ユーザー
- name
- status
- transfer_status
- node
- team_count
- teams
- role_count
- roles
- alias
- 2FA status
チーム
- restricts
- node
- user_count
- users
- queued_user_count
- queued_users
ロール
- is_visible_below
- is_new___user
- is_admin
- node
- user_count
- users
Nodes
- parent_node
- user_count
- team_count
- teams
- role_count
- roles
- provisioning

例:

enterprise-info
ei "John Doe" --users 
ei --teams --format csv --output teams.csv
ei --roles --columns is_admin,user_count
ei --node "Keeper Security"

企業名とノード構造を表示します。
「John Doe」という名前のユーザーがいないか企業を検索します。
社内のチームのリストをCSVファイルに出力します。
ロールのリストを表示します。ただし、表示するのは、管理者ロールであるか否かとロールに属するユーザー数のみです。
「Keeper Security」という名前のノードから始まるノードのツリー構造を表示します。組織全体のノードツリーを表示するには、このルートノードを指定します。

enterprise-userコマンド

コマンド: enterprise-userまたはeu

詳細: 企業のユーザーを管理します。

パラメータ:

ユーザーのUIDまたはメールアドレス。

注意: 以下のコマンドを使用して、企業のユーザーのリストを表示できます。

ei --users

スイッチ:

--expire ユーザーのマスターパスワードを失効させます。

--extend ボルトの移管に対する同意を7日間延長します。次の疑似ユーザー@allをサポートします。

--lock ユーザーアカウントをロックします。

--unlock ユーザーアカウントのロックを解除します。次の疑似ユーザー@allをサポートします。

--disable-2fa ユーザーの2FAを無効にします。

--add 指定したメールアドレスを招待して、社内にボルトを作成します (パラメータとしてはメールのみ使用可能)。

--invite 指定したメールアドレスに招待を送信します。以前に招待したユーザーに送信できます。

--delete 企業からユーザーを削除します。これにより、所有しているレコードと他のユーザーと共有しているレコードの両方がすべて削除されますのでご注意ください。共有されているレコードについては共有先のユーザーのボルトからアクセスできます。

--name <名前> ユーザーの表示名として使用する名前を設定します。

--node <ノード名またはUID> 指定した名前またはUIDを持つノードにユーザーを移動します。ノードのリストを表示するには、enterprise-info --nodesを使用します。

--add-role <ロール名またはUID> 指定した名前またはUIDを持つロールにユーザーを追加します。ロールのリストを表示するには、enterprise-info --rolesを使用します。次の疑似ユーザー@allをサポートします。

--remove-role <ロール名またはUID> 指定した名前またはUIDを持つロールからユーザーを削除します。

--add-team <チーム名またはUID> 指定した名前またはUIDを持つチームにユーザーを追加します。チームのリストを表示するには、enterprise-info --teamsを使用します。

--remove-team <チーム名またはUID> 指定した名前またはUIDを持つチームからユーザーを削除します。チームのリストを表示するには、enterprise-info --teamsを使用します。

--add-alias <メールアドレス> メールアドレス形式のエイリアスをユーザーに追加します。追加されたエイリアスは、ユーザーの「プライマリ」メールになります。既存のエイリアスにこのコマンドを適用すると、そのエイリアスがプライマリとして設定されます。このコマンドは予約されたドメインでのみ許可されることにご注意ください。

--delete-alias <メール> ユーザーのメールエイリアスを削除します。

-f、--force 確認メッセージを表示しません。

-v、--verbose IDなどのデータを含むデバッグ出力。

例:

enterprise-user [email protected]
eu 20379619819523 --node Chicago --add-team "Chicago Engineering"
eu add [email protected]
eu 19819523203796 --lock
eu --add-alias [email protected] [email protected]
eu --add-role Employee @all

ユーザー「[email protected]」の詳細を表示します。
指定されたUIDを持つユーザーをChicagoノードと「Chicago Engineering」チームに追加します。
「[email protected]」に招待を送信して、社内でボルトを開きます。
指定したUIDのアカウントをロックします。
名前を変更したユーザーのエイリアスを追加して、プライマリに設定します。
すべての企業ユーザーを「Employee」ロールに追加します。

enterprise-roleコマンド

コマンド: enterprise-roleまたはer

詳細: 企業のロールまたは強制ポリシーを管理します。

以下のコマンドを使用して、企業内のロールのリストを表示できます。

ei --roles

使用法: er <ロール>

パラメータ:

<ロール> ロール名またはUID。スペースで区切って複数設定できます。

スイッチ:

--add 企業に新しいロールを追加します。

--delete ロールを削除します。

--add-user <ユーザー名またはUID> ロールにユーザーを追加します。--addと一緒に使用します。

--remove-user <ユーザー名またはUID> ロールからユーザーを削除します。

--visible-below <{on,off}> ロールをその下のロールに対して表示または非表示にします。

--new-user <{on,off}> 新しいユーザーをこのロールに割り当てます。

--node <ノード名またはUID> ロールを追加するノード。

--name <名前> ロールに名前を付けます。

--add-admin <ノード> ロールで管理するノードを追加します。

--remove-admin <ノード> ロールで管理するノードを削除します。

--cascade <{on,off}> --add-adminと一緒に使用して、ユーザーを管理者として子ロールにも割り当てます (「on」の場合)。

--enforcement <ポリシー>: <値>、--enforcement <ポリシー>: $FILE=<PATH TO FILE WITH VALUE> 指定したロールの強制ポリシーを設定します (文字のポリシー値 (「True」、「e」、10 など)、またはその値を含むファイルへの参照を使用します)。下の表の2番目のタブで、使用可能な強制ポリシーのリストを参照してください。

