# ログイン ## 新しいデバイスでの初回ログイン コマンダーに初めてログインする際は、Keeperコマンダーアイコンをクリックするか、またはシェルを開いて以下のように入力します。 ``` keeper shell ``` ## サーバー設定 米国データセンターをご使用の場合は、`login` と入力してログイン処理を開始します。 KeeperコマンダーCLIではデフォルトでUSデータセンターを使用します。地域を変更するには、以下の `server` コマンドを使用します。 ``` server EU ``` `login` コマンドを使用してコマンダーへログインします ``` login me@company.com ``` ## デバイス承認 環境によっては、デバイスの承認が必要になる場合があります。承認方法はいくつか用意されています。 ``` Not logged in> login me@company.com Device Approval Required Approve by selecting a method below: "email_send" to send email "email_code=" to validate verification code sent via email "keeper_push" to send Keeper Push notification "2fa_send" to send 2FA code "2fa_code=" to validate a code provided by 2FA application "approval_check" check for device approval Type your selection: ``` * メールでの承認を希望する場合 * `email_send`または `es`と入力します * `email_code=`を使用してセキュリティコードを入力します * Keeperプッシュ通知での承認を希望する場合 * `keeper_push`と入力します * プッシュ通知で承認します * `approval_check`と入力します * 二要素認証コードでの承認を希望する場合 * `2fa_send`と入力します * `2fa_code=`と入力します *** ## マスターパスワードでログイン デバイスの承認後、直ちにログインプロセスに移動します。過去に承認済みのデバイスを使用している場合は、これが最初の手順になります。 #### マスターパスワードログインの例 ``` Not logged in> login ... User(Email): yourname@email.com Logging in to Keeper Commander Enter password for yourname@email.com Password: ********* Successfully authenticated with Login V3 (Password) Syncing... Decrypted [23] record(s) My Vault> ``` *** ## 2要素認証 (2FA) でのログイン アカウントに2FAが強制適用されている場合は、マスターパスワードを使用してログインする前に2FAを通過する必要があります。コマンダーのログインフローは、ボルトへのログインと同じルールに従います。 #### 二要素認証でのログイン例 ``` Not logged in> login ... User(Email): yourname@email.com This account requires 2FA Authentication 1. TOTP (Google and Microsoft Authenticator) 2. WebAuthN (FIDO2 Security Key) q. Quit login attempt and return to Commander prompt Selection: 1 ``` 有効化された各2FA方式の横には番号が表示されます。 この例では、TOTPのみが有効になっているため、`1` を入力し、次にTOTPコードを入力する必要があります。対応する番号を入力して次に進みます。 ``` Selection: 1 Enter 2FA Code or Duration: 2fa_duration=forever Enter 2FA Code or Duration: 123456 ``` デフォルトでは、ログインのたびにKeeperコマンダーから2FAコードの入力を求められます。デバイスの2FA認証を30日間または永久に保存するには、コードを入力する前に以下のいずれかを入力します。 * `2fa_duration=30_days` 30日ごとに2FAを行います。 * `2fa_duration=forever` このデバイスでは以降2FAを行いません。度と要求しません *** ## 生体認証でのログイン デバイスに生体認証が設定されている場合、Windows HelloやTouch IDを使用してKeeperコマンダーにログインすることができます。これにより、マスターパスワードや2要素認証 (2FA) をスキップし、より迅速かつ安全なログインが可能になります。 {% tabs %} {% tab title="Windows" %} Windowsユーザー向けWindows Helloの設定方法 Windows Helloを使用するには、以下の設定を行います。 1. **\[設定]** を開く 2. **\[アカウント]** > **\[サインイン オプション]** に進む 3. **\[Windows Hello]** の項目で、「顔認証」「指紋認証」「PIN」などのいずれかを設定する これにより、Keeperコマンダーで生体認証によるログインが利用できるようになります。 {% endtab %} {% tab title="macOS" %} macOSユーザー向けTouch IDの有効化方法 macOSでTouch IDを使用するには、以下の設定を行います。 