search

Jira Workflow

Jiraチケットを利用したリクエスト型アクセス管理のためのKeeperボルト連携

circle-info

本連携機能は現在パブリックプレビュー版です。フィードバックや機能要望がございましたら、Issuearrow-up-rightをご利用ください。

hashtag
概要

Keeper Security for Jiraは、Atlassian Forge上で動作するアプリケーションであり、JiraチケットからKeeperボルトの操作を直接管理できるようにします。本連携により、プロジェクト管理ワークフローとシークレット管理を統合し、Jira環境を離れることなく、認証情報のリクエスト、承認、実行を行えます。

また、本Jira連携では、エンドポイント特権マネージャー (KEPM) の承認管理にも対応しています。すべての操作は、タイムスタンプおよび実行ユーザー情報付きでJiraのコメントとして記録されます。

hashtag
レコード管理機能

機能
説明

新規レコード作成

認証情報、セキュアノート、支払いカード、カスタムレコードタイプを追加

レコード更新

既存のボルトレコードの情報を更新

レコード共有

チームおよびユーザーに対するフォルダ単位のアクセス管理

権限管理

共有フォルダ内のレコードに対する詳細なアクセス権を制御

共有フォルダ管理

チームおよびユーザーに対するフォルダ単位のアクセス管理

権限管理

共有フォルダ内のレコードに対する詳細なアクセス権を制御

hashtag
エンドポイント特権管理機能

機能
説明

リアルタイム承認ワークフロー

エンドポイントからの特権昇格リクエストを確認し、承認または拒否

リクエストのリアルタイム監視

保留中のリクエストをカウントダウンタイマーおよび詳細情報とともに表示

ワンクリック操作

監査証跡を保持したまま、即時に承認または拒否

リクエスト詳細情報

ユーザー情報、アプリケーション、申請理由、有効期限の状態を表示

hashtag
要件

Keeperの厳格なゼロ知識暗号化モデルを維持するため、本Jira連携では、お客様環境のVM上でコマンダーサービスモードのコンテナをホストし、Jira Cloud上でカスタマイズされたForgeアプリをホストする必要があります。

要件
説明

Keeperコマンダーサービスモード

REST APIアクセスが可能なコマンダーサービスモードを実行するサービスアカウント。リクエストのルーティングにはNgrokまたはCloudflare Tunnelを使用。

Jira Cloud管理者アクセス

Forgeアプリのインストールおよび設定には、Jira管理者またはManage Apps (アプリを管理) 権限が必要。

Jira設定アプリから接続設定を実施。

Jiraエンドユーザーアクセス

Keeperパネルを表示および使用するには、Edit Issues (イシュー編集) およびAdd Comments (コメント追加) 権限が必要。すべてのJira Cloudプロジェクトタイプで動作し、追加設定は不要。詳細についてはこちらのAtlassianのウェブサイトarrow-up-rightをご参照ください。

Keeper標準機能

ボルトアクセスを含むKeeperビジネス、エンタープライズ、PAMarrow-up-rightのいずれかのサブスクリプションが必要。

レコードの作成、更新、共有が可能なサービスアカウント権限が必要。

エンドポイント特権マネージャー機能

  • 有効なKeeperPAMサブスクリプションが必要。

  • Keeper環境でKEPMモジュールが有効化および設定済みであること。

  • KEPMのデプロイメント、エージェント、ポリシーが構成済みであること。

  • 詳細については、エンドポイント特権マネージャーの概要ページをご参照ください。

hashtag
セットアップおよび構成

JiraサービスとKeeper間で通信を行うには、お客様側でNgrokまたはCloudflare Tunnelを使用したKeeperコマンダーサービスモードのインスタンスをホストする必要があります。構成方法はIT要件に応じて異なります。

コマンダーサービスモードは、任意のマシン上でフォアグラウンドサービスとして実行することも、ローカルまたはリモートサーバー上でDockerコンテナとして実行することも可能です。

hashtag
手順1. コマンダーのセットアップ

Keeperコマンダーをインストールし、サービスを起動するには、コマンダーサービスモードREST APIのページに記載のセットアップ手順に従ってください。Forgeアプリからコマンダーインスタンスへリクエストを正しくルーティングするため、NgrokまたはCloudflare Tunnelを使用した設定手順を必ず実施してください。コマンダーサービスモードは、CLI上で直接実行することも、ローカルマシンでバックグラウンド実行することも、リモートサーバー上でサービスとして実行することも、Dockerコンテナで実行することも可能です。Dockerの使用を推奨します。

hashtag
重要事項

以下の点を必ず確認してください。

  1. リクエストキューシステム (API v2) を有効にする必要があります (例: -q=y)