--copy 属するユーザーのないロールを複製します。

--clone 元のユーザーと同じユーザーが属するロールを複製します。

--add-team、-at <チーム名> 指定したロールにチームを追加します。

--add-privilege、-ap <権限名> ロールに管理者権限を追加します。

--remove-privilege、-rp <権限名> ロールから管理者権限を削除します。

-v、--verbose 出力なしでIDを表示します。

-f、--force 確認のプロンプトを表示せずに強制的に実行します (非対話モード)。

例:

enterprise-role "Keeper Administrator"
er 20379621916672 "Engineer Team Lead"
er --add Onboarding --new-users
er 20379621916672 --add-admin "[email protected]" --cascade yes
er PM --name "Product Manager"
er 20379619819524 20379619819525 20379621916672 --Node Chicago
er 20379619819524 --copy --Node Chicago

「Keeper管理者」ロールの詳細を表示します。
指定したUIDのロールと「Engineer Team Lead」ロールの詳細を表示します。
「Onboarding」という名前の新しいロールを追加し、このロールに新しいユーザーを自動的に割り当てます。
ユーザーJohn Dowを指定したUIDのロールとすべての子ロールの管理者にします。
「PM」ロールの名前を「Product Manager」に変更します。
指定したUIDの3つのノードを「Chicago」ノードに追加します。
「Chicago」ノードにロールのコピーを作成します。

ロールポリシーと特権の変更

指定したロールの強制ポリシーを編集するには、--enforcementスイッチを使用します。ポリシーのキーと対応する値をスイッチに渡して、強制設定を変更します。

enterprise-role ROLE --enforcement "POLICY:VALUE"

または、ロール強制ポリシーを外部ファイルで指定された値に設定します。

enterprise-role ROLE --enforcement "<POLICY>:$FILE=<PATH_TO_FILE_WITH_POLICY_VALUE>"

「Engineering」ロールをインポートレコードへのアクセスに制限する例。

enterprise-role Engineering --enforcement "RESTRICT_IMPORT:True"

