このページのみ全てのページ
GitBook提供
1 / 14

Keeperブリッジ

Keeperブリッジについて

オンプレミスADからKeeperクラウドへの自動プロビジョニング

Keeperブリッジは、Keeperパスワード管理ソフトウェアをMicrosoft Active DirectoryやOpenLDAPを使用したシステムに統合するために使用します。これにより、ユーザーのライフサイクルを自動的に管理し、任意の数のノード(組織単位)、ユーザー、ロール、チームをKeeperと同期させることができます。

Keeperブリッジは、LDAPおよびLDAPSを使用してLDAPベースのディレクトリサービスと通信し、Keeperプラットフォームへのユーザーのオンボーディングとオフボーディングを行います。

Keeperブリッジの最新バージョンは、Keeper管理コンソールまたは以下のリンクからダウンロードできます。

概要

Keeperブリッジの概要

Keeperブリッジは、クライアントアプリケーションとWindowsサービスで構成されています。

クライアントアプリケーションでは、ディレクトリサービスに固有の設定を構成できます。また、サービスコントローラーとしても機能し、LDAPフィルタ設定を調整して、サービスに変更を反映させることが可能です。

Windowsサービスは、ノード、ロール、チーム、ユーザーのディレクトリツリーをポーリングし、これらの要素をKeeper管理コンソールと同期させます。これにより、ユーザー、ロール、チームの管理が簡素化され、ユーザーへの招待が自動で行われます。ポーリング間隔は5分から1440分の範囲で設定可能です。

クライアントアプリケーションは、複数のシステムにインストールすることで複数の管理者が使用できますが、サービスはKeeperブリッジインスタンスごとに、 1 つのホストシステムにインストールする必要があります。すべてのクライアントアプリケーションは、1つのサービスインスタンスに接続します。

以下は、ディレクトリ用のブリッジアーキテクチャ図です。

Keeperブリッジアーキテクチャ

要件

Keeperブリッジの要件

トレイアプリケーションとWindowsサービスは、以下のオペレーティングシステムにインストールできます。

  1. Windows Server 2022

  2. Windows Server 2025

Active Directoryサーバーの場合、Keeperブリッジアプリケーションをドメインに参加しているメンバーサーバーにインストールする必要があります。このサーバーは、Active Directoryを管理しているドメインコントローラーと同じネットワーク上に配置してください。ドメインコントローラーへのインストールは、Keeperブリッジアプリケーションではサポートされていません。ブリッジを適切に統合するには、ドメインの機能レベルがWindows 2008 R2以上である必要があります。

トレイアプリケーションを構成するには、以下の情報が必要となります。

  1. ディレクトリのドメインまたはフォレスト名

  2. Keeperブリッジをディレクトリにバインドするためのアカウント。ディレクトリドメインへの読み取り専用アクセスが出来るディレクトリアカウントであれば、その他の特別な権限は必要ありません。

  3. Keeper Adminsという名前のセキュリティグループ このグループのメンバーのみが、トレイアプリケーションにログインしてサービスを設定することができます。グループ名は変更できますが、Keeper Admin Security設定の「Admin Security Groupの設定」も後でそれに応じて変更する必要があります。 複数のドメインが存在するフォレストの場合は、このグループをユニバーサルグループとして作成することで、メンバーがグローバルカタログにキャッシュされるようにします。

  4. ディレクトリサービスオプションのメールプロパティ (通常は「mail」や「userPrincipalName」) が正しく設定されていることを確かにします。この設定はユーザーのメールアドレスを取得するために重要となります。

  5. Keeperブリッジは、ポート389または636を使用してディレクトリにアクセスし、ポート443を使用してKeeperクラウドにアクセスします。Keeperクラウドのドメインは、データセンターの場所に応じて、keepersecurity.comまたはkeepersecurity.euにアクセスします。

複数の管理者が個々のアカウントでブリッジを実行する場合に権限の問題が発生する可能性があります。この問題を軽減するには、Keeperサービスアカウントを使用します。KeeperサービスアカウントとはKeeper Administratorの権限が付与されたアカウントとなります。