1. **\[システム設定]** を開く(※macOS Ventura以前は **\[システム環境設定]**) 2. **\[Touch IDとパスワード]** を選択 3. 指紋を追加して、Touch IDを有効にします {% endtab %} {% endtabs %} ### 生体認証の登録 まず、マスターパスワードまたはシングルサインオンを使ってKeeperコマンダーにログインしてから生体認証を登録します。 ```bash # まずはマスターパスワードまたはSSOでログイン Not logged in> login ... User(Email): yourname@email.com Keeper Commander にログイン中 Enter password for yourname@email.com Password: ********* # 次に生体認証を登録 My Vault> biometric register # 生体認証に任意の名称を付けることもできます My Vault> biometric register --name "My MacBook" Adding biometric authentication method: My MacBook Please complete biometric authentication... ``` 指紋認証またはFace IDによる生体認証のプロンプトが表示されます。 {% tabs %} {% tab title="Windows" %} システムから指示が表示されたら、指紋またはFace IDで認証して登録を完了します。
{% endtab %} {% tab title="macOS" %} システムから指示が表示されたら、指紋で認証して登録を完了します。
{% endtab %} {% endtabs %} 指紋またはFace IDでの認証に成功すると、登録が完了します。 {% code overflow="wrap" %} ```bash Biometric authentication completed successfully! Success! Biometric authentication "My MacBook Touch ID" has been registered. Please register your device using the "this-device register" command to set biometric authentication as your default login method. ``` {% endcode %} ### デバイスの登録 生体認証をデフォルトのログイン方法として使用するには、デバイスの登録が必要です。 ```bash My Vault> this-device register ``` ### 生体認証によるログインの例 生体認証とデバイスの登録が完了すると、ログインは以下のようになります。 {% embed url="" %} ```bash Not logged in> login ... User(Email): yourname@email.com Logging in to Keeper Commander Attempting biometric authentication... Press Ctrl+C to skip biometric and default login method Successfully authenticated with Biometric Login! Syncing... Decrypted [1] record(s) My Vault> ``` ### 生体認証情報の管理 | コマンド | 説明 | | ----------------------- | ------------------- | | `biometric list` | 登録済みの生体認証方式を一覧表示します | | `biometric update-name` | 生体認証情報の表示名を更新します | | `biometric unregister` | このユーザーの生体認証を無効にします | | `biometric verify` | 既存の認証情報で生体認証を確認します | *** ## エンタープライズSSO (SAML2.0) ログイン KeeperエンタープライズアカウントにSSOが設定されている場合、コマンダーにログインするユーザーに対して以下の画面が表示されます。 {% code overflow="wrap" %} ``` Not logged in> login ... User(Email): yourname@email.com Logging in to Keeper Commander SSO Login URL: https://keepersecurity.com/api/rest/sso/saml/login/xxx Navigate to SSO Login URL with your browser and complete login. Copy a returned SSO Token into clipboard. Paste that token into Commander a.SSO User with a Master Password c.Copy SSO Login URL to clipboard o.Navigate to SSO Login URL with the default web browser p. Paste SSO Token from clipboard q.Quit SSO login attempt and return to Commander prompt Selection: ``` {% endcode %} SSOを使用してコマンダーにログインするには、SSOプロバイダが発行したトークンをウェブブラウザからコマンダーに貼り付ける必要があります。 