強制適用ポリシーのキー

タイプ

MASTER_PASSWORD_MINIMUM_LENGTH

LONG

MASTER_PASSWORD_MINIMUM_SPECIAL

LONG

MASTER_PASSWORD_MINIMUM_UPPER

LONG

MASTER_PASSWORD_MINIMUM_LOWER

LONG

MASTER_PASSWORD_MINIMUM_DIGITS

LONG

MASTER_PASSWORD_RESTRICT_DAYS_BEFORE_REUSE

LONG

REQUIRE_TWO_FACTOR

BOOLEAN

MASTER_PASSWORD_MAXIMUM_DAYS_BEFORE_CHANGE

LONG

MASTER_PASSWORD_EXPIRED_AS_OF

LONG

MINIMUM_PBKDF2_ITERATIONS

LONG

MAX_SESSION_LOGIN_TIME

LONG

RESTRICT_PERSISTENT_LOGIN

BOOLEAN

STAY_LOGGED_IN_DEFAULT

BOOLEAN

RESTRICT_SHARING_ALL

BOOLEAN

RESTRICT_SHARING_ENTERPRISE

BOOLEAN

RESTRICT_SHARING_ALL_OUTGOING

BOOLEAN

RESTRICT_SHARING_ENTERPRISE_OUTGOING

BOOLEAN

RESTRICT_EXPORT

BOOLEAN

RESTRICT_FILE_UPLOAD

BOOLEAN

REQUIRE_ACCOUNT_SHARE

ACCOUNT_SHARE

RESTRICT_SHARING_ALL_INCOMING

BOOLEAN

RESTRICT_SHARING_ENTERPRISE_INCOMING

BOOLEAN

RESTRICT_SHARING_RECORD_WITH_ATTACHMENTS

BOOLEAN

RESTRICT_IP_ADDRESSES

IP_WHITELIST

REQUIRE_DEVICE_APPROVAL

BOOLEAN

REQUIRE_ACCOUNT_RECOVERY_APPROVAL

BOOLEAN

RESTRICT_VAULT_IP_ADDRESSES

IP_WHITELIST

TIP_ZONE_RESTRICT_ALLOWED_IP_RANGES

IP_WHITELIST

AUTOMATIC_BACKUP_EVERY_X_DAYS

LONG

RESTRICT_OFFLINE_ACCESS

BOOLEAN

SEND_INVITE_AT_REGISTRATION

BOOLEAN

RESTRICT_EMAIL_CHANGE

BOOLEAN

RESTRICT_IOS_FINGERPRINT

BOOLEAN

RESTRICT_MAC_FINGERPRINT

BOOLEAN

RESTRICT_ANDROID_FINGERPRINT

BOOLEAN

RESTRICT_WINDOWS_FINGERPRINT

BOOLEAN

LOGOUT_TIMER_WEB

LONG

LOGOUT_TIMER_MOBILE

LONG

LOGOUT_TIMER_DESKTOP

LONG

RESTRICT_WEB_VAULT_ACCESS

BOOLEAN

RESTRICT_EXTENSIONS_ACCESS

BOOLEAN

RESTRICT_MOBILE_ACCESS

BOOLEAN

RESTRICT_DESKTOP_ACCESS

BOOLEAN

RESTRICT_MOBILE_IOS_ACCESS

BOOLEAN

RESTRICT_MOBILE_ANDROID_ACCESS

BOOLEAN

RESTRICT_MOBILE_WINDOWS_PHONE_ACCESS

BOOLEAN

RESTRICT_DESKTOP_WIN_ACCESS

BOOLEAN

RESTRICT_DESKTOP_MAC_ACCESS

BOOLEAN

RESTRICT_CHAT_DESKTOP_ACCESS

BOOLEAN

RESTRICT_CHAT_MOBILE_ACCESS

BOOLEAN

RESTRICT_COMMANDER_ACCESS

BOOLEAN

RESTRICT_TWO_FACTOR_CHANNEL_TEXT

BOOLEAN

RESTRICT_TWO_FACTOR_CHANNEL_GOOGLE

BOOLEAN

RESTRICT_TWO_FACTOR_CHANNEL_DNA

BOOLEAN

RESTRICT_TWO_FACTOR_CHANNEL_DUO

BOOLEAN

RESTRICT_TWO_FACTOR_CHANNEL_RSA

BOOLEAN

TWO_FACTOR_DURATION_WEB

TWO_FACTOR_DURATION

TWO_FACTOR_DURATION_MOBILE

TWO_FACTOR_DURATION

TWO_FACTOR_DURATION_DESKTOP

TWO_FACTOR_DURATION

RESTRICT_TWO_FACTOR_CHANNEL_SECURITY_KEYS

BOOLEAN

TWO_FACTOR_BY_IP

JSONARRAY

RESTRICT_DOMAIN_ACCESS

STRING

RESTRICT_DOMAIN_CREATE

STRING

RESTRICT_HOVER_LOCKS

BOOLEAN

RESTRICT_PROMPT_TO_LOGIN

BOOLEAN

RESTRICT_PROMPT_TO_FILL

BOOLEAN

RESTRICT_AUTO_SUBMIT

BOOLEAN

RESTRICT_PROMPT_TO_SAVE

BOOLEAN

RESTRICT_PROMPT_TO_CHANGE

BOOLEAN

RESTRICT_AUTO_FILL

BOOLEAN

RESTRICT_CREATE_FOLDER

BOOLEAN

RESTRICT_CREATE_FOLDER_TO_ONLY_SHARED_FOLDERS

BOOLEAN

RESTRICT_CREATE_IDENTITY_PAYMENT_RECORDS

BOOLEAN

MASK_CUSTOM_FIELDS

BOOLEAN

MASK_NOTES

BOOLEAN

MASK_PASSWORDS_WHILE_EDITING

BOOLEAN

GENERATED_PASSWORD_COMPLEXITY

STRING

GENERATED_SECURITY_QUESTION_COMPLEXITY

STRING

RESTRICT_IMPORT

BOOLEAN

DAYS_BEFORE_DELETED_RECORDS_CLEARED_PERM

LONG

DAYS_BEFORE_DELETED_RECORDS_AUTO_CLEARED

LONG

ALLOW_ALTERNATE_PASSWORDS

BOOLEAN

RESTRICT_CREATE_RECORD

BOOLEAN

RESTRICT_CREATE_RECORD_TO_SHARED_FOLDERS

BOOLEAN

RESTRICT_CREATE_SHARED_FOLDER

BOOLEAN

RESTRICT_LINK_SHARING

BOOLEAN

RESTRICT_SHARING_OUTSIDE_OF_ISOLATED_NODES

BOOLEAN

RESTRICT_SHARING_RECORD_TO_SHARED_FOLDERS

BOOLEAN

DISABLE_SETUP_TOUR

BOOLEAN

RESTRICT_PERSONAL_LICENSE

BOOLEAN

DISABLE_ONBOARDING

BOOLEAN

DISALLOW_V2_CLIENTS

BOOLEAN

RESTRICT_IP_AUTOAPPROVAL

BOOLEAN

SEND_BREACH_WATCH_EVENTS

BOOLEAN

RESTRICT_BREACH_WATCH

BOOLEAN

RESEND_ENTERPRISE_INVITE_IN_X_DAYS

LONG

MASTER_PASSWORD_REENTRY

JSON

RESTRICT_ACCOUNT_RECOVERY

BOOLEAN

KEEPER_FILL_HOVER_LOCKS

TERNARY_DEN

KEEPER_FILL_AUTO_FILL

TERNARY_DEN

KEEPER_FILL_AUTO_SUBMIT

TERNARY_DEN

KEEPER_FILL_MATCH_ON_SUBDOMAIN

TERNARY_DEN

KEEPER_FILL_AUTO_SUGGEST

TERNARY_DEN

RESTRICT_PROMPT_TO_DISABLE

BOOLEAN

RESTRICT_HTTP_FILL_WARNING

BOOLEAN

RESTRICT_RECORD_TYPES

RECORD_TYPES

ALLOW_SECRETS_MANAGER

BOOLEAN

REQUIRE_SELF_DESTRUCT

BOOLEAN

MAXIMUM_RECORD_SIZE

LONG

ALLOW_PAM_ROTATION

BOOLEAN

