# Delinea/Thycotic Secret Serverインポート

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FslMA0wNkHklZYMx1PrEG%2Fimage.png?alt=media&#x26;token=0b41778d-101a-4f24-9777-8f604c46bf51" alt=""><figcaption></figcaption></figure>

## Secret Serverのインポート

本ページでは、プライベートフォルダ、共有フォルダ、アクセス許可、添付ファイル、TOTP コードを含むSecret Server (Delinea/Thycotic) データをKeeperに自動的かつスムーズに移行するプロセスについて解説します。このプロセスでは、自動化にSecret Server APIを利用します。

備考: 基本的なインポート機能は、Thycotic XML形式に対応したKeeperウェブボルトおよびKeeperデスクトップアプリでご利用になれます。 ボルトの **\[設定]** > **\[インポート]** > **\[Thycotic]** 画面に移動します。XML形式には、添付ファイルや権限は含まれません。そのため、本ページで解説する自動化を使用することを推奨します。

## 要件

Secret Serverの管理設定で、ウェブサービスが有効になっていることを確かにします。

**Settings -> Configuration -> Edit -> Enable Webservices**

## セッションタイムアウトの調整

Secret Serverの管理者設定で、**\[Session Timeout for Webservices]** (ウェブサービスのセッションタイムアウト) が十分に大きい値に設定されていることを確かにします。

{% hint style="info" %}
ボルトの容量が大きい場合、処理に時間がかかります。おおよそ1,000件のシークレットにつき30分程度を目安にしてください。
{% endhint %}

**Settings -> Application -> Session Timeout for Webservices**

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fgit-blob-7d4d417ab42b8ec5879b32df46ecee1e07b3062a%2FScreen%20Shot%202022-12-28%20at%201.39.53%20PM.jpg?alt=media" alt=""><figcaption><p>セッションタイムアウト</p></figcaption></figure>

### 1. チームと共有フォルダの構造をダウンロードする

まず、以下を確認します。

* ブラウザでベースのThycotic URLを確認
* ユーザー名が正しい形式であること
  * ADユーザーの場合、形式は`DOMAIN\username`で、それ以外の場合は`username`となります。

KeeperコマンダーでKeeper/Thycoticの管理者として、以下のコマンドを実行します。

```
download-membership --source=thycotic
```

すると、次のプロンプトが表示されます。

```
...     Thycotic Host or URL: https://xyz.acme.com/secretserver
...     Thycotic Username: acme.com\user
```

上記のコードを実行することで、以下が実行されます。

* すべての共有フォルダ情報のダウンロード
* チームメンバーシップのダウンロード
* 共有フォルダのアクセス権限のダウンロード

この手順によって、チームと共有フォルダの構造を含む`shared_folder_membership.json`というファイルがローカルにダウンロードされます。ファイルはユーザーフォルダ内に保存される必要があります。

{% hint style="info" %}
Keeperでは、親とは異なる権限を持つ共有フォルダ内のフォルダがまだサポートされていません。

`download-membership`コマンドでは`--sub-folder`というオプションでこのようなフォルダをどのようにインポートするかをコントロールできます。

`--sub-folder=ignore`でフォルダ構造が保持され、フォルダ権限は無視されます。

`--sub-folder=flatten` フォルダが共有フォルダとしてKeeperボルトのルートフォルダへ移動します。folder will be moved to the root folder of the Keeper vault as its own shared folder.
{% endhint %}

### 2. 共有フォルダをインポートする

レコードをインポートする前に、以下のコマンドを実行し、まずKeeper側で共有フォルダ構造を作成します。&#x20;

```
import --format=json shared_folder_membership.json
```

### 3. TOTPコードをエクスポートする

Thycotic/Delinea Secret Serverに保存されているTOTPコードは、CSVファイルを手動でダウンロードすることによってのみ取得できます。Secret Serverの管理者として、**\[Secret Server]** > **\[Export Secrets]** (シークレットをエクスポート) に移動し、以下のオプションを選択します。