SSOトークンを受信するには、以下の手順に従います。 #### デフォルトブラウザを使用したSSOログイン コマンダーが自動的にデフォルトのブラウザを開いた上でSSOコネクトページが表示されるようにするには、SSOの選択で「o」と入力し、`Enter` を押します。 システムの既定のブラウザが開き、SSOコネクトページが表示されます。 {% hint style="info" %} ご利用のオペレーティングシステム、設定、管理者権限によっては、コマンダーからウェブブラウザを開けない場合があります。この場合は、次のオプションを使用してSSOコネクト画面を開きます。 {% endhint %} #### トークンを貼り付けてSSOログイン コマンダーのSSOコネクトのテキストからSSOのログイン画面にURLをコピーするか、SSOの選択で「c」と入力し、`Enter`を押してURLをクリップボードにコピーします。 ``` SSO Login URL: https://keepersecurity.com/api/rest/sso/saml/login/xxx ``` URLをコピーした後、ウェブブラウザに貼り付けてSSOコネクトページに移動します。 SSOログインに成功すると、ウェブページに黄色のコピーボタンが表示されます。 ボタンをクリックしてトークンをコピーします。

SSOログインの成功画面

#### SSOトークンを貼り付ける トークンをコピーしたら、コマンダーに戻ってSSOログインを完了します。 コマンダーのSSO選択画面で「p」と入力し、`Enter` を押して、クリップボードからコマンダーにトークンを貼り付けてSSOログインを完了します。
[Copy login token] (ログイントークンをコピー) ボタンがない場合はどうすればよいですか。 **\[Copy login token]** (ログイントークンをコピー) ボタンが表示されない場合があります。 これは、SSOの設定とコマンダーのバージョンによって異なります。 この場合は、SSOトークンをウェブページソースから手動でコピーする必要があります。 ページは読み込み中の状態 (アイコンが回転している状態) のままになり、トークンを見つけてコピーする時間が与えられます。 回転するアイコンは読み込み中のように見えますが、ページは変わりません。 ブラウザでSSOコネクトページを開いた後、以下の手順に従ってSSOトークンをコピーします。 ウェブページを右クリックして、**\[ソースを表示]**を選択します ![](https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FbKx9FAFjKjRMbirZ41oc%2Fimage.png?alt=media\&token=e3e22747-3f91-48f5-8a49-844e59017f3f) ページのソースを開いた状態で、「var token」を検索し、そのテキストに続くトークンをコピーします。 引用符 (") 自体はコピーせずに、引用符の間のテキストをすべてコピーしてください。トークンはページの表示よりも長いことにご注意ください。 SSOログイン用のトークンは2つの形式から選べます。 **長い引用符で囲まれた文字列のトークン** `var token = "aQwD`h\&r`[...]"` この場合は、引用符内をすべてコピーします。 ![](https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FCrt3tvqrZvgv35pc965Z%2Fimage.png?alt=media\&token=9727e95b-de9d-457d-9c47-79deba0905a4) **jsonオブジェクトのトークン** `var token = {'result':'success', 'password':"d8!xe3[...]"}` この場合は、波括弧を含むオブジェクト全体をコピーします ![](https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FwpPfi7NVxefDNoKjiIIY%2Fimage.png?alt=media\&token=8919a843-7add-4927-bd5c-8ef190a4e28d) トークンをコピーしたら、コマンダーに戻ってSSOログインを完了します。 コマンダーのSSO選択画面で「p」と入力し、`Enter`を押して、クリップボードからコマンダーにトークンを貼り付けてSSOログインを完了します。
*** ### SSOログインによるデバイス承認 アカウントの要デバイス承認がONになっている場合は、最初のSSOログイン後に要デバイス承認の選択が表示されます。 ``` Approve this device by selecting a method below: 1.Keeper Push.Send a push notification to your device. 2.Admin Approval.Request your admin to approve this device. r.Resume SSO login after device is approved. q.Quit SSO login attempt and return to Commander prompt. Selection: ``` 選択内容を入力し、`Enter`を押してデバイス承認を続行します。 1: Keeperプッシュ通知による承認 2: 管理者承認による承認 r: デバイスの承認後にSSOログインを再開 デバイス承認の詳細は、[「新規デバイスでの初回ログイン」のページ](#first-login-on-a-new-device)をご参照ください。 ### SSOログインでマスターパスワードを使用 通常、エンタープライズSSOログイン (SAML 2.0) を使用してKeeperボルトにログインする場合は、マスターパスワードを使用してKeeperコマンダーにログインすることもできます。この機能を使用するには、Keeper管理者が有効化した後で、ユーザーが設定する必要があります。以下はその手順です。 #### Keeper管理コンソールにログインします 管理者として、通常どおりにKeeper管理コンソールにログインします。 #### SSOマスターパスワードポリシーを有効にします Keeperコマンダーにアクセスしようとするユーザー/ロールに対し、ロール強制適用ポリシーの設定画面を開きます。**\[SSOでログインするユーザーがマスターパスワードを作成できるようにする。]** のオプションを有効にします。

SSOマスターパスワードポリシー