ALLOW_PAM_DISCOVERY

BOOLEAN

RESTRICT_IMPORT_SHARED_FOLDERS

BOOLEAN

REQUIRE_SECURITY_KEY_PIN

BOOLEAN

DISABLE_CREATE_DUPLICATE

BOOLEAN

ALLOW_PAM_GATEWAY

BOOLEAN

ALLOW_CONFIGURE_ROTATION_SETTINGS

BOOLEAN

ALLOW_ROTATE_CREDENTIALS

BOOLEAN

ALLOW_CONFIGURE_PAM_CLOUD_CONNECTION_SETTINGS

BOOLEAN

ALLOW_LAUNCH_PAM_ON_CLOUD_CONNECTION

BOOLEAN

ALLOW_CONFIGURE_PAM_TUNNELING_SETTINGS

BOOLEAN

ALLOW_LAUNCH_PAM_TUNNELS

BOOLEAN

ALLOW_LAUNCH_RBI

BOOLEAN

ALLOW_CONFIGURE_RBI

BOOLEAN

ALLOW_VIEW_KCM_RECORDINGS

BOOLEAN

ALLOW_VIEW_RBI_RECORDINGS

BOOLEAN

RESTRICT_MANAGE_TLA

BOOLEAN

RESTRICT_SELF_DESTRUCT_RECORDS

BOOLEAN

次のコマンドで、ユーザーに管理ノードを割り当てることができます。

er 'Node Admin' -aa 'Node Name' --cascade on

その後、-ap フラグを使用して管理権限を付与し、-rp フラグで削除できます。

er 'Admin' --node 'Node Name' -ap manage_nodes -ap manage_roles

以下は、サポートされているすべての管理権限コードです。

管理権限名

管理権限コード

ノードの管理

manage_nodes

ユーザーの管理

manage_user

ロールの管理

manage_roles

チームの管理

manage_teams

セキュリティレポートの実行

run_reports

Bridge/SSOの管理

manage_bridge

デバイス承認の実行

approve_device

ボルト内のレコードタイプの管理

manage_record_types

コンプライアンスレポートの実行

run_compliance_reports

アカウントの譲渡

transfer_account

共有管理者

sharing_administrator

値の型ごとの例

# コマンド形式
enterprise-role ROLE --enforcement "POLICY:VALUE"

# ブール値 (Secrets Managerを許可)
enterprise-role Engineering --enforcement "ALLOW_SECRETS_MANAGER:True"

# 文字列 (ドメインへのアクセスを制限)
er "Support Admin" --enforcement "RESTRICT_DOMAIN_ACCESS:https://www.baddomain.com"

# long (パスワードの最小長を設定)
er users --enforcement "MASTER_PASSWORD_MINIMUM_LENGTH:10"

# D/E/Nの3値 (自動入力をOFFに設定)
er DB_Admin --enforcement "KEEPER_FILL_AUTO_FILL:d"
# 3値: d: 無効 e: 有効 n: null
# 注意 - n:nullは強制を削除します

# RESTRICT_RECORD_TYPESは、カンマで区切られた記録タイプのリストを受け取り
# 利用可能なすべての記録タイプのリストを取得します
My Vault> rti
  Record Type ID  Record Type Name
----------------  -----------------------
               1  login
              11  bankAccount
              14  address
              ...
              34  sshKeys
# sshKeys記録タイプとaddress記録タイプを制限します
My Vault> er Finance --enforcement "RESTRICT_RECORD_TYPES:sshKeys, address"
# すべての記録タイプを制限します (従来の一般タイプを除く)
My Vault> er Finance --enforcement "RESTRICT_RECORD_TYPES:all"

# ip-whitelist (allow logins only from specified IPs)
My Vault> er --enforcement "RESTRICT_IP_ADDRESSES:1.0.0.1-1.0.0.10,172.15.0.1,192.0.0.2" IP-Restricted_Role

enterprise-teamコマンド

コマンド: enterprise-teamまたはet

詳細: 企業チームを管理します。

パラメータ:

チーム名またはID

注意: 以下のコマンドを使用して、企業内のチームのリストを表示できます。

ei --teams

スイッチ:

--add 企業に新しいチームを追加します。

--delete チームを削除します。

--add-user <ユーザー名またはUID> チームにユーザーを追加します。

--remove-user <ユーザー名またはUID> チームからユーザーを削除します。

--node <ノード名またはUID> チームを追加するノード。

--name <名前> チームに名前を付けます。

--approve 実行待ちのチームを承認します。実行待ちのチームは通常、暗号化鍵の作成を必要とするSCIM要求によって生じます。そのため、管理者が管理コンソールにログインするか、またはこのコマンドを実行するまで、実行待ち状態のままになります。

--restrict-edit <{on,off}> このチームのユーザーのレコードの編集可否を設定します。

--restrict-share <{on,off}> このチームのユーザーのレコードの共有可否を設定します。

--restrict-view <{on,off}> このチームのユーザーのレコードのパスワードの表示可否を設定します。

--hide-shared-folder、-hsf <{on,off}> このチームのユーザーの共有フォルダの表示可否を判別するフラグ。

--add-role、-ar <ロール名> 指定したチームにロールを追加します。

-v、--verbose 出力なしでIDを表示します。

例:

enterprise-team "Chicago Engineering"
et "Chicago Engineering" Legal 
et --add "Chicago Product" --node Chicago --restrict-edit on
et 20379619819524 --name "El Dorado Hills Engineering"

「Chicago Engineering」チームの詳細を表示します
「Chicago Engineering」チームと「Legal」チームの詳細を表示します
「Chicago」ノードに「Chicago Product」という名前の新しいチームを追加し、そのチームに属するユーザーがレコードを編集できないように制限します
指定したUIDのチームの名前を「El Dorado Hills Engineering」に変更します

enterprise-nodeコマンド

コマンド: enterprise-nodeまたはen

詳細: 企業ノードを管理します

パラメータ:

ノード名またはUID

注意: 以下のコマンドを使用して、企業内のノードのリストを表示できます。

ei --nodes

スイッチ:

--add 企業に新しいノードを追加します

--delete ノードを削除します。このスイッチは、ノードのすべてのオブジェクトが削除されるまで実行されないことにご注意ください。

--parent <ノード名またはUID> 指定したノードをこのノードの親にします

--name <名前> ノードの表示名を設定します

--wipe-out ノードの下のすべてのノード、ロール、ユーザー、チームを削除します。ノード自体は削除されません。このコマンドの使用にはご注意ください。

--toggle-isolated 他のノードのユーザーに対してノードを表示または非表示にします

--invite-email <ファイル名> ファイルから招待メールのテンプレートを設定します。ファイルが存在しない場合は、現在のテンプレートを保存します。dash (-) は標準出力に書き出します。以下のカスタムメールセクションをご参照ください。

--logo-file <ファイル名> ローカル画像ファイルを使用して会社およびノードのロゴを設定します (最大サイズ: 500 KB、最小: 10x10、最大: 320x320)

