エンタープライズプラン管理者
Keeperエンタープライズのトラブルシューティングとサポート
Last updated
Keeperエンタープライズのトラブルシューティングとサポート
Last updated
こちらにからエンタープライズプランのガイドをご覧ください。ガイドには、エンドユーザーへの展開に関する情報も含まれています。
弊社のチェックアウトページをご利用ください。
現在、エンドユーザーの数が1000人を超えるアカウントでは、管理コンソールのユーザーレポートでログイン日が空欄で表示されます。を使用して、以下のようにuser-reportコマンドでユーザーステータスレポートを作成しましょう。
通常は、SAML 署名証明書を更新する必要があることを意味します。手順については、をご参照ください。
IDプロバイダで、正しいSAMLアプリケーションにユーザーまたはグループが割り当てられているようにします。
IDプロバイダからユーザーを招待したりプロビジョニングされたグループにユーザーを割り当てる際、IDプロバイダからKeeperへ、ユーザーを招待、ユーザーをチームに追加、チームを作成のいずれかのリクエストが送信されます。
ユーザーがまだKeeperに存在しない場合、サインアップの招待を受け取ります (または、ジャストインタイムプロビジョニングを使用)。
ユーザーがKeeperアカウントを作成した後、下記のいずれかが発生するまでKeeperチームには割り当てられません。 (a) 管理者が管理コンソールにログイン > 管理画面から「完全同期」をクリックする。 (b) 該当チームのユーザーがウェブボルトかKeeperデスクトップにログインする。 (c) 管理者が Keeper Commanderでteam-approveを実行する。 SCIM経由でチームとユーザーを即座に作成できない理由は、暗号化モデルとユーザー間で秘密鍵を共有する必要があるためです。暗号化キー (チームキーなど) の共有は、ログインした状態で必要な秘密鍵にアクセスできるユーザーのみが実行できます。
Keeperでは、プロビジョニングされたチームがそのチームに必要な公開/秘密暗号化キーのペアを生成する必要があります。同様に、ユーザーがチームに割り当てられると、チームの秘密キーがユーザーの公開キーで暗号化されます。こうして、Keeperボルト内のチームフォルダを割り当てられたユーザーは、必要なフォルダキーと記録キーを復号化できます。 Keeperはゼロ知識プラットフォームであるため、このトランザクションは、管理コンソール、ボルト、コマンダーCLIツールなどの認証されたクライアントデバイスアプリケーションのどれかから発生する必要があります。
チームまたはチームとユーザーの割り当てがSCIMを通じてプロビジョニングされると、チームの作成とユーザー チームの割り当ては「保留キュー」に入ります。 このキューは、認証されたクライアント側アプリケーションによって処理され、必要なチーム キーを作成し、秘密キーを目的のユーザーと共有します。
現在、チームの作成とチームとユーザーの割り当ては、以下の状況で行われます。
管理者がKeeper管理コンソールにログインする。
KeeperコマンダーCLI の「team-approve」コマンドを実行する。
Keeperオートメーターサービスが導入されている (バージョン3.2以降)。
保留中のチームおよびチームとユーザーの割り当てをクリアする必要がある場合は、以下の手順を定期的に実行してください。
keeper shell
を使用してKeeperコマンダーにログインする。
以下のコマンドを実行します。
セキュリティ上の理由から、KeeperはSSOノード外のエンタープライズユーザーが連携IDプロバイダでログインできないようになっています。SSOでログインできないユーザーがいる場合、Keeper 管理コンソール内のSSO対応ノードにユーザーをプロビジョニングしてください。ユーザーをSSOノードに移動するには、ユーザーの編集画面からドロップダウンでノードを選択します。
Keeperのメールシステムは宛先不明で戻ってきた場合にメールへの配信を自動的に停止します。通常、メールアドレスが存在するより前にKeeperアカウントを作成した場合に発生します。このような状況にあるユーザーが存在する場合、Keeper B2Bサポートチームまでご連絡ください。弊社で対応いたします。
IDプロバイダでユーザーのメールアドレスが変更された場合は、以下のようにenterprise-userコマンドを使用してKeeperのユーザーIDにエイリアスを追加できます。
このコマンドでは、予約されたドメインでのみエイリアスを作成できます。Keeperコマンダーの詳細については、こちらのページをご覧ください。
ユーザーを新しいメールドメインに移行する場合、スムーズな移行を可能にするために組織全体のドメインエイリアスがサポートされています。 ドメインエイリアスをご希望の場合は、サポートチケットをご利用ください。