管理コンソールでブリッジを設定

管理コンソールの設定

  1. サーバーに実行ファイルをインストールする前に、管理コンソールでKeeperブリッジ登録の準備を行います。ブリッジは、組織ツリー構造の最上位レベルであるルートノードには登録できないため、サブノードを作成する必要があります。 Keeperクラウドへの認証にはKeeperブリッジサービスアカウントが必要となります。この機能を実行するには、管理コンソールで専用のKeeper管理者アカウントを設定します。このアカウントには、ブリッジノードへの管理アクセス権と、ノード、ユーザー、ロール、チーム、ブリッジ/SSOオブジェクトを管理するための最低限の権限が必要です。また、「権限を下位ノードに適応」を有効にしてください。

    アカウントの設定を完了し、正常に動作することを確認するには、ブリッジがホストされているサーバーから、その新しいブリッジサービスアカウントを使用して管理コンソールにログインします。

    1. 二要素認証コードの有効期間: 「このデバイスでは再度表示しない」を選択してください。

    2. セッション維持の設定: 右上のアカウントメールアドレスから[設定] > [セキュリティ]に移動し、「ログイン状態を維持」を有効にします。

    3. 動作確認: ログアウトしてからログインし直し、ブラウザをリロードして、パスワードや二要素認証コードを入力せずににログインできることを確認します。

    これで、ブリッジ管理者アカウントの設定が正常に完了しました。

  2. ルートノードの下に新しいノードを作成するには、3つの点をクリックし、[+ ノードを追加]ボタンをクリックします。

  3. ノードの名前を入力し、[ノードを追加]をクリックします。

  1. 上記の手順3で作成したノードを選択します。

  2. [プロビジョニング]タブを選択し、[メソッドを追加]ボタンをクリックします。

  1. [Active DirectoryかLDAP同期]を選択し、[次へ]をクリックします。

  1. 「LAN IPアドレス」および「WAN IPアドレス」の各フィールドは空白のままにします。ブリッジの登録プロセス中に自動的に管理コンソールにリンクされます。[次へ]ボタンを選択します。

  1. Keeperブリッジの実行ファイルが[プロビジョニング]タブに表示され、ダウンロード可能になりました。ブリッジをインストールするコンピュータに配置してください。

Active Directoryサーバーの場合、Keeperブリッジアプリケーションをドメインに参加しているメンバーサーバーにインストールする必要があります。このサーバーは、Active Directoryを管理しているドメインコントローラーと同じネットワーク上に配置してください。ドメインコントローラーへのインストールは、Keeperブリッジアプリケーションではサポートされていません。

Keeperブリッジのサーバーへのインストール

Keeperブリッジのインストール

まず、こちらのウェブサイトから最新のKeeperブリッジをダウンロードします。

  1. サーバー上でzipファイルを解凍してからKeeperEnterpriseBridge.msiファイルをダブルクリックします。

  2. 必要に応じてユーザーアカウント制御ポップアップウィンドウを進みます。

  3. 初期画面で[次へ]をクリックします。

  4. エンドユーザー使用許諾契約画面で「I accept the agreement」 (同意する) を選択し、[次へ]をクリックします。

  5. インストール先を指定して[次へ]をクリックします。

  6. インストールの準備完了画面で[インストール]をクリックします。

  7. [完了]を選択し、インストールを完了します。

Keeperブリッジクライアントは複数のパソコンにインストールできますが、Keeperブリッジサービスはインスタンスごとに1つのサーバーにのみインストールする必要があります。

ブリッジクライアントへの認証

Keeperブリッジクライアントインターフェースへログインしてアクセス

  1. ブリッジクライアントを起動します。

ドメインコントローラに接続されているWindows環境では、KeeperブリッジはデフォルトでActive Directory認証を使用しますが、それ以外の場合は一般的なLDAP認証を使用します。

  1. ブリッジアプリケーションにログインします。

  • ドメイン\ユーザー名: ドメインと、事前に作成しておいたKeeper AdminsグループのメンバーのAD\LDAPユーザー名を入力します。

  • パスワード: ユーザーのパスワードを入力します。

  • グローバルカタログの使用: マルチドメインフォレスト構成の場合は、Use Global Catalog (グローバルカタログの使用) オプションのチェックを外します。それ以外の場合はチェックしたままにして、グローバルカタログでユーザー名を検索します。