例:

enterprise-node Chicago
en Chicago "El Dorado Hills" 20379619819524 --parent NA
en --add Cork --parent EMEA
en APAC --wipe-out
en Chicago --toggle-isolated
en --logo-file ~/chicago_logo.jpg Chicago

「Chicago」ノードの詳細を表示します。
3つのノード:「Chicago」、「El Dorado Hills」、指定したUIDを持つノードの親ノードをノード「NA」に変更します。
「EMEA」ノードの下に「Cork」という名前の新しいノードを追加します。
「APAC」ノードの下からすべてのノード、ロール、ユーザー、チームを削除します。
他のノードのユーザーに対し、「Chicago」ノードを非表示 (現在表示されている場合) または表示 (現在表示されていない場合) に変更します。
現在のユーザーの$HOMEディレクトリにある「chicago_logo.jpg」ファイルを「Chicago」ノードのロゴ画像として使用して、招待メールとボルトUIの見た目をカスタマイズします。

カスタムメール

--invite-emailスイッチを使用すると、ノードごとにカスタムメールテンプレートを設定できます。

管理コンソールでメールテンプレートをカスタマイズする方法と同様に、CLIを使用したカスタムメールテンプレートでも、以下の4つの属性のカスタマイズがサポートされます。

件名
メッセージの見出し
メッセージ本文
ダウンロードボタンのテキスト

カスタムメールテンプレートは、以下の形式の.txtファイルで定義できます。

[Subject]
//メールの件名行テキストを挿入します

[Heading]
//ここにメールメッセージの見出しテキストを挿入します

[Message]
//ここにメールメッセージの本文テキストを挿入します

[Button Text]
//ここにダウンロードボタンのテキストを挿入します

カスタムメールはMarkdown構文を使用して書式設定することもできます。詳細については、こちらのページをご参照ください。

カスタムメールの使用事例

シカゴと東京に会社の支店があり、それぞれのノードがChicagoとTokyoであると想定します。理想的には、招待メールは以下のようにそれぞれの言語で作成したいところです。

シカゴ支店に送信される招待メールは、英語で作成します。。
東京支店に送信される招待メールは、日本語で作成します

--invite-emailスイッチを使用すると、ノードごとに適切なメールテンプレートを設定できます。

まず、ChicagoとTokyoの各支店のカスタムメールテンプレートを定義します。

次に、各ノードに適切なメールテンプレートを設定します。

en Chicago --invite-email="C:\user\emailTemplates\emailChicago.txt"
en Tokyo --invite-email="C:\user\emailTemplates\emailTokyo.txt"

Windowsでは、ファイルのパスは引用符または2つのバックスラッシュで指定できます。以下のどちらのファイルパスも有効です。

"C:\users\file.txt"またはc:\\users\\file.txt

招待メールを送信する際、ユーザーは支店の場所に応じて以下のメールを受信します。

enterprise-pushコマンド

コマンド: enterprise-push

詳細: ボルトにデフォルトのレコードセットを格納します。

パラメータ:

テンプレートのレコードを含むファイルのファイル名。ファイルはJSON形式である必要があります。

スイッチ:

--syntax-help ファイル形式の例とテンプレートのパラメータを表示します。

--team <チーム名またはUID> レコードを割り当てるチーム。

--email <ユーザーのメールまたはUID> レコードを割り当てるユーザー。

例:

enterprise-push office-codes.json --team "Chicago Office"
enterprise-push default.json --email [email protected]
enterprise=push --syntax-help

「office-codes.json」ファイルでテンプレート化されたレコードを「Chicago Office」チームのすべてのユーザーに送信します。
「default.json」ファイルでテンプレート化されたレコードをユーザー「[email protected]」に送信します。
構文のヘルプを表示します。

ファイル形式

「enterprise-push」コマンドは、Keeper JSONレコードインポート形式を使用します。

JSONファイルの例:

[
    {
        "title":"Google",
        "login": "${user_email}",
        "password": "${generate_password}",
        "login_url": "https://google.com",
        "notes": "",
        "custom_fields": {
            "Name 1":"Value 1",
            "Name 2":"Value 2"
        }
    },
    {
        "title":"Admin Tool",
        "login": "${user_email}",
        "password": "",
        "login_url": "https://192.168.1.1",
        "notes": "",
        "custom_fields": {
        }
    }
]

サポートされているテンプレートパラメータ

${user_email}          ユーザーのメールアドレス
${generate_password}   ランダムパスワードを生成
${user_name}           ユーザーのフルネーム

適切なJSON構造を確認する簡単な方法は、KeeperボルトからデータをJSON形式でエクスポートすることです。次に、インポートファイルの作成に必要なファイルを変更します。

JSONデータをエクスポートして、テンプレートを作成する手順は以下のとおりです。

「Templates」など、テンプレートを格納する空のフォルダを作成します。
そのフォルダにレコードを作成します。
以下のコマンドを使用してそのフォルダをJSONとしてエクスポートします。

export --format=json --folder=Templates templates.json

オプション: JSONファイルを編集して、enterprise-pushコマンドで使用しない「uid」、「schema」、「folders」の各プロパティを削除します。

テンプレートJSONファイルは、レコードの配列、またはレコードの配列で構成されるプロパティ「records」を含むオブジェクトのいずれかである必要があります。

enterprise-downコマンド

コマンド: enterprise-downまたはed

詳細: 企業データをローカルにダウンロードして復号化します。

コマンダーのアクティブなインスタンスが実行中で、管理コンソールまたはコマンダーの別のインスタンスに変更が加えられた場合、enterprise-downコマンドを使用して、最新の企業データをローカルにダウンロードして復号化できます。

例:

