Keeperブリッジドメインフィルターの設定
管理者はさまざまなフィルターを使用して特定のActive Directoryオブジェクトをノード、ロール、チーム、ユーザーにマッピングした上で、Keeper管理コンソールで管理できます。そのため、それぞれのフィルターの機能と適用方法を理解することが重要となります。
各ドメインでは最上位ノードを設定でき、最上位ノードはフィルター適用の起点 (ルートオブジェクト) として機能します。有効な各ドメインに対して、ノードフィルター、ロールフィルター、チームフィルター、ユーザーフィルターを設定できます。これらのフィルターを使用して、Keeper管理コンソールにエクスポートされるオブジェクトを定義します。
サーバーの移動や変更に備えて、ドメインフィルターをバックアップしておきましょう。Keeperボルトに保存するかテキストファイルとして保存しておくと、必要な際に参照できます。
最上位ノードは、Active Directory のドメインツリー内の任意のポイントに指定できるDN (識別名) パスです。このDNパスは、さまざまなフィルターを適用するための出発点として機能します。DNパスはKeeper管理コンソール内で組織のルートとなり、管理者はツリーのどの部分をエクスポートするかを定義できます。ドメインツリー全体をエクスポートする場合は、最上位ノードを未設定のままにしておく必要があります。
ノードは、Keeper管理コンソール内のツリー構造を定義します。これにより、ロール、チーム、ユーザーを管理する際に、使い慣れた組織構造で利用できます。デフォルトのフィルターはすべてのドメインに対して定義されており、ドメインコントローラーOUを除くすべての組織単位 (OU) をマッピングします。標準のLDAPフィルター構文を使用すると、OUのマッピングを縮小したり、必要に応じてコンテナなどの追加オブジェクトをマッピングしたりできます。
ロールを使用すると、ロールにグループ化されたユーザーに対する強制適用ポリシーを定義できます。ロールの数が多いと、少ない場合よりもメンテナンスが複雑になるため、ポリシーを適用し管理するためにどのくらいロールが必要となるのかを事前に計画しておく必要があります。このため、デフォルトのロールフィルターは空白のままになっています。
デフォルトでは、すべてのユーザーがアカウントを作成する際にデフォルトロールにマッピングされます。このデフォルトのロールは管理コンソールに表示されますが、ADの一部ではありません。
特定のセキュリティグループに基づいて追加のロールを定義する場合は、「フィルターの例」のセクションをご参照ください。ロールフィルターを定義すると、ノードフィルターによってマッピングされたノード内に存在するオブジェクトのみが返されます。
ユーザーのオンボーディングを設定する前に、ユーザーロールを設定しておきましょう。ブリッジでロールが利用可能となった後は、Keeper管理者がロールの強制適用ポリシーを設定する必要があります。
Keeperブリッジの主な機能は、Keeperアカウントに参加するための招待を送信することでユーザーをオンボーディングすることです。デフォルトのフィルターは、ノードフィルターによってマッピングされたノードに存在するすべてのユーザーオブジェクトを返します。ブリッジは、ロールとチームのメンバーシップステータスを維持した状態でユーザーをエクスポートします。また、ユーザーアカウントがADで無効になっている場合、ユーザーのアカウントがロックされます。アクティブユーザーがロールフィルターから削除されると、そのユーザーアカウントはロックされ、Keeper管理者による削除を待つ状態になります。
チームを使用すると、Keeperボルト内のフォルダをグループで共有できます。デフォルトでは、チームフィルターは、ノードフィルターによってマッピングされたノードに存在するチームにすべてのセキュリティグループをマッピングします。チームが管理コンソールにエクスポートされると、Active Directoryのノードツリー内のホームロケーションに分配されることはありません。すべてのチームは、ブリッジが作成されたブリッジノードに分配されます。これにより、すべてのチームが互いに共有の範囲内に保たれます。チームはその後、管理コンソールで手動で分配され、特定のチーム間でのみ共有を許可することができます。
ほとんどの組織に対応できるデフォルトフィルターが用意されています。基本的な実装では、ロールフィルターのみを調整する必要があります。ノードフィルターは組織単位をノードにマッピングするので、Keeper管理コンソールでは使い慣れたツリー構造を使用できます。
デフォルトのロールフィルターは空白となっています。ユーザーの強制適用ポリシーを管理するには、ユーザーをロールにグループ化する必要があります。各ロールはKeeper管理コンソールで作成し、特定のユーザーロールに対して強制適用ポリシーを設定します。Active Directory内の一部のセキュリティグループを、Keeperの組織に参加するユーザーから成るロールとしてマッピングしましょう。またメンテナンス上の理由から、一部のグループのみをこの目的で使用することをお勧めします。マッピングするロールの数が多いと、Keeper管理者側での設定が増えて複雑になります。ロールの追加方法の例については、カスタムフィルターをご参照ください。
デフォルトのチームフィルターでは、すべてのセキュリティグループがチームにマッピングされます。これにより、組織のすべてのメンバーがチーム間でレコードを共有できるようになります。objectClassは、AND演算子である&を使用してグループタイプオブジェクトを指定し、OR演算子である | を使用して、ローカル、グローバル、ユニバーサルのいずれかのグループタイプを指定します。
デフォルトのユーザーフィルターでは、すべてのユーザーオブジェクトがマッピングされます。ただしActive Directoryでは、ドメインコントローラーなどの一部のオブジェクトも、objectClassがUserとなるものがあります。ユーザーオブジェクトのみを取得するにはAND演算子である&を使用して、追加のパラメーターとしてobjectCategoryがPersonであることを指定します。
各フィルターはデフォルト設定されており、ほとんどの組織がドメイン構造を簡単にエクスポートし、オブジェクトをノード、ロール、チーム、ユーザーにマッピングできるようになっていますが、特定のニーズに応じてフィルターのカスタマイズが必要な場合があります。もし組織単位 (OU) がノードにマッピングされていないと、そのOU内のすべてのオブジェクトはエクスポートされません。これは、オブジェクトタイプを特定するフィルタがオブジェクトをマッピングしていても同様です。
以下の例では、「Office Users」と「Home Users」という組織単位 (OU) を除くすべてのOUをノードとしてマッピングします。「Office Users」と「Home Users」というOUとその中のすべてのオブジェクトはマッピングされません。それは他のフィルター (ロール、チーム、ユーザー) でこれらのOU内のオブジェクトが対象となっている場合でも同様です。
以下は、特定の組織単位(OU)のみをノードとしてマッピングする例です。この例では、「Office Users」と「Home Users」だけがノードとしてマッピングされます。特定のノードを含める際には、OR(|)演算子を使ってグルーピングする必要があります。以下の例では、「Home Users」と「Office Users」のOU、およびそれらの中に含まれるオブジェクトが、他のフィルター (ロール、チーム、ユーザー) の対象である場合にエクスポートされます。
ノードフィルタリングでは、組織単位 (OU) がエクスポートされない場合、そのOU内のオブジェクトが他のフィルター (ロール、チーム、ユーザー) の対象であっても、それらのオブジェクトはエクスポートされない点が重要となります。つまり、OU自体がマッピングされていない限り、そのOUに含まれるオブジェクトはエクスポートの対象になりません。