  • SSL: LDAP認証にセキュアソケットレイヤー (SSLポート636) を使用する場合は、SSLボックスにチェックを入れます。そうでない場合は標準のLDAP認証 (ポート389) を使用するため、チェックボックスにチェックを入れないようにします。

  • 設定: クライアントがサービスとは別のコンピューターで実行している場合は、[設定]を選択して、Keeperブリッジサービスのホスト名とポートを指定します。(アプリがサービスに接続されている間は、[設定]ボタンはグレー表示されます。設定にアクセスするには、サービスを停止します)。

  1. [ログイン]を選択します。ログイン失敗のメッセージが表示される場合は、以下をご確認ください。

    • ユーザー名やパスワードが正しくない。

    • ユーザーがKeeper Adminsセキュリティグループのメンバーではない。

    • サーバーはSSLをサポートしていないのに、SSLボックスにチェックが入っている。

    • ユーザー名がグローバルカタログに見つからない。マルチドメインフォレスト構成で、Keeper Adminsグループがグローバルセキュリティグループである場合は、Use Global Catalog (グローバルカタログの使用) オプションのチェックを外すか、Keeper Adminsグループをユニバーサルセキュリティグループにすることで解消されます。マルチドメインフォレストでは、ユニバーサルグループのユーザーのみがグローバルカタログに追加されます。

ブリッジ接続の設定

Keeperブリッジ接続の設定

ブリッジにログインすると、メインクライアントアプリケーションが起動します。

設定手順

  • AD接続を設定します

設定オプション

Keeperブリッジの設定オプション

ブリッジクライアントの[Configuration] (設定) タブに移動します。

Publish Interval (同期の間隔)

ブリッジサービスの実行間隔を設定します。最短で5分ごとに、最長で1日 (1440分) に設定できます。デフォルトの実行間隔は60分となります。

Debug Logging (デバッグログ)

ブリッジログに追加のデバッグログを追加します。問題が発生してKeeperサポートへ情報を提供する際に役立ちます。

Delete Override (削除の上書き)

指定されたLDAPフィルタに含まれていないユーザーやチームをブリッジで削除できるようにするフラグです。デフォルトでは、Keeperでユーザーやチームが誤って削除されないよう無効になっています。

Admin Security Group (管理者セキュリティグループ)

ユーザーがKeeperブリッジにログインするためにメンバーになる必要があるグループです。デフォルトでは、「Keeper Admins」に設定されていますが、初回ログイン後に変更できます。

Always Use Global Catalog (常にグローバルカタログを使用)

常にフォレスト内のグローバルカタログを照会します。Active Directoryにのみ適用されます。

Email Property (メールプロパティ)

LDAP/ADクエリを設定する前に、所属する組織の形式に応じてメールプロパティが正しく設定されていることを確かにしてください。これにより、Keeperで使用するメールアドレスが組織のメールアドレスと一致するようになります。デフォルトでは、プロパティは「userPrincipalName」に設定されていますが、そのアドレスがユーザーの実際のメールアドレスと異なる場合は、「mail」属性を選択することで、ユーザーのプロフィールに記載されているメールアドレスが使用できます。

Saving Changes (変更の保存)

Keeperサービスとディレクトリサービスの接続ステータスがオンラインになった後、Keeper管理コンソールにエクスポートされるドメインを設定します。[LDAP/AD]タブを選択し、「Export Forest」 (フォレストのエクスポート) オプションを選択するか、個々のドメインを選択します。

この画面で変更を加えると、画面の右下隅に「Publish Required」 (同期が必要)と表示されます。本ページのすべての手順を完了し、「Options」 (オプション) 画面で正しく設定されていることを確認してから、変更を同期してください。