アクティブなコマンダーセッションの実行中に管理コンソールに新しいユーザーが追加された場合、実行中のコマンダーセッションで以下のコマンドを実行すると、最新の変更がローカルにダウンロードされて復号化されます。

enterprise-down

team-approveコマンド

コマンド: team-approve

詳細: チームの自動承認またはチームに対するユーザーの自動承認を有効または無効にします。

KeeperブリッジやSCIMなどのプロビジョニングメソッドを使用する場合、ボルトをまだ有効化していない新しいチームとユーザーは、承認待ちになります。このコマンドを使用して、プロビジョニングされたチームまたはユーザーの自動承認を有効または無効にします。

スイッチ:

--team チームを承認します。

--email チームのユーザーを承認します。

--restrict-edit <{on, off}> 承認されたチームのレコードの編集を制限または許可します。

--restrict-share <{on, off}> 承認されたチームのレコードの共有を制限または許可します。

--restrict-view <{on, off}> 承認されたチームのレコードのパスワードの表示を制限または許可します。

例:

enterprise-down
team-approve --team
team-approve --email
team-approve --team --restrict-edit on

エンタープライズチームの保留中の承認をすべて同期します。
プロビジョニングが完了して承認待ちのチームを自動的に承認します。
プロビジョニングが完了して承認待ちのユーザーを自動的に承認します。
プロビジョニングが完了して承認待ちのチームを自動的に承認しますが、それらのチームに属するユーザーにレコードの編集は許可しません。

device-approveコマンド

コマンド: device-approve

詳細: クラウドSSOデバイスを承認します。

パラメータ:

承認するユーザーのメールもしくはデバイスID、または保留中のデバイスのリストを表示する場合は空白。

スイッチ:

-r、--reload 現在の保留中の承認リストを再読み込みします。

-a、--approve 指定したユーザーメールのデバイスまたはデバイスIDを承認します。

-d、--deny 指定したユーザーメールのデバイスまたはデバイスIDを拒否します。

--trusted-ip 信頼できるIPアドレスのデバイスを承認します。

--format <{table, csv, json}> 出力の表示形式。

--output <ファイル名> 出力の送信先ファイル (jsonまたはcsv形式を使用する必要があります)

例:

device-approve
device-approve [email protected] --approve
device-approve --reload
device-approve --output device_approvals.csv --format csv

保留中の要デバイス承認リストを表示します。
ユーザー「[email protected]」を承認します。
保留中の要デバイス承認リストを更新します。
保留中の要デバイス承認リストをcsv形式でファイルに書き込みます。

create-userコマンド

コマンド: create-user

詳細

現在のKeeperボルトに指定したメールアドレスの新しいアカウントとボルトを作成し、新しいユーザーのクレデンシャルのレコードを作成します。

新しいユーザーを企業に招待するには、enterprise-userコマンドの項をご参照ください。

パラメータ:

ユーザーのメールアドレス

スイッチ:

--name <名前> ユーザー名。

--node <ノード> ユーザーを追加するノードの名前またはID。

--record <レコードUID> 新しいアカウントのパスワードを格納するレコードのUID。

--folder <フォルダ名かUID> 作成したユーザークレデンシャルを格納するフォルダ。

例:

create-user [email protected]
create-user [email protected] --name "John Doe" --node Chicago

[email protected]の新しいユーザーアカウントとボルトを作成します。
John DoeにKeeperへの参加依頼を送信し、新しいユーザーに「John Doe」という名前を付けて、「Chicago」ノードに追加します。

create-userコマンドによるオンボーディング

create-userコマンドを使用してKeeperアカウントに新しいユーザーを作成すると、新しいユーザーのユーザー名と一時パスワードを使用して、現在ログインしているアカウントにレコードが作成されます。新しいレコードが作成されると、ワンタイム共有URLを使用して新しいユーザーと共有できます。

My Vault> create-user [email protected]
User "[email protected]" credentials are stored to record "Keeper Account:[email protected]"

My Vault> share create "Keeper Account:[email protected]" --expire 7d
https://keepersecurity.com/vault/share#-Rkzr6w[...]wMw3fQ3kM

新しいユーザーは、このURLにアクセスして一時的なクレデンシャルを入手し、最初のログインを実行します。

transfer-userコマンド

コマンド: transfer-user

詳細: アカウントをロックしてから、あるユーザーから別のユーザーにボルトを移管します。

パラメータ:

移管するボルトのメールまたはユーザーID。スペースで区切って複数指定できます。

スイッチ:

--target-user <ユーザーメールアドレス> ボルトの移管先のユーザーアカウントのメールアドレス。

--force、-f 確認メッセージを表示しません。

アカウント移管は、アカウントまたはアカウントが属するロールに対して有効にする必要があります。

移管されたボルトの内容は、受信者のボルトのフォルダに配置されます。

例:

 transfer-user [email protected] --target-user [email protected]

[email protected]のボルトを[email protected]に移管します。

ユーザーアカウントの一括移管を実行するには、transfer-user @filenameのコマンドを使用します。これにより、以下のようにFROMとTOのマッピングを含むfilenameという名前のファイルが検索されます。

[email protected] -> [email protected]
[email protected] -> [email protected]

automatorコマンド

コマンド: automator

詳細: SSOクラウドデバイスオートメーターを設定します。

オートメーターは、顧客サイトで実行されるプログラムで、デバイスの承認やチームの承認の実行など、Keeperの管理作業を実行できます。Keeperオートメーターの詳細については、こちらのページをご参照ください。

オートメーターを管理できるのは、ルートレベルのKeeper管理者ロールのみとなります。

パラメータを指定せずにautomatorコマンドを実行すると、利用可能なオートメーターのリストとコマンドヘルプが表示されます。

automator command [target] [--options]

