランサーがオートメーターのリクエストに対応するには、SSL証明書が AWS Certificate Managerによって管理されている必要があります。
AWS Certificate Manager へ移動し、[インポート] をクリックします。
ご利用のワークステーション上でSSL証明書 (.pfx) ファイルを、 PEMエンコードされた証明書本体、PEMエンコードされた秘密キー、PEMエンコードされた証明書チェーンに変換する必要があります。
.pfxファイルはすでに存在するので以下のopensslコマンドを使用します。ssl-certificate.pfxファイルと証明書パスワードをワークステーションへダウンロードし、以下のコマンドを入力します。
3つのファイルの内容を画面へコピーします。
10. ターゲットグループの作成
[EC2] > [ターゲットグループ]に移動し、[ターゲットグループの作成] をクリックします。
ターゲットの種類として[IPアドレス]を選択します。
ターゲットグループ名にautomatortargetgroup または任意の名前を入力します。
11. アプリケーションロードバランサー (ALB) の作成
[EC2] > [ロードバランサー] > [ロードバランサーの作成] に移動します。
[Application Load Balancer] > [作成] を選択します。
automarnalb などの任意の名前を割り当てます。
スキームはInternet-facingとなります。
[Elastic Container Service] > [タスク定義] > 手順8で作成したタスクを選択します。
このタスク定義から、[デプロイ] > [サービスの作成]をクリックします。
automator の既存のクラスターを選択します。
サービス名にautomatorservice または任意の名前を割り当てます。
必要なタスクの数については、とりあえず1に設定します。設定が完了後に実行したいタスクの数を増やせます。
数分後にサービスが起動します。
DNS名がRoute53によってホストおよび管理されていると仮定します。
Route53 > レコードの作成 または編集に移動します。
トラフィックを[アプリケーションおよびクラシックロードバランサーへのエイリアス] にルーティングします。
次の手順では、タスクを1件だけ実行した状態でKeeperコマンダーを使用してオートメーターを設定します。
14. Keeperコマンダーのインストール
この時点ではサービスは実行されていますが、まだKeeperと通信できない状態です。
ご利用のワークステーション、サーバー、コンピューターのどれかにKeeperコマンダーCLIをインストールします。初期設定にのみ使用します。バイナリインストーラーを含むインストール手順についてはkeeper shellと入力してセッションを開いてからloginコマンドを使用してログインします。オートメーターをセットアップするには、Keeper管理者またはSSOノードを管理する権限を持つ管理者としてログインする必要があります。
15. コマンダーでの初期設定
automator createで始まる一連のコマンドを使用してオートメーターを有効にします。
ノード名 (この場合はAzure Cloud) は、以下のように管理コンソールUIから取得します。
コマンドの出力には、IDプロバイダからのメタデータを含むオートメーター設定が表示されます。
以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます (team、 team_for_user、device)。
次にキーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。
新しい設定でオートメーターを初期化します。
サービスを有効にします。
この時点で設定は完了となります。
自動ヘルスチェックには以下のURLをご使用になれます。
https://<server>/health
以下はcurlコマンドを使用した例です。
本セットアップ例では、ロードバランサーがターゲットインスタンスにヘルスチェックを転送します。
Keeperオートメーターが1件のタスクを実行した状態でデプロイされましたので、エンドユーザーの体験をテストできます。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。
承認が機能しましたので、実行するタスクの数を増やせます。
ECS画面からオートメーターサービスを開き、[サービスの更新]をクリックします。次に、実行するタスクの数を設定します。
オートメーターログは、ECSサービスの[ログ]タブまたはCloudWatchで検索およびモニターできます。
ロールIDのXXXをAWSロールに固有のものに変更します。
2箇所のeu-west-1値を、ECSサービスの地域に変更します。
[ヘルス チェック] で、ヘルスチェックプロトコルとして[HTTPS] を選択します。
ヘルスチェックのパスとして/health
まだターゲットを選択せずに[ターゲットグループの作成] をクリックします。
[ネットワークマッピング]の箇所で、ECSサービスをホストするVPCとサブネットを選択します。
セキュリティグループで、手順4で作成したMyAutomatorService を選択します。
[リスナーとルーティング]の箇所でHTTPSポート443を選択し、ターゲットグループで前の手順で作成したターゲットグループ (automatortargetgroup ) を選択します。
[セキュアリスナー設定]で、手順9でAWS Certificate ManagerにアップロードしたACMからのSSL証明書を選択します。
[ネットワーク]でVPCとサブネットを選択し、既存のセキュリティグループを手順4で作成した ECSセキュリティグループに置き換えます。この場合はMyAutomatorService となります。
[ロードバランシング]で、ロード バランサーの種類として[Application Load Balancer] を選択します。
既存の ロードバランサーを使用し、手順11で作成したautomatralb を選択します。
既存の リスナーを使用し、443:HTTPSリスナーを選択します。
既存の ターゲットグループを使用し、手順10のターゲットグループを選択します。
AWS地域を選択します。
automaticalb アプリケーションロードバランサーを選択します。
コピー ssl_mode=certificate
ssl_certificate_file=/config/ssl-certificate.pfx
ssl_certificate_file_password=
ssl_certificate_key_password=
automator_host=localhost
automator_port=443
