SaaSローテーションプラグイン

SaaSおよびRESTベースのローテーションプラグイン

KeeperPAM SaaSローテーションプラグイン

概要

KeeperPAMでは、さまざまなSaaSアプリケーションやサービスに対して自動パスワードローテーションをサポートしています。この機能により、ユーザーのパスワードがローテーションされた際に、複数のシステム上のパスワードを自動で更新でき、手動操作なしでアクセスの同期が維持されます。

組み込みSaaS連携

KeeperPAMには、以下のような主要サービス向けの統合が含まれています。

  • Okta: IDおよびアクセス管理

  • Snowflake: クラウドデータプラットフォーム

  • REST API: 汎用RESTエンドポイント統合

  • AWSアクセスキー: Amazon Web Servicesの認証情報ローテーション

  • Azureクライアントシークレット: Microsoft Azureアプリケーションのシークレット管理

  • Cisco IOS XE: ネットワーク機器の管理

  • Cisco Meraki: クラウド管理型ネットワークソリューション

公開SaaS統合プラグイン

KeeperのSaaS GitHubリポジトリには、以下のような新しいローテーションプラグインが公開されています。

SaaSパスワードローテーションのセットアップ

1. SaaS構成レコードの作成

SaaS構成は、接続パラメータを定義したカスタムフィールド付きログインレコードとしてボルト内に保存されます。

KeeperコマンダーCLIを使用する方法

最も簡単にSaaS構成を作成するには、KeeperコマンダーCLIを使用します。

# ボルトに接続
keeper shell

# ゲートウェイで利用可能なSaaSタイプを一覧表示
My Vault> pam action saas config --gateway "My Gateway" --list

# 新しいSaaS構成の作成(例:Okta)
My Vault> pam action saas config --gateway "My Gateway" --config-type "Okta" --shared-folder-uid FOLDER_UID

このコマンドを実行すると、選択したSaaSタイプに必要な構成値の入力が求められます。

手動での構成

ログインレコードを手動で作成し、必要なカスタムフィールドを追加することもできます。

全SaaSタイプ共通の必須カスタムフィールド

フィールド名
説明

SaaS Type

サービスの種類 (例: "Okta", "Snowflake", "REST")

Active

ローテーションを有効にするためのフラグ (任意、デフォルトアクティブ)

サービス別カスタムフィールド

Okta構成

フィールド名
値の例

SaaS Type

Okta

Okta URL

https://company.okta.com

Okta Token

Okta管理画面の [Security] > [API] > [Tokens] から取得したAPIトークン

Snowflake構成

フィールド名
値の例

SaaS Type

Snowflake

Snowflake Admin User

管理者のユーザー名

Snowflake Admin Password

管理者のパスワード

Snowflake Account

アカウント識別子 (SnowflakeのURLのサブドメイン部分)

REST API構成

フィールド名
説明

SaaS Type

REST

REST Url

APIエンドポイントのURL

REST Token

Bearer認証用の固定トークン

REST Method

HTTPメソッド (POSTまたはPUT、デフォルトはPOST)

AWS Access Key構成

フィールド名
説明

SaaS Type

AWS Access Key

AWS Admin Access Key ID

管理者のアクセスキーID

AWS Admin Secret Access Key

管理者のシークレットアクセスキー

Region Name

AWSリージョン名 (GovCloudの場合は必須)

AWS Clean Keys

クリーンアップポリシー ("All" または "Oldest")

Azure Client Secret構成

フィールド名
説明

SaaS Type

Azure Client Secret

Azure Target Object ID

対象アプリケーションのオブジェクトID

Azure Tenant ID

テナントID

Azure Admin Application ID

管理アプリケーションのクライアントID

Azure Admin Client Secret

管理アプリケーションのシークレット

Expiry Days

シークレットの有効期限 (日数) デフォルト: 365

Azure Authority

MSALトークン取得用URL

Azure Graph Endpoint

Azure GraphスコープURL

AWS Clean Keys

クリーンアップポリシー ("All" または "Replace")

Cisco IOS XE構成

フィールド名
説明

SaaS Type

Cisco IOS XE

Admin Username

管理者ユーザー名

Admin Password

管理者パスワード

Hostname

デバイスのホスト名またはIPアドレス

Verify SSL

SSL証明書の検証 (デフォルト: FALSE)

Cisco Meraki構成

フィールド名
説明

SaaS Type

Cisco Meraki

Admin Email

管理者のメールアドレス

API Key

管理者プロファイルから取得したAPIキー

Network ID

対象ネットワークのID (空欄なら自動検出)

Verify SSL

SSL証明書の検証 (デフォルト: FALSE)

2. SaaSローテーションをユーザーに関連付ける

SaaS構成を作成したら、それをユーザーレコードに関連付けます。

ユーザーにSaaSローテーションを追加する

My Vault> pam action saas add --user-uid USER_RECORD_UID --config-record-uid SAAS_CONFIG_UID