 Command            Description
=================================================================
 list               Displays the list of the available automators
 create             Creates automator
 init               Initializes automator
 view               Prints automator details
 edit               Changes automator configuration
 delete             Deletes automator
 reset              Resets automator configuration to the default
 enable             Enables automator
 disable            Disables automator
 log                Retrieves automator logs
 clear              Clears automator logs
 
 list, create:
 'target' parameter is ignored 
 
 init, view, edit, delete, reset, start, stop, log, clear:
 these commands require 'target' parameter:Automator Name or ID

 Option             Commands
==================================================================
 --node             create 
 --name             create, edit
 --url              edit :Webhook URL 
 --skill            edit : "device" and/or "team"
 --set              edit :KEY=VALUE

例:

「Cloud SSO Device Approval」という名前のオートメーターを作成します。

My Vault> automator create --name="Cloud SSO Device Approval"     

        Automator ID:888888888888        
                Name:Cloud SSO Device Approval
                 URL:                    
             Enabled:No                  
         Initialized:No                  
              Skills:Device Approval

オートメーターを編集してWebhook URLを設定します。Webhook URLはAutomatorアプリケーションで設定します。

My Vault> automator edit --url="https://automator.company.com:8089" 888888888888    

        Automator ID: 888888888888        
                Name: Cloud SSO Device Approval
                 URL: https://automator.company.com:8089                    
             Enabled: No                  
         Initialized: No                  
              Skills: Device Approval

スキル (チーム承認、チームユーザー承認、デバイス承認) は、以下のように「skill」引数で設定できます。

My Vault> automator edit --url https://<application URL> --skill=team --skill=team_for_user --skill=device "My Automator"

「setup」、「init」、「enable」コマンドを使用して、オートメーターインスタンスを初期化します。バックエンドでオートメーターが設定され、リクエストを処理する準備ができていることが確認されます。

My Vault> automator setup 888888888888
My Vault> automator init 888888888888
My Vault> automator enable 888888888888

SSOデバイス承認用のKeeperオートメーターの詳細については、オートメーターサービスのページをご参照ください。

scimコマンド

コマンド: scim

詳細: SCIMエンドポイントを設定します。

パラメータを指定せずにscimコマンドを実行すると、利用可能なSCIMエンドポイントのリストとコマンドヘルプが表示されます。

scim command [target] [--options]
 Command            Description
=================================================================
 list               Displays the list of SCIM endpoints
 create             Creates SCIM endpoint
 view               Prints SCIM endpoint details
 edit               Changes SCIM endpoint configuration
 delete             Deletes SCIM endpoint
 push               Pushes data to SCIM endpoint
 
 list, create
 'target' parameter is ignored 
 
 view, edit, delete
 these commands require 'target' parameter:SCIM endpoint ID
 
 Option             Commands
=================================================================
 --reload           all :Reloads SCIM configuration
 --node             create :Node ID or Name 
 --prefix           create, edit :Role prefix
 --unique-groups    create, edit :Unique groups 
 --force            delete :Do not ask for delete confirmation

例:

ノードSCIM NodeのSCIMエンドポイントを作成します。

My Vault> scim create --node="SCIM Node"                                                                                                                                                 

SCIM ID:888888888888
SCIM URL: https://keepersecurity.com/api/rest/scim/v2/7777777777777
Provisioning Token: yIiq6Y4FnWtOPtqatUzZH7BI4FaUNhIbwEtDT5esL-g

SCIMエンドポイントの設定を編集します。SCIMエンドポイントを編集すると、新しいプロビジョニングトークンが生成されます。

My Vault> scim edit 888888888888 --prefix="Group_"                                                                                                                                   

SCIM ID:888888888888
SCIM URL: https://keepersecurity.com/api/rest/scim/v2/7777777777777
Provisioning Token:6oykLqC2-d20Sy3N2d-HKZtGzOt63U60rJz8CLagszY

SCIMエンドポイントを削除します。

My Vault> scim delete 820338837203                                                                                                                                                   

ALERT!
You are about to delete SCIM endpoint 888888888888

Do you want to proceed with deletion? [y/n]: y
SCIM endpoint "888888888888" at node "7777777777777" deleted

グループおよびユーザーデータをSCIMエンドポイントにプッシュ配信します。

My Vault> scim push 820338837203 --source=google --record=AW6XZoJr8VM3rlFoxW_6rg

スイッチ

--source SCIMデータのソース。設定可能な値: google,ad

--record SCIMが設定されたレコードUID。

プッシュ配信用SCIMソースの設定

audit-alertコマンド

コマンド: audit-alert

詳細: 監査アラートを管理します。

パラメータを指定せずにaudit-alertを実行すると、利用可能なアラートのリストとコマンドヘルプが表示されます。

audit-alert command [--options]
 Command       Description
------------  ---------------------------------------------
list          Display alert list
view          View alert configuration
history       View alert history
delete        Delete audit alert(s) - single, range, or all
add           Add audit alert
edit          Edit audit alert
reset-counts  Reset alert counts
enable        Enable audit alert
disable       Disable audit alert
recipient     Modify alert recipients

コマンド実行に関するヘルプを表示します。

My Vault> audit-alert <command> -h

listオプション

  --format {table,csv,json} 
                        format of output
  --output OUTPUT       path to resulting output file (ignored for "table" format)
  --reload              reload alert information

My Vault> audit-alert list --reload
My Vault> aa l

viewオプション

 positional arguments:
  ALERT                 Alert ID or Name

options:  
  --all                 View all alerts
  --format {table,csv,json,pdf} 
                        format of output
  --output OUTPUT       path to resulting output file (ignored for "table" format)

My Vault> audit-alert view "Failed Login"
My Vault> aa v 1
              Alert ID  1
            Alert name  Failed Login
                Status  Enabled
             Frequency  Every Occurrence
            Recipients:
Send To Originator (*)  False

          Recipient ID  1
                  Name  Administrator
                Status  Enabled
              Email To  [email protected]

すべてのアラート設定を表示

My Vault> audit-alert view --all

すべてのアラート設定をエクスポート

My Vault> audit-alert view --all --format <format> --output <path>

例

My Vault> audit-alert view --all --format csv --output /Users/Commander/output.csv
Report path: /Users/Commander/output.csv

特定のアラート設定をエクスポート

My Vault> audit-alert view <ALERT> --format <format> --output <path>

<format>にはエクスポート形式 (table, json, csv, pdf) を指定し、<path>には出力先のフルパスとファイル名を指定します。

historyオプション

ALERT       Alert ID or Name.