* Export Type (エクスポートの種類): Export All (すべてエクスポート)
* Export Folder Path (フォルダのパスをエクスポート): チェック
* Export TOTP Settings (TOTP設定をエクスポート): チェック
* Export Format (エクスポート形式): CSV

ファイルをエクスポートし、ホームフォルダまたはKeeperコマンダーが実行されているフォルダに保存します。デフォルトでは、ファイル名は「secrets-export.csv」になります。

### 4. Secret Serverボルトをインポートする

KeeperコマンダーでKeeper/Thycoticの管理者として、以下のコマンドを実行し、Secret Server APIを使用してデータのインポートを行います。

```
import --format=thycotic https://your-secret-server-hostname
または
import --format=thycotic username@your-secret-server-hostname
```

ボルトのレコード数とユーザー数によって、このコマンドが完了するのに数分かそれ以上かかります。大きなSecret Serverインスタンスでは20分以上かかる場合もあります。

コマンダーは、管理者のKeeperボルトにSecret Serverと同じフォルダ構造を構築しようとします。

また、コマンダーは、TOTPコードをインポートするために、ユーザーのホームフォルダまたはコマンダーの現在のフォルダで「secrets-export.csv」ファイルを探します。

**備考 1:** このコマンドで、通常のフォルダ、共有フォルダ、フォルダ内のレコードをインポートして読み込みます。これにより、Secret Server内の他のユーザーの個人用フォルダがインポートされることはありません。この手順では、管理者がアクセスできる情報のみがインポートされます。

**備考 2:** アクセス権限の異なる別の共有フォルダ内に共有フォルダがある場合、その共有フォルダはルートフォルダに移動されます (Keeperではサブフォルダのアクセス権限がサポートされていないためです) 。

**備考 3:** 特定のセキュリティポリシーが適用されている場合、コマンダーではシークレットをインポートできないことがあります。たとえば、シークレットに「コメント必須」ポリシーが直接または継承によって適用されている場合、コマンダーはそのシークレットをインポートできません。

### 5. メンバーシップの適用

注：Thycoticのすべてのチームは、実行前にKeeper内に**完全に一致する名前**で存在している必要があります。これにより、既存のユーザーが対応するチームに正しく適用されます。存在しないチームは、以下のいずれかの方法で作成できます。

* Keeper管理コンソールの、**\[チーム]** > **\[新しいチームを作成]**&#x304B;ら
* コマンダーの`create-team`コマンド

KeeperコマンダーでKeeper/Thycoticの管理者として、次のコマンドを実行します。

```
apply-membership
```

これにより、手順1の`shared_folder_membership.json`というファイルが読み込まれ、Keeperエンタープライズ環境に存在するすべてのユーザーとチームに共有フォルダへのアクセス権限が適用されます。このコマンドを繰り返し実行しても問題はなく、重複が生じることはありません。

**説明:** SSOまたは招待プロセスによってユーザーが招待/作成されると、公開鍵が作成されます。そのため、Keeperによってメンバーシップが適用されるのは、ユーザーが存在するようになってからとなります。

このため、Keeperでユーザーが作成された際には、Keeper管理者が`apply-membership`コマンドを定期的に (毎日、毎時)、または必要に応じて手動で実行する必要があります。

### 6. エンドユーザーをKeeperに招待する

Keeper管理者は、以下のいずれかの方法でユーザーを招待します。

* SSOログインによるジャストインタイムプロビジョニング
* 管理コンソールを使用した招待
* SCIM

ユーザーを登録してボルトを作成すると、公開鍵と秘密鍵のペアが生成されます。この時点で、次の手順で説明するように、共有フォルダにアクセスできるようになります。

## 共有フォルダへのアクセス

次回管理者が`apply-membership`コマンドを実行すると、新しいKeeperユーザーは自分の共有フォルダにアクセスできるようになります。

手順が多いため、組織全体に展開する前に少数のユーザーでテストすることをお勧めします。

ご不明な点がございましたら、<commander@keepersecurity.com>までメールでお問い合わせください。