マスターパスワードの入力を求められるSSOユーザーがいる場合は、以下をご確認ください。
ユーザーがSSO対応ノードにプロビジョニングされていること。
ユーザーが正しいデータセンター (US、EU、AU、JP、CA、GOV) からログインしていること。
ユーザーは、以前に承認されたデバイスを使用することで、追加のデバイスを承認できます。例えば、すでにコンピュータでウェブボルトにログインしている場合、初めてスマホアプリにログインすると、ウェブボルトにモバイル端末の情報を含むデバイス承認プロンプトが表示され、承認または拒否ができます。
KeeperクラウドSSOコネクトを使用すると、あらゆるSAML 2.0 IDプロバイダとのスムーズなログインを維持しながら、 ゼロ知識を利用した暗号化がご利用になれます。
ユーザーが一度も使用したことのないデバイスでログインしようとすると、楕円曲線秘密鍵/公開鍵のペアが新しいデバイス上で生成されます。ユーザーがIDプロバイダからの認証に成功した後、新しいデバイスでボルトを復号化するために鍵を交換する必要があります。これを「デバイス承認」と呼びます。
ブラウザで、ゲストモード、プライベートモード、シークレットモードを使用したり、ブラウザのキャッシュをクリアしたりすると、起動するたびに新しいデバイスとして識別されるため、新しいデバイスの承認が必要になります。
ゼロ知識を維持し、Keeperのサーバーから暗号化キーにアクセスできないようにするために、ユーザーまたは指定された管理者が実行できるプッシュベースの承認システムを開発しました。また、ユーザーが操作することなく、デバイスの承認と鍵交換を自動的に実行するサービスをホストすることも可能です。
新しいデバイスまたは認識されていないデバイスにログインする際、ユーザーには以下の2つのオプションがあります。
Keeper Push (自分のデバイスを使用)
管理者承認 (管理者の承認を要請する)
Azureでコンテナインスタンスを予期せず再起動した後、コンテナが新しいIPアドレス (たとえば、App Gatewayがもともとバックエンドプールでx.x.0.4のIPでプロビジョニングされていた場合でも、x.x.0.5) で復帰することがあります。この問題は、バックエンドプールのコンテナのIPを更新ことで解決します。
Azureクラウドシェルで、現在のIPを取得する。
Azureポータルで、Resource groups > $your_resource_group > your Application Gateway > Backend pools > change Target IPを選択し、上記の新しいものに変更する。
KeeperのSSO証明書は毎年8月に失効します。新しい証明書は管理コンソールにログインすることで利用可能です。Keeper SP証明書を更新する場合は、こちらの手順をご参照ください。
オンプレミスSSOコネクトをご利用の方は、SSL証明書を毎年更新する必要があります。更新日はSSL証明書の有効期限によって異なります。SSL証明書のエラーが表示される場合は、こちらのページの手順をご参照の上、証明書を更新してください。
Keeperコネクションマネージャーのトラブルシューティングページをご覧ください。
サポートが必要な場合は、ServiceNowでサポートチケットをご作成ください。電話またはZoom通話が必要な方は、チームまでご依頼ください。営業時間内にスケジュールを設定します。
ビジネスのお客様で緊急のサポートが必要な場合は、ServiceNowを必ずご利用ください。サポートフォームで、[早急なサポートを要する緊急事態、機能停止状態、一刻を争う状況]のオプションを選択します。
ご意見をお待ちしております。 機能に関するご要望は feedback@keepersecurity.com までお寄せください。
ベータ版Slackチャンネル (英語) にご参加いただくと、ご質問や弊社へのフィードバックを投稿いただけます。また、ベータ版更新のお知らせもいたします。
Keeperオートメーターサービスの次のバージョン (v3.0) では、チームおよびチームとユーザー間の割り当ての動的な承認がサポートされます。 Keeperオートメーターサービスの詳細についてはをご覧ください。
をインストールする。
デバイス承認はSSOコネクトクラウドプラットフォームでは必須となります。承認はユーザー、管理者が実行するか、を使用して自動的に実行できます。
をデプロイすることで、このプロセスを完全にスキップすることもできます。
Keeperオートメーターは、要件に応じてできます。最も安価な方法は、を使用してLinux VMのマイクロインスタンスを使用する方法です。クラウドサービスのみを使用したい場合は、またはAzure App Gatewayの方法をお勧めします。
Keeperコマンダーのをご覧ください。
シークレットマネージャーのをご覧ください。