(任意) 特定のリソースに関連付ける場合

EditMy Vault> pam action saas add --user-uid USER_RECORD_UID --config-record-uid SAAS_CONFIG_UID --resource-uid RESOURCE_UID

3. 構成の確認

SaaSローテーションが正しく構成されているか確認するには、以下を実行します。

# 指定ユーザーのすべてのSaaSローテーションを表示
My Vault> pam action saas info --user-uid USER_RECORD_UID

このコマンドにより、対象ユーザーに構成されたSaaSローテーションとその現在の設定内容が表示されます。

SaaSローテーションの管理

SaaSローテーションの削除

ユーザーからSaaSローテーションを削除するには、以下のコマンドを使用します。

My Vault> pam action saas remove --user-uid USER_RECORD_UID --config-record-uid SAAS_CONFIG_UID

ローテーションの有効化/無効化

SaaSローテーションを有効または無効にするには、Activeカスタムフィールドを以下のように設定します。

  • 有効にする場合: true, yes, 1 など任意の値を設定

  • 無効にする場合: フィールドを削除するか、空またはfalseに設定

カスタムおよびコミュニティプラグイン

利用できるカスタムプラグイン

標準装備の統合に加えて、コミュニティが作成したプラグインを含むカスタムプラグインが使用できます。

GitHubリポジトリ: discovery-and-rotation-saas-dev

integrations/フォルダで以下のような利用できるプラグインをご確認ください。

  • その他クラウドサービス

  • データベースシステム

  • ネットワーク機器

  • カスタムエンタープライズアプリケーション

カスタムプラグインの使用方法

1. プラグインディレクトリのセットアップ

PAMゲートウェイにカスタムプラグインのディレクトリを認識させます。

# PAM構成レコードにパスを設定
My Vault> record-update -r PAM_CONFIG_RECORD_UID "text.SaaS Plugins Dir=/path/to/plugins"

2. プラグインファイルの展開

以下のようにPythonファイルを配置します。

# プラグインディレクトリを作成
mkdir /opt/keeper/saas_plugins

# リポジトリからプラグインファイルをコピー
cp custom_plugin.py /opt/keeper/saas_plugins/

3. Dockerコンテナでの設定

Dockerを使用している場合、以下のようにマウント設定します。

# docker-compose.yml の例
services:
  keeper-gateway:
    image: keeper/gateway:preview
    volumes:
      - ./saas_plugins:/opt/keeper/saas_plugins
    environment:
      GATEWAY_CONFIG: YOUR_GATEWAY_CONFIG_UID

PAM構成にも同様のパスを設定します。

My Vault> record-update -r PAM_CONFIG_RECORD_UID "text.SaaS Plugins Dir=/opt/keeper/saas_plugins"

4. プラグインのアクセス許可設定 (必要な場合)

一部のプラグイン (AWSやAzure統合など) は、PAM構成の認証情報にアクセスする必要があります。 その場合、以下のようにアクセス許可リストにプラグイン名を追加します。

My Vault> record-update -r PAM_CONFIG_RECORD_UID "multiline.Allow SaaS Access=Custom Plugin Name\nAnother Plugin"

カスタムプラグインの開発

必要なプラグインが現在存在しない場合は、GitHubリポジトリにある開発環境を使用して独自に開発できます。リポジトリには以下が含まれています。

  • 開発およびテストツール

  • サンプルプラグインとテンプレート

  • APIドキュメント

  • テストフレームワーク

詳細な開発手順については、リポジトリのREADMEをご確認ください。コミュニティディレクトリに貢献する場合は、Pull Requestを送信してください。

ベストプラクティス

セキュリティの考慮事項

  • SaaS統合には最小権限の専用サービスアカウントを使用する

  • APIキーやトークンは定期的にローテーションする

  • 本番導入前に開発環境で十分にテストする

  • ローテーションログを監視し、エラーや認証失敗を検知する

構成管理の推奨事項

  • SaaS構成は専用の共有フォルダに保存して整理

  • 構成レコードにはわかりやすい名前を付ける (例: "Okta Production"、"Snowflake Dev")

  • チーム内で必要なカスタムフィールド要件を文書化する

  • 定期的にSaaSローテーションの割り当てを見直し・更新する

トラブルシューティング

  • ローテーション中の詳細なエラーメッセージはゲートウェイのログを確認

  • SaaSアプリケーション側のAPI認証情報や権限設定を確認

  • ゲートウェイと対象サービス間のネットワーク接続を確認

  • 複数ユーザーに適用する前に個別構成の動作確認を実施

サポートとリソース

項目
サポート方法

標準装備SaaSタイプ

Keeper標準サポート窓口

カスタムプラグイン

GitHubリポジトリのイシューにてコミュニティサポート

開発に関する質問

リポジトリのドキュメントおよびサンプル参照

エンタープライズ向け統合支援

Keeperの担当者にお問い合わせください

常に最新のプラグイン一覧および統合例を確認するには、GitHubリポジトリを定期的にご確認ください。

前へAWS RDS for Oracle次へカスタムスクリプト

最終更新