My Vault> aa h 1                                                                                                                                           
Alert Sent At         Occurrences
---------------       -------------
2023-02-10 18:55:00              1

deleteオプション

positional arguments:
  ALERT            Alert ID or Name.

options:
  -h, --help       show this help message and exit
  --all            Delete all alerts
  --from ALERT ID  Starting alert ID for range deletion
  --to ALERT ID    Ending alert ID for range deletion
  --force          Force deletion without confirmation prompt

特定の監査アラートを名前で削除

My Vault> audit-alert delete "Failed Login"

特定の監査アラートをIDで削除

My Vault> audit-alert delete [ALERT ID]

例:

My Vault> audit-alert delete 1

The following 1 alert(s) will be deleted:
------------------------------------------------------------
  ID: 1 | Name: alert_test_1
------------------------------------------------------------
Are you sure you want to delete 1 alert(s)? (y/n): y
  ID  Name                    Events                  Frequency                          Occurrences    Alerts Sent  Last Sent                  Active
----  ----------------------  ----------------------  -------------------------------  -------------  -------------  -------------------------  --------
   2  Failed Login            login_failure           Every Occurrence                             0                                            True
   3  alert_test_2                                    Every Occurrence                             8              3                             True
   4  alert_test_3                                    Every Occurrence                             8              3                             True
   5  alert_test_4                                    Every Occurrence                             6              2                             True

範囲を指定して監査アラートを削除

My Vault> audit-alert delete --from [ALERT ID] --to [ALERT ID]

すべての監査アラートを削除

My Vault> audit-alert delete --all

確認プロンプトなしで監査アラートを削除

My Vault> audit-alert delete [ALERT ID] --force
My Vault> audit-alert delete --all --force
My Vault> audit-alert delete --from [ALERT ID] --to [ALERT ID] --force

My Vault> audit-alert delete "Failed Login"

addオプション

  --name NAME           Alert Name.
  --frequency FREQUENCY
                        Alert Frequency. "[N:]event|minute|hour|day"
  --audit-event EVENT   Audit Event.Can be repeated.
  --user USER           Username.Can be repeated.
  --record-uid RECORD_UID
                        Record UID.Can be repeated.
  --shared-folder-uid SHARED_FOLDER_UID
                        Shared Folder UID.Can be repeated.

My Vault> audit-alert add --name="Failed Login" --frequency=event --audit-event=login_failure

editオプション

  ALERT       Alert ID or Name.

  --name NAME           Alert Name.
  --frequency FREQUENCY
                        Alert Frequency. "[N:]event|minute|hour|day"
  --audit-event EVENT   Audit Event.Can be repeated.
  --user USER           Username.Can be repeated.
  --record-uid RECORD_UID
                        Record UID.Can be repeated.
  --shared-folder-uid SHARED_FOLDER_UID
                        Shared Folder UID.Can be repeated.

My Vault> audit-alert edit --frequency=2:hour

reset-countsオプション

ALERT       Alert ID or Name.

My Vault> audit-alert reset-counts 1

recipientオプション

ALERT       Alert ID or Name.

recipient actions:
  {enable,disable,delete,add,edit}
    enable              enables recipient
    disable             disables recipient
    delete              deletes recipient
    add                 adds recipient
    edit                edit recipient

recipient enable、disable、deleteオプション

  RECIPIENT   Recipient ID or Name.Use "*" for "User who generated event"

My Vault> audit-alert recipient 1 enable *
# 「イベントを生成したユーザー」を有効にします  
My Vault> audit-alert recipient 1 disable Administrator
# 名前で受信者を無効にします
My Vault> audit-alert recipient 1 delete 1

recipient addまたはeditオプション

RECIPIENT   Recipient ID or Name.  # 編集のみ
  --name NAME           recipient name
  --email EMAIL         email address
  --phone PHONE         phone number. +1 (555) 555-1234
  --webhook URL         Webhook URL.See https://docs.keeper.io/enterprise-guide/webhooks
  --http-body BODY      Webhook HTTP Body. @filename to load body from a file
  --cert-errors {ignore,enforce}
                        Webhook SSL Certificate errors
  --generate-token      Generate new access token

My Vault> audit-alert recipient "Failed Login" add --name="Administrator" [email protected] 
# メールの受信者を追加し、「Administrator」という名前を割り当てます
My Vault> aa r 1 edit 1 --name="Admin"  
# アラート#1の受信者#1の名前を変更します
My Vault> aa r 1 edit 1 --email= --phone="+1(555)555-1234"
# アラート#1の受信者#1をメールからSMS通知に変更します

enableオプション

ALERT       アラートIDまたは名前

オプション:
  -h, --help  このヘルプメッセージを表示して終了
  --all       すべてのアラートに対してアクションを適用

disableオプション

ALERT       アラートIDまたは名前

オプション:
  -h, --help  このヘルプメッセージを表示して終了
  --all       すべてのアラートに対してアクションを適用

前へレポートの種類次へユーザーの作成と招待

最終更新 1 か月前