disable_sni_check=true
persist_state=true
コピー {
"family": "automator",
"containerDefinitions": [
{
"name": "init",
"image": "keeper/keeper-secrets-manager-writer:latest",
"cpu": 1024,
"memory": 1024,
"portMappings": [],
"essential": false,
"environment": [
{
"name": "KSM_CONFIG",
"value": "XXXCONFIGXXX"
},
{
"name": "SECRETS",
"value": "XXXXX/file/ssl-certificate.pfx > file:/usr/mybin/config/ssl-certificate.pfx\nXXXXX/file/ssl-certificate-password.txt > file:/usr/mybin/config/ssl-certificate-password.txt\nXXXXX/file/keeper.properties > file:/usr/mybin/settings/keeper.properties"
}
],
"mountPoints": [
{
"sourceVolume": "automatorconfig",
"containerPath": "/usr/mybin/config"
},
{
"sourceVolume": "automatorsettings",
"containerPath": "/usr/mybin/settings"
}
],
"volumesFrom": [],
"logConfiguration": {
"logDriver": "awslogs",
"options": {
"awslogs-group": "automator-logs",
"awslogs-region": "eu-west-1",
"awslogs-stream-prefix": "container-1"
}
}
},
{
"name": "main",
"image": "keeper/automator:latest",
"cpu": 1024,
"memory": 4096,
"portMappings": [
{
"containerPort": 443,
"hostPort": 443,
"protocol": "tcp"
}
],
"essential": true,
"environment": [],
"mountPoints": [
{
"sourceVolume": "automatorconfig",
"containerPath": "/usr/mybin/config"
},
{
"sourceVolume": "automatorsettings",
"containerPath": "/usr/mybin/settings"
}
],
"volumesFrom": [],
"dependsOn": [
{
"containerName": "init",
"condition": "SUCCESS"
}
],
"logConfiguration": {
"logDriver": "awslogs",
"options": {
"awslogs-group": "automator-logs",
"awslogs-region": "eu-west-1",
"awslogs-stream-prefix": "container-2"
}
}
}
],
"executionRoleArn": "arn:aws:iam::XXX:role/ECSTaskWritetoLogs",
"networkMode": "awsvpc",
"volumes": [
{
"name": "automatorconfig",
"efsVolumeConfiguration": {
"fileSystemId": "fs-XXX",
"rootDirectory": "/",
"transitEncryption": "ENABLED"
}
},
{
"name": "automatorsettings",
"efsVolumeConfiguration": {
"fileSystemId": "fs-XXX",
"rootDirectory": "/",
"transitEncryption": "ENABLED"
}
}
],
"requiresCompatibilities": [
"FARGATE"
],
"cpu": "2048",
"memory": "5120"
}
コピー openssl pkcs12 -in ssl-certificate.pfx -out automator-certificate.pem -nodes
openssl x509 -in automator-certificate.pem -out certificate_body.crt
コピー openssl pkey -in automator-certificate.pem -out private_key.key
コピー openssl crl2pkcs7 -nocrl -certfile automator-certificate.pem | openssl pkcs7 -print_certs -out certificate_chain.crt
コピー cat certificate_body.crt | pbcopy
(証明書本体の箇所へ貼り付け)
cat private_key.key | pbcopy
(証明書秘密キーの箇所へ貼り付け)
cat certificate_chain.crt | pbcopy
(証明書チェーンの箇所へ貼り付け)
コピー My Vault> automator create --name="My Automator" --node="Azure Cloud"
コピー Automator ID: 1477468749950
Name: My Automator
URL:
Enabled: No
Initialized: No
Skills: Device Approval
コピー automator edit --url https://<application URL> --skill=team --skill=team_for_user --skill=device "My Automator"
コピー automator setup "My Automator"
コピー automator init "My Automator"
コピー automator enable "My Automator"
コピー $ curl https://automator.lurey.com/health
OK 