#### SSOを使用してエンドユーザーのボルトにログインします コマンダーを使用することになるユーザーとして、通常どおりSSOプロバイダを使用してKeeperウェブボルトまたはKeeperデスクトップアプリにログインします。 #### マスターパスワードを作成します **\[設定]** > **\[全般]** へアクセスし、マスターパスワードを設定します。
マスターパスワードが作成されると、Keeperコマンダーにログインできるようになります。 **(オプション) 構成ファイルでSSOマスターパスワードログインを強制します。** 構成ファイルに以下の行を追加します。 ``` { ... "sso_master_password": true, ...} ``` *** ## プロキシでのログイン ネットワーク構成でプロキシサーバーを使用する必要がある場合は、ログインする前に `proxy` コマンドを使用します。 {% code overflow="wrap" %} ``` My Vault> proxy -h usage: proxy [-h] [-a {list,add,remove}] [schema://[user:password@]host:port] Sets proxy server positional arguments: schema://[user:password@]host:port "add": proxy address.Schemas are "socks5h", "http", "socks4", etc optional arguments: -h、--help show this help message and exit -a {list,add,remove}、--action {list,add,remove} action ``` {% endcode %} *** ## 永続ログインセッション (「ログイン状態を維持」) コマンダーでセッション間でログイン状態を維持するように設定できます。また、デバイスを操作していないときにログイン状態を維持する時間も設定できます。この機能は、ボルトのUIでは「永続的ログイン」または「ログイン状態を維持」と呼ばれます。 設定には、`this-device` コマンドを使用します。 例 ``` My Vault> this-device Device Name:Commander CLI on macOS Data Key Present: missing IP Auto Approve:OFF Persistent Login:OFF Device Logout Timeout:1 hour Enterprise Logout Timeout:7 days Effective Logout Timeout:1 hour Is SSO User:True ``` 認証を要求されないように「ログイン状態を維持」を有効にするには、以下のコマンドを使用します。 ``` this-device persistent-login on this-device register ``` 永続ログインが有効になっている場合、以降コマンダーを実行する際に認証を求めるプロンプトは表示されません。 ``` user@mycomputer ~ % keeper shell Logging in to Keeper Commander Successfully authenticated with Persistent Login ``` {% hint style="warning" %} ログインIDに対して「ログイン状態を維持」を有効にすると、Keeperを使用している**すべてのデバイス**にその設定が反映されます。 この機能を有効にする場合は、以下の点にご注意ください。 * ローカルデバイスが他者にアクセスされないよう、適切に保護されていること * ローカルデバイス上の `config.json` ファイルが安全に保管されていること セキュリティ確保のため、これらの条件を満たしたうえでご利用ください。 {% endhint %} 以下は、非アクティブ時のログアウトタイマーを特定の時間 (分) に設定する手順です。 ``` this-device timeout 600 ``` アカウントで2要素認証 (2FA) が有効になっている場合、2FAの要求頻度もあわせて設定する必要があります。たとえば、このデバイスでは再度2FAを求めない設定にする場合は、以下のように指定します。 ```bash this-device 2fa_expiration forever ``` 生成された設定ファイルは、通常、ローカルデバイスのホームディレクトリ配下にある `.keeper/config.json` に保存されます。この設定ファイルは、1つのデバイス専用である点に注意してください。同じ構成ファイルを使って別のデバイスからコマンダーにログインすると、両方のセッションが無効化され、永続ログインが解除されます。これは、構成ファイルが複数の場所で使われることを防ぐための仕様です。コンテナやクラウド上のサーバーなど、別のデバイスでこの構成を使用する予定がある場合は、構成ファイルを作成した後、ローカルデバイス上の構成ファイルを速やかに削除してください。 ## コマンダーを使用する {% embed url="" %} Keeperコマンダーでボルトへアクセス {% endembed %}