フォレストのエクスポート

Active Directory展開でのフォレストのエクスポートオプション

Export Forest (フォレストのエクスポート) オプションを使用する場合

LDAP接続設定で定義されたユーザーがメンバーであるすべてのドメインが含まれます。フォレストのエクスポートを選択すると、ルートフォレストドメインが自動的に選択され、そのドメインが有効になります。その他のドメインはすべて表示されません。Export Forest (フォレストのエクスポート) を選択すると、すべてのドメインオブジェクトのクエリはグローバルカタログを使用して実行されます。このオプションを使用する場合、Top Level Node (最上位ノード) は編集できません。

個別ドメインのエクスポートを選択する場合

ドメインのボックスにチェックを入れると、そのドメインがエクスポート対象として有効になり、そのドメインの最上位ノードとフィルターが編集できるようになります。ドメインが表示された箇所を選択すると、そのドメインの最上位ノードとフィルターが表示されます。

最上位ノード

最上位ノードのフィルターは、そのパスから下のすべてのオブジェクトをフィルタリングするためのDN (識別名) パスです。以下はその例です。

管理者は、この最上位ノードを使用して初期展開を行い、設定をテストできます。また、展開の範囲を少数のユーザーに制限することもできます。

ドメインフィルター

Keeperブリッジドメインフィルターの設定

管理者はさまざまなフィルターを使用して特定のActive Directoryオブジェクトをノード、ロール、チーム、ユーザーにマッピングした上で、Keeper管理コンソールで管理できます。そのため、それぞれのフィルターの機能と適用方法を理解することが重要となります。

各ドメインでは最上位ノードを設定でき、最上位ノードはフィルター適用の起点 (ルートオブジェクト) として機能します。有効な各ドメインに対して、ノードフィルター、ロールフィルター、チームフィルター、ユーザーフィルターを設定できます。これらのフィルターを使用して、Keeper管理コンソールにエクスポートされるオブジェクトを定義します。

サーバーの移動や変更に備えて、ドメインフィルターをバックアップしておきましょう。Keeperボルトに保存するかテキストファイルとして保存しておくと、必要な際に参照できます。

最上位ノード

最上位ノードは、Active Directory のドメインツリー内の任意のポイントに指定できるDN (識別名) パスです。このDNパスは、さまざまなフィルターを適用するための出発点として機能します。DNパスはKeeper管理コンソール内で組織のルートとなり、管理者はツリーのどの部分をエクスポートするかを定義できます。ドメインツリー全体をエクスポートする場合は、最上位ノードを未設定のままにしておく必要があります。

ドメインフィルター (ノード)

ノードは、Keeper管理コンソール内のツリー構造を定義します。これにより、ロール、チーム、ユーザーを管理する際に、使い慣れた組織構造で利用できます。デフォルトのフィルターはすべてのドメインに対して定義されており、ドメインコントローラーOUを除くすべての組織単位 (OU) をマッピングします。標準のLDAPフィルター構文を使用すると、OUのマッピングを縮小したり、必要に応じてコンテナなどの追加オブジェクトをマッピングしたりできます。

ドメインフィルター (ロール)

  • ロールを使用すると、ロールにグループ化されたユーザーに対する強制適用ポリシーを定義できます。ロールの数が多いと、少ない場合よりもメンテナンスが複雑になるため、ポリシーを適用し管理するためにどのくらいロールが必要となるのかを事前に計画しておく必要があります。このため、デフォルトのロールフィルターは空白のままになっています。

  • デフォルトでは、すべてのユーザーがアカウントを作成する際にデフォルトロールにマッピングされます。このデフォルトのロールは管理コンソールに表示されますが、ADの一部ではありません。

  • 特定のセキュリティグループに基づいて追加のロールを定義する場合は、「フィルターの例」のセクションをご参照ください。ロールフィルターを定義すると、ノードフィルターによってマッピングされたノード内に存在するオブジェクトのみが返されます。

ユーザーのオンボーディングを設定する前に、ユーザーロールを設定しておきましょう。ブリッジでロールが利用可能となった後は、Keeper管理者がロールの強制適用ポリシーを設定する必要があります。

ドメインフィルター (ユーザー)