  2. ボルト管理機能を使用する場合は、次のコマンドが許可リストに含まれていることを確認します。

  1. ボルト + KEPM機能を使用する場合は、次のコマンドが許可リストに含まれていることを確認します。

  1. Ngrokトンネリングを使用する場合は、次のパラメータを含めます。

  1. Cloudflareトンネリングを使用する場合は、次のパラメータを含めます。

サービス作成後、APIキーがコンソール出力に表示されます。必ずコピーして安全に保管します。Dockerを使用している場合は、次のコマンドでログからAPIキーを取得します。

コマンダーサービスが正常に起動していれば、エンドポイントに対して以下のようにcurlリクエストを送信できます。

トンネルが稼働しており、APIキーが正しければ、次のようなレスポンスが返されます。

サービスが正常に稼働していることを確認したら、Jiraの設定手順に進みます。

hashtag
手順2. Keeper Forgeアプリのインストール

連携設定を行う前に、Jira CloudインスタンスにKeeper Forgeアプリをインストールする必要があります。

詳細な手順については、Forgeアプリのインストールについてのページをご参照ください。

hashtag
手順3. Jiraの構成

Atlassian Jiraインスタンスで、管理者として連携の構成を行います。

  • Jiraで [Apps] (アプリ) → Keeperに移動します。

  • API URL (/api/v2 パスを含む) およびAPIキーを入力します。

  • URLの例

    • Ngrok: https://your-subdomain.ngrok.io/api/v2

    • Cloudflare: https://your-subdomain.trycloudflare.com/api/v2

  • [Test Connection] (接続をテスト) をクリックし、成功することを確認します。

  • 設定を保存します。

Jira管理者の構成が完了しました。

hashtag
手順4. エンドポイント特権マネージャーWebhookの設定

Keeper EPMの承認管理およびJiraでのチケット生成を行うには、KeeperからJiraプラットフォームへWebhook通知を送信します。Webhook URLは、Keeper Jira連携画面に表示されます。

以下の手順に従い、Keeper管理コンソールでWebhookを有効化してください。

  • Jira Forgeアプリ画面からWebトリガーURLを確認します。

  • 認証トークンを生成します。

  • Webhook URLとトークンをコピーします (トークンは一度だけ表示されます)。

  • Keeper管理コンソールにログインし、[レポートとアラート][アラート] に移動して、[アラートを追加] をクリックします。

  • アラート名を「Jira EPM Alerts」などに設定します。

  • 「アラート条件」で、以下のイベントを選択します。

    • エージェントが承認リクエストを作成

    • 承認リクエストを削除

    • 承認リクエストのステータスを変更

  • [受信者を追加] をクリックし、[Webhook] を選択します。

  • 先ほどコピーしたURLおよびトークンを貼り付けます。

  • 受信者を保存し、続いてアラートを保存します。

Keeper管理コンソールのWebhook構成

  • Jira Forgeアプリ画面に戻り、Keeper Securityのアラートから自動作成されるチケットを受け取るJiraプロジェクトを構成します。

  • 対象プロジェクトおよび既定の課題タイプを選択します。WebトリガーURLはJira Forgeによって自動生成され、Keeper SecurityアラートのWebhookエンドポイントとして機能します。

  • Forgeアプリの構成を保存します。

EPM WebhooksのKeeper Forgeアプリの構成

hashtag
Jiraワークフローのユーザーガイド

  • Jiraプロジェクト (例: IT Support、Security Operations) に移動します。

    • 新しいチケットを作成します。

  • 作成したJiraチケットを開きます。

    • 画面右側のパネルにあるKeeperパネルを確認します。

    • パネルが読み込まれ、利用可能なKeeperアクションが表示されます。

    • 次のいずれかのアクションを選択します。

      • Request Access to Record (レコードへのアクセスをリクエスト)

      • Request Access to Folder (フォルダへのアクセスをリクエスト)

      • Request Record Permission Change (レコード権限の変更をリクエスト)

    • フォームに必要事項を入力します (必須項目には * が付いています)。

  • 承認のため送信します。

    • 初回送信の場は、[Save Request] (リクエストを保存) をクリックして管理者承認へ送信します。

    • 既存のリクエストを更新する場合は、[Update Request] (リクエストを更新) をクリックして保存済みのリクエストを修正します。

    • 送信後、「Request submitted successfully」または「Request updated successfully」という確認メッセージが表示されます。

アクション
使用する場面

Request Access to Record

個別レコードへのアクセス付与または取り消しを行う場合。期間限定アクセス、一時的なアクセス、チーム共有に利用。

Request Access to Folder

ユーザーまたはチームに対するフォルダ単位のアクセスおよび権限を管理する場合。一時的なプロジェクト対応や外部委託先へのアクセスに有効。

Request Record Permission Change

共有フォルダ内のレコードに対する詳細なアクセス権を管理する場合。最小権限の原則やコンプライアンス要件の徹底に使用。

Create New Secret (管理者のみ)

Keeperボルトに新しいレコードを追加する場合。新規ユーザーのオンボーディングや認証情報のプロビジョニングに最適。

Update Record (管理者のみ)

