エンタープライズプラン管理者

Keeperエンタープライズのトラブルシューティングとサポート

エンタープライズ向けガイド

こちらにからエンタープライズプランのガイドをご覧ください。ガイドには、エンドユーザーへの展開に関する情報も含まれています。

ライセンスの有効期限が切れており、サブスクリプションを更新する必要がある場合

弊社のチェックアウトページをご利用ください。

最終ログインの日付が無効なユーザーステータスレポート

現在、エンドユーザーの数が1000人を超えるアカウントでは、管理コンソールのユーザーレポートでログイン日が空欄で表示されます。Keeper Commanderを使用して、以下のようにuser-reportコマンドでユーザーステータスレポートを作成しましょう。

user-report --format csv --output last-logins.csv

シングルサインオンログイン: IDPからのSAML応答を解析できない

通常は、SAML 署名証明書を更新する必要があることを意味します。手順については、こちらのページをご参照ください。

チームとユーザーのSCIMプロビジョニングの一般的な問題

  • IDプロバイダで、正しいSAMLアプリケーションにユーザーまたはグループが割り当てられているようにします。

  • IDプロバイダからユーザーを招待したりプロビジョニングされたグループにユーザーを割り当てる際、IDプロバイダからKeeperへ、ユーザーを招待、ユーザーをチームに追加、チームを作成のいずれかのリクエストが送信されます。