Keeperブリッジの主な機能は、Keeperアカウントに参加するための招待を送信することでユーザーをオンボーディングすることです。デフォルトのフィルターは、ノードフィルターによってマッピングされたノードに存在するすべてのユーザーオブジェクトを返します。ブリッジは、ロールとチームのメンバーシップステータスを維持した状態でユーザーをエクスポートします。また、ユーザーアカウントがADで無効になっている場合、ユーザーのアカウントがロックされます。アクティブユーザーがロールフィルターから削除されると、そのユーザーアカウントはロックされ、Keeper管理者による削除を待つ状態になります。

ドメインフィルター (チーム)

チームを使用すると、Keeperボルト内のフォルダをグループで共有できます。デフォルトでは、チームフィルターは、ノードフィルターによってマッピングされたノードに存在するチームにすべてのセキュリティグループをマッピングします。チームが管理コンソールにエクスポートされると、Active Directoryのノードツリー内のホームロケーションに分配されることはありません。すべてのチームは、ブリッジが作成されたブリッジノードに分配されます。これにより、すべてのチームが互いに共有の範囲内に保たれます。チームはその後、管理コンソールで手動で分配され、特定のチーム間でのみ共有を許可することができます。

デフォルトフィルター

ほとんどの組織に対応できるデフォルトフィルターが用意されています。基本的な実装では、ロールフィルターのみを調整する必要があります。ノードフィルターは組織単位をノードにマッピングするので、Keeper管理コンソールでは使い慣れたツリー構造を使用できます。

デフォルトロールフィルター

デフォルトのロールフィルターは空白となっています。ユーザーの強制適用ポリシーを管理するには、ユーザーをロールにグループ化する必要があります。各ロールはKeeper管理コンソールで作成し、特定のユーザーロールに対して強制適用ポリシーを設定します。Active Directory内の一部のセキュリティグループを、Keeperの組織に参加するユーザーから成るロールとしてマッピングしましょう。またメンテナンス上の理由から、一部のグループのみをこの目的で使用することをお勧めします。マッピングするロールの数が多いと、Keeper管理者側での設定が増えて複雑になります。ロールの追加方法の例については、カスタムフィルターをご参照ください。

デフォルトチームフィルター

デフォルトのチームフィルターでは、すべてのセキュリティグループがチームにマッピングされます。これにより、組織のすべてのメンバーがチーム間でレコードを共有できるようになります。objectClassは、AND演算子である&を使用してグループタイプオブジェクトを指定し、OR演算子である | を使用して、ローカル、グローバル、ユニバーサルのいずれかのグループタイプを指定します。

(&
    (objectclass=group)
    (|
            (grouptype=-2147483640)
            (grouptype=-2147483644)
            (grouptype=-2147483646)
    )
)

デフォルトユーザーフィルター

デフォルトのユーザーフィルターでは、すべてのユーザーオブジェクトがマッピングされます。ただしActive Directoryでは、ドメインコントローラーなどの一部のオブジェクトも、objectClassがUserとなるものがあります。ユーザーオブジェクトのみを取得するにはAND演算子である&を使用して、追加のパラメーターとしてobjectCategoryがPersonであることを指定します。

(&
    (objectclass=user)
    (objectCategory=Person)
)

カスタムフィルター (例)

各フィルターはデフォルト設定されており、ほとんどの組織がドメイン構造を簡単にエクスポートし、オブジェクトをノード、ロール、チーム、ユーザーにマッピングできるようになっていますが、特定のニーズに応じてフィルターのカスタマイズが必要な場合があります。もし組織単位 (OU) がノードにマッピングされていないと、そのOU内のすべてのオブジェクトはエクスポートされません。これは、オブジェクトタイプを特定するフィルタがオブジェクトをマッピングしていても同様です。

カスタムノードフィルター

以下の例では、「Office Users」「Home Users」という組織単位 (OU) を除くすべてのOUをノードとしてマッピングします。「Office Users」「Home Users」というOUとその中のすべてのオブジェクトはマッピングされません。それは他のフィルター (ロール、チーム、ユーザー) でこれらのOU内のオブジェクトが対象となっている場合でも同様です。

(&
    (objectclass=organizationalunit)
    (!name=Domain Controllers)
    (!ou=Office Users)
    (!ou=Home Users)
)