パスワード、ユーザー名、URL、カスタムフィールドなど既存レコードの情報を更新する場合。認証情報の更新やパスワードローテーションに使用。

Endpoint Privilege Approval (管理者のみ)

エンドポイントからの特権昇格リクエストをリアルタイムで確認し、承認または拒否する場合。

hashtag
Request Access to Record

説明: 特定のKeeperレコードに対する共有アクセスをリクエスト

主な機能

  • メールアドレス指定でユーザーへのレコードアクセスを付与または取り消し

  • レコード所有権の移管

  • オプション権限の設定 (Allow Sharing、Allow Edit)

  • アクセス有効期限の設定 (特定の日時または期間指定)

  • フォルダ内のすべてのレコードに対して権限を再帰的に適用

Request Access to Record

hashtag
Request Access to Folder

説明: ユーザーまたはチームに対するKeeper共有フォルダへのアクセスをリクエスト

主な機能

  • フォルダアクセスの付与または取り消し

  • 個別ユーザーまたはチームへの割り当て

  • フォルダ権限の設定

  • レコードの管理

  • ユーザーの管理

  • レコードの共有

  • レコードの編集

  • アクセス有効期限の設定

Request Access to Folder

hashtag
Create New Secret

説明: Keeper内に新しいシークレットレコードを直接作成

主な機能

  • 利用可能なレコードタイプ (ログイン情報、銀行口座、SSHキーなど) から選択

  • レコードタイプに応じたフィールドを動的に入力

  • シークレットをKeeperボルトに安全に保存

circle-info

Jira管理者およびプロジェクト管理者のみ利用可能

hashtag
Update Record

説明: 既存のKeeperレコードを更新

circle-info

Jira管理者およびプロジェクト管理者のみ利用可能

主な機能

・ボルト内のレコードを検索して選択 ・レコードフィールド (title、login、password、URL、notes など) を変更 ・警告を上書きして更新する強制更新オプション

注: Keeperパネルを表示および使用するには、「Edit Issues」(イシュー編集) 権限が必要です。

Update Record

hashtag
Manage KEPM Approval Requests

説明: Jira上でKeeperエンドポイント特権マネージャー (KEPM) のリクエストを確認し、承認または拒否

主な機能

  • 保留中のリクエストを確認

  • 特権昇格またはコマンド実行を承認

  • 特権昇格またはコマンド実行を拒否

hashtag
トラブルシューティング

hashtag
デバッグモード

コマンダーサービスモードREST APIが想定どおりに動作しない場合は、以下のようにデバッグモードを有効にして詳細ログを取得します。

Dockerの場合

デバッグモード有効時の動作

  • コンソールまたはDockerログに詳細なリクエスト/レスポンスのトレースを表示

  • 構成ミスやAPI通信の問題特定に有効

  • 機密情報を含む可能性があるため、本番環境では無効化を推奨

hashtag
サービスステータスの確認

  1. CLIでコマンダーサービスモードの状態を確認します。

  1. APIの到達性およびステータス確認を確認します。

  • APIエンドポイントを検証してサービス状態を確認します (以下のコマンドを参照)。

  • サーバーが起動しており、Jiraからアクセス可能であることを確認します。

  • ファイアウォール設定でアクセスが許可されていることを確認します。

  1. コマンダーサービスモードを再起動します。

circle-info

サービス停止中もWebhookペイロードデータを用いてチケットは作成されます。セキュリティイベントが失われることはありません。サービス復旧後は、KEPM承認ビューコマンドによる拡張データが新規チケットに含まれます。

hashtag
問題の対処

エラー / 症状
原因
推奨される対処方法

Connection Failed / Timeout

コマンダーサービスモードが起動していない、またはトンネルに接続できない

コマンダーサービスモードインスタンスが稼働中でアクセス可能か確認。NgrokまたはCloudflareトンネルが有効で正しいポートを指していることを確認

401 Unauthorized / 403 Forbidden

APIキーが無効または期限切れ

コマンダーサービスモードログから正しいAPIキーを取得し、Jira設定画面で更新。余分な空白や文字が含まれていないか確認

404 Not Found

API URLが誤っている、または不完全

/api/v2 を含む完全なAPI URLを使用 (例 https://xxxxx.ngrok.io/api/v2 または https://xxxxx.mycompany.com/api/v2)。トンネルがコマンダーサービスモードと同じポートに転送していることを確認

502 Bad Gateway / 503 Service Unavailable

コマンダーサービスモードが停止している、または応答していない

コマンダーサービスモードを再起動し、完全に初期化されるまで待機。直近のログで構成や認証エラーを確認

接続成功後も操作が失敗する

必要なコマンド未有効、または権限不足

コマンダーサービスモードで必要なコマンドが有効か確認。操作実行アカウントのKeeperボルト権限を確認

前へJetBrainsプラグイン次へForge Appのインストール

最終更新

役に立ちましたか?