自動化コマンド
Keeperプラットフォーム上で複雑かつ複数ステップにわたる処理を自動化し、管理業務のワークフローを効率化
概要
自動化コマンドは、組織内ユーザーの認証情報プロビジョニングを自動化するための統一された仕組みを提供します。管理者は単一のコマンダーアクションでPAMユーザーの作成、ローテーション設定の適用、Keeperゲートウェイを介した即時パスワード更新、ワンタイム共有リンクによる認証情報の配布を実行できます。この仕組みにより、再現性が高くエラーの起きにくいワークフローが実現し、従業員のオンボーディングを加速するとともに、毎回確実にセキュリティのベストプラクティスを遵守できます。
コマンド
credential-provision
パスワードローテーション、フォルダ整理、ワンタイム共有リンクの生成、セキュアなメール配信を含む、PAMユーザー認証情報の作成をエンドツーエンドで自動化します。
活用事例
新規従業員のオンボーディングをIDプロバイダーの認証情報で自動化
エンドユーザーのパスワードリセット処理を自動化
KeeperPAMリソース向けに、必要に応じて認証情報をローテーションし、安全に配布
詳細
credential-provision コマンドは、複数のコマンダー操作を単一のワークフローに統合します。このコマンドはYAML構成ファイルを入力として受け取り、その内容に基づいて一連の処理を1回のアクションで実行します。
構成ファイルの解析: 指定されたYAML構成ファイルを検証
重複検出: 既存のPAMユーザーを確認し、競合を防止
パスワード生成: 複雑性要件を満たす安全なパスワードを生成
PAMユーザー作成: 指定フォルダにPAMユーザーレコードを作成
ローテーション構成: PAM構成に紐付け、ローテーションスケジュールを設定
即時ローテーション: Keeperゲートウェイ経由でパスワードをオンデマンド更新
共有URLの生成: 受信者向けにワンタイム共有リンクを生成
メール配信: 認証情報を含むウェルカムメールを送信
この自動化により、手動作業が不要となり、セキュリティ設定を確実に適用しながら、一貫性のあるプロビジョニング体験を提供できます。
パラメータ
-config </path/to/file>- プロビジョニング設定を含むYAML構成ファイルのパス-config-b64 <base64 encoded file>- base64形式でエンコードされたYAML構成ファイル
任意パラメータ
--dry-run- リソースを作成せずに構成を検証する--format=<json|text>- 出力形式 (既定値: text)
要件
この自動化コマンドを利用するには、以下が設定されている必要があります。
メール配信のためのメール構成が設定済みであること
対象に応じて作成済みのPAM構成 (Active Directory、AWS、Azure、GCPのいずれか)
対象システムの認証情報をローテーションできるKeeperゲートウェイが構成済みであること
YAML構成ファイルの構造
以下のYAML構成例では、Sarah JonesはCompany.comへ入社した新しい従業員です。IdP / IGA / HRシステム (Workday、Aquera、SailPoint、ConductorOneなど) がKeeperへリクエストを送信し、以下を実行します。
対象ディレクトリでユーザーを識別
指定された複雑性ルールに基づいてディレクトリ内のパスワードをローテーション
パスワードをコマンダーユーザーのボルト内にPAMユーザーレコードとして保存
レコードの自動パスワードローテーションを週1回に設定
ワンタイム共有リンクを使用して新入社員の個人メールへ認証情報を送信
ワンタイム共有リンクの有効期限は7日
Userセクション
「user」セクションでは、対象ディレクトリ内のエンドユーザー情報を識別します。
first_name
string
はい
新規ユーザーの名
last_name
string
はい
従業員の姓
personal_email
string
はい
認証情報の配信先となる個人メールアドレス
employee_id
string
いいえ
従業員識別子
department
string
いいえ
部署 (フォルダ構成に利用)
Accountセクション
「account」セクションでは、対象ディレクトリ内のPAM構成およびユーザーIDを指定します。
username
string
はい
対象システムのユーザー名
pam_config_uid
string
はい
PAM構成レコードのUID
distinguished_name
string
いいえ*
ADの識別名 (システム固有要件を参照)
*複数OU環境のActive Directoryでは必須 (すべてのAD環境で指定することを推奨)。
Vaultセクション
「vault」セクションでは、PAMユーザーレコードをボルト内のどこに保存するかを指定します。
folder
string
いいえ
なし
レコードを保存するボルト内のフォルダパス
アプリケーションフォルダは、ボルト > [シークレットマネージャー] > [PAM構成] > [アプリケーションフォルダ] の設定で確認できます。
例
ゲートウェイのフォルダが My Infrastructure で、vault.folder パラメータが Users/Service Accounts の場合、最終的なパスは My Infrastructure/Users/Service Accounts になります。
PAMセクション
「pam」セクションでは、パスワードローテーション設定を制御します。
rotation.schedule
string
はい
6フィールドのCRON式
rotation.password_complexity
string
はい
パスワードの複雑性ルール
ローテーションスケジュール (6フィールドCRON) 形式: 秒 分 時 日 月 曜日
パスワードの複雑さの形式: 長さ,大文字,小文字,数字,記号
Emailセクション
「email」セクションでは、認証情報を含むメールの配信設定およびメールテンプレートを定義します。
config_name
string
はい
-
管理コンソールで設定されたメール設定名
subject
string
いいえ
"Your New Credentials"
メールの件名
share_url_expiry
string
いいえ
"7d"
共有URLの有効期限
共有URLの有効期限の形式: y (年)、mo (月)、d (日)、h (時)、mi (分)
自動化の実行
以下はKeeperの自動化を実行する手順です。
自動化パラメータを定義したYAMLファイルを作成する。
以下のコマンダーコマンドを実行する。
または、コマンダーのサービスモードREST APIを使用し、HTTPS経由でリクエストを送信する方法もあります。その場合は以下の形式を使用します。
構成の例
Active Directoryユーザー
実行例
Microsoft Entra IDユーザー
実行例
その結果、PAMユーザーレコードはボルトに作成され、対象ディレクトリでローテーションされ、7日後に期限切れとなるワンタイム共有として受信者へ送信されます。
メールテンプレート
受信者には、暗号化されたワンタイム共有リンクを含むメールが届きます。
[認証情報を見る] をクリックすると、認証情報を復号して表示できます。
システム固有の要件
Active Directory - 複数OU環境では識別名が必須です。同じユーザー名を持つユーザーが異なるOUに存在する場合、識別名を指定しないとローテーションが失敗する可能性があります。
Azure AD - ユーザー名は必ずメール形式である必要があります ([email protected] または DOMAIN\user)。
AWS IAM - ユーザー名を使用します。
関連コマンド
pam– PAMサブシステム管理email-config– メール構成sharing– 共有関連コマンド
最終更新