以下は、特定の組織単位(OU)のみをノードとしてマッピングする例です。この例では、「Office Users」「Home Users」だけがノードとしてマッピングされます。特定のノードを含める際には、OR(|)演算子を使ってグルーピングする必要があります。以下の例では、「Home Users」「Office Users」のOU、およびそれらの中に含まれるオブジェクトが、他のフィルター (ロール、チーム、ユーザー) の対象である場合にエクスポートされます。

(&
    (objectclass=organizationalunit)
    (!name=Domain Controllers)
    (|
         (ou=Office Users)
         (ou=Home Users)
    )
)

ノードフィルタリングでは、組織単位 (OU) がエクスポートされない場合、そのOU内のオブジェクトが他のフィルター (ロール、チーム、ユーザー) の対象であっても、それらのオブジェクトはエクスポートされない点が重要となります。つまり、OU自体がマッピングされていない限り、そのOUに含まれるオブジェクトはエクスポートの対象になりません。

カスタムLDAPフィルター

KeeperブリッジカスタムLDAPフィルター

ブリッジでは標準のLDAPクエリ言語がご使用になれます。構文については、こちらのページをご参照ください。

カスタムノード

ノードフィルターを使用すると、どのOU (組織単位) を検出したり除外したりするかを定義できます。LDAPクエリによって、オブジェクトが属するOUがドメインツリー内で検出される場合のみ、ノードフィルター内にオブジェクト (OU、セキュリティグループ、ユーザー) が検出されます。

Domain Controllers (デフォルト設定)、Finance、Marketingを除くすべてのOUを Keeper管理コンソールでノードとして構成する場合、LDAPクエリは以下のようになります。

(&    
  (objectclass=orgnaizationalunit)        
  (!name=Domain Contollers)
  (!name=Finance)
  (!name=Marketing)   
)

この例では、FinanceまたはMarketingのOU内にユーザー、セキュリティグループ、その他のOUが存在する場合でも、クエリでは検出できませんのでご留意ください。

コンテナとOU

LDAPクエリ文を構成する際のもう 1 つの重要な要素として、組織によっては目標を達成するためにOUにユーザーを配置しない場合があります。その場合、ユーザーはコンテナ (通常は「ユーザーコンテナ」と呼ばれます) に配置されます。Microsoftではこれをベストプラクティスとして推奨していませんが、このように構成されている組織が多く存在します。このような場合、組織はコンテナをOUに変換することを検討するべきですが、それが難しい場合は、ノードフィルターにOUではなくコンテナを検出するための文を含める必要があります。

以下の例では、フィルターは「WestCoast」というOUと「Users」というコンテナの両方を検出するように設定されています。

(&
    (|
       (objectclass=organizationalunit)
       (objectclass=container)
       (!name=Domain Contollers)
    )
    (|
       (name=WestCoast)
       (cn=Users)
    )
)

ユーザーフィルターをコンテナと併せて構成する際には、ユーザーを検出するために追加の文を加える必要がある場合があります。その理由としては、Active Directoryでユーザーを作成すると、デフォルトではユーザーが「Domain Users」というグループに作成されるためです。このグループがユーザーの「デフォルトプライマリグループ」となります。プライマリグループは「memberOf」属性には存在せず、「primaryGroupID」属性に存在します。primaryGroupIDは識別名ではなく、プライマリグループの相対識別子 (RID) に過ぎません。このため、ユーザーを含むグループを使用して「memberOf」プロパティを検索してもユーザーは検出されません。したがって、以下の例のように、「User」フィルターにLDAPクエリ文を追加することが必要となる場合があります。

(&
   (objectCategory=person)
   (objectClass=user)
   (primaryGroupID=513)
)

カスタムロール

Keeper組織内のユーザーに強制適用ポリシーを適用するには、ロールが必要となります。デフォルトではフィルターは空白となっています。Active Directoryのグループ名は組織固有のものであるため、デフォルトのフィルターはありません。そのため、Active Directory内のどのセキュリティグループをロールとして使用するかを決定する必要があります。 すべてのセキュリティグループをロールとしてマッピングする場合、デフォルトのチームフィルターをコピーするとすべてのグループをロールとして簡単にエクスポートできます。しかし、この方法では、管理者は各グループをロールとチームの両方として管理する必要があります。多くのロールを維持するのは不要であるため、1つまたは少数のロールだけで十分かもしれません。

以下の例では、「Local Admins」「Regional Admins」を除くすべてのセキュリティグループをロールとしてマッピングします。

(&
    (objectclass=group)
    (!CN=Local Admins)
    (!CN=Regional Admins)
    (|
     (grouptype=-2147483640)
        (grouptype=-2147483644)
        (grouptype=-2147483646)
    )
)

特定のセキュリティグループのみをロールとしてマッピングする例は以下の通りです。以下の例では、「Local Admins」と「Regional Admins」をOR (|) 演算子でグループ化しています。

(&
    (objectclass=group)
    (|
        (CN=Keeper Admins)
        (CN=Keeper Users)
    )
    (|
        (grouptype=-2147483640)
        (grouptype=-2147483644)
        (grouptype=-2147483646)
    )
)

ロールのフィルタリングでは、ユーザーが属するグループがエクスポートされない場合でも、ユーザーがエクスポートされる点が重要となります。ただし、そのユーザーはロールには割り当てられません。

カスタムチームフィルター

Keeper組織内でフォルダやレコードを他のユーザーと共有するには、チームが必要となります。デフォルトでは、チームフィルターですべてのセキュリティグループがチームにマッピングされます。ロールフィルターとチームフィルターはセキュリティグループに基づいて動作しますが、一部のグループがロールとチームの両方としてマッピングされることがあります。たとえば、ある組織では「LA管理者」や「LAユーザー」がロールとしてマッピングされながら、すべてのセキュリティグループもチームとしてマッピングされる場合、「LA管理者」と「LAユーザー」はロールでありながらチームとしても扱われます。 ロールはチームとしても機能するため、カスタムフィルタリングのロールの例もご参照ください。

カスタムユーザーフィルター

ユーザーフィルターでは、Active Directory内のユーザーオブジェクトがマッピングされます。ユーザーがロールまたはチームとしてマッピングされたセキュリティグループのメンバーである場合、ブリッジはそのユーザーを招待し、Active Directoryのグループメンバーシップに基づいて、そのユーザーがメンバーであるロールとチームに割り当てます。 以下は、特定のユーザーを除くActive Directory内のすべてのユーザーをマッピングする例となります。User52とUser58はコモンネーム (Common Name) によって除外されます。

(&
    (objectclass=user)
    (objectCategory=Person)
    (!cn=User52)
    (!cn=User58)
)

以下は、Active Directory内の特定のユーザーのみをマッピングする例となります。User52とUser58はコモンネーム (Common Name) によってのみ含まれます。

(&
    (objectclass=user)
    (objectCategory=Person)
    (|
        (cn=User52)
        (cn=User58)
    )
)

以下は、Active Directory内で特定のグループに属するすべてのユーザーをマッピングする例となります。「RDP Users」「Console Users」の各グループのメンバーが含まれます。

(&
    (objectclass=user)
    (objectCategory=Person)
    (|
    (memberOf=CN=RDP Users,OU=Office Users,DC=keeper,DC=local)
    (memberOf=CN=Console Users,OU=Office Users,DC=keeper,DC=local)
    )
)

以下は、Active Directory内で特定のグループに属するユーザーを除くすべてのユーザーをマッピングする例となります。「RDP Users」「Office Admins」の各グループのメンバーは除外されます。

(&
    (objectclass=user)
    (objectCategory=Person)
    (!memberOf=CN=RDP Users,OU=EDH Office Users,DC=keeper,DC=local)
    (!memberOf=CN=Office Admins,OU=EDH Office Users,DC=keeper,DC=local)
)

以下は、Active Directory内で特定のグループに属するユーザーと特定のグループの下にネストされたグループを除くすべてのユーザーをマッピングする例となります。Active Directory OID (:1.2.840.113556.1.4.1941:) を使用しているため、「RDP Users」グループと「Console Users」グループのメンバーに加えてこれら2つのグループのすべてのサブグループのメンバーが含まれます。

(&
    (objectclass=user)
    (objectCategory=Person)
    (|
    (memberOf:1.2.840.113556.1.4.1941:=CN=RDP Users,OU=Office Users,DC=keeper,DC=local)
    (memberOf:1.2.840.113556.1.4.1941:=CN=Console Users,OU=Office Users,DC=keeper,DC=local)
    )
)

特定のOUに属するユーザーのみをマッピングする、または特定のOUに属するユーザーをマッピングしないようにする場合については、ノードフィルターの項目をご参照ください。

フィルター結果のプレビュー

フィルター編集ボックスの上にあるプレビューオプションを使用すると、定義されたフィルターの結果が表示されます。これにより、ノードフィルターによって定義されたツリー構造や、ツリー構造内で他のフィルター (ユーザー、ロール、チーム) によってエクスポートされるオブジェクトが確認できます。

チームは、選択したツリーノードに関係なく常に表示されます。ロールとユーザーは、ツリー内の位置に基づいて表示されます。オブジェクトの合計数もツリー構造の下に表示されます。 ノード、ロール、チーム、ユーザーを選択すると、選択したオブジェクトに関連付けられたActive Directoryプロパティが表示されます。この情報は、オブジェクトのフィルター処理に使用できるプロパティとプロパティ値を決定するのに役立ちます。

変更を有効にする

設定が完了したら、[保存]を選択して現在の設定を保持します。すべての設定が完了したら、[Publish] (更新) ボタンを使用して変更を反映させ、統合を発動します。

フィルターを編集する際には、フィルターが意図したとおりに設定されていることを確認してから編集内容を反映させるようにしてください。

同期中にはブリッジログを表示して、重要なメッセージを確認するようにしてください。

ログ記録

ブリッジのテストおよび設定段階でイベントを監視できるようデバッグロギングのご利用をお勧めします。

[Configuration] (設定) タブの[Service Options] (サービスオプション) で、[Debug Logging] (デバッグログ) の選択ボックスにチェックを入れます。

メインメニューで[Bridge Log] (ブリッジログ) を選択します。

ブリッジログウィンドウが開きます。

[Publish] (同期) を選択してKeeperブリッジのアクティビティを有効化すると、ログ情報が表示され始めます。

ログは.csvファイルにエクスポートできます。

その他のログ記録

アプリケーション内のブリッジログに加えて、すべてのブリッジログは Windowsイベントビューアーで閲覧できます。

管理者ログイン

ブリッジサービスオプションで自動チーム承認が選択されている場合、ページの上部に[Admin Login] (管理者ログイン) のステータスが表示され、[Connections] (接続) ページ下部の[Keeper Connection] (Keeper接続) セクションに管理者の認証情報を提供するためのオプションが表示されます。ブリッジを登録した管理者のみが使用できます。

管理者ログインではユーザー名を変更できません。同じ管理者アカウントですべてのチームを承認することが重要となります。これにより、管理者が承認されたチームの一員で、ユーザーをチームに割り当てる権限が付与されているようにします。

管理者アカウントで二要素認証を有効にすると、ログイン時に二要素認証が必要となります。管理者ログインは、ブリッジサービスによって揮発性メモリに保持され、必要に応じてユーザーをチームに割り当てるために使用されます。

管理者は、Keeperブリッジサービスや、それがインストールされているシステムが再起動されるまでログイン状態が維持されます。再起動後には新たにログインする必要があります。

管理者ログインが完了すると、すべてのステータスインジケーターが緑色で表示されます。

ディレクトリサービスとKeeperクラウドが「オンライン」になると、ブリッジはブリッジ構成タブにある設定済みの公開間隔スケジュールに従って自動的に公開されます。

初回オンボーディング時にユーザーへ招待メールを送信したくない場合は、ブリッジの公開を許可する前に「招待メールを無効にする」のロールポリシーを設定してください。

サポート

Keeperビジネスサポートへのお問い合わせ

Keeperでは、メール、電話、ライブチャットを通じてサポートを提供しています。

ビジネスサポートチームへはhttps://www.keepersecurity.com/support.htmlからお問合せください。