CyberArkからのインポート

PVWA経由でCyber​​ArkアカウントをKeeperに移行

KeeperコマンダーからCyberArk Privilege Cloud Webポータルまたはセルフホスト型のPassword Vault Web Access (PVWA) にログインしてアカウントとそのパスワードを取得し、対応するサーバーレコードを Keeperに自動的に作成します。

keeper import --format=cyberark server.domain

サーバーが CyberArk Privilege Cloud Web ポータル (すなわち、".cyberark.cloud" で終わる) の場合、CyberArk Identity テナント ID および CyberArk サービスユーザーの認証情報が求められます。

CyberArk Identity Tenant ID: abc12345
CyberArk service user name: myserviceuser
Cyberark service user password:

備考: IdentityテナントIDはログインURLの最初の部分です (例: https://abc12345.id.cyberark.cloud/...)

サーバーがその他のホスト名またはIPアドレスの場合、PVWAの認証方法、ユーザー名、およびパスワードが求められます。

CyberArk logon type (Cyberark, LDAP, RADIUS or Windows): LDAP
CyberArk username: myusername
CyberArk password: 

備考: Active Directoryアカウントでログインするには、WindowsではなくLDAPを使用してください。

Windowsおよび*NIXグループのプラットフォームに基づくCyberArkアカウントはサーバーレコードとしてインポートされます。Business Websiteプラットフォーム (つまり、CyberArk Workforce Password Managementアカウント) に基づくアカウントはログインレコードとしてインポートされます。

アカウントのインポート

ここでのプロセスでは、インポートされるアカウント (ID、名前、セーフを含む) が一覧表示され、タイマーとETA付きの進行状況メーターが表示されます。アカウントのパスワード取得に失敗した場合は、リトライ、スキップ、同様のエラーが発生したすべてのアカウントをスキップするオプションが表示されます。これにより、リクエストの再試行、アカウントのスキップ、エラーが発生したすべてのアカウントを一括スキップできます。

パスワードAPIエンドポイントからの400 (Bad Request) HTTPレスポンスによって表示されるダイアログ

スキップされたアカウント

処理が完了すると、スキップされたアカウントが一覧表示されます。リストにはID、名前、セーフ、エラーコード、エラーメッセージが含まれます。

検索文字列を使用して結果を絞り込む

この処理では、デフォルトですべてのアカウントがインポートされますが、疑問符 (?) に続いて検索文字列を追加すると、検索に一致するアカウントのみが処理されます。

keeper import --format=cyberark 10.11.12.13?WinDomain

カスタムクエリ文字列の使用

また、検索文字列に「=」が含まれている場合、その文字列は以下のようにCyberArkのGet Accountsエンドポイントにクエリ文字列として渡されます。

keeper import --format=cyberark example.cyberark.cloud?limit=10&offset=20

limitおよびoffsetパラメータをAccountsエンドポイントに渡し、アカウントをページングし、20番目のアカウントから開始し、10件ずつ取得します。

PowerShellメソッド

ユーザーガイドにPowerShellスクリプトを使用してCyber​​arkからKeeperにデータをインポートする手順が掲載されています。ただし、このスクリプトはボルトサーバーに直接アクセスするため、セルフホスト型サーバーでしか機能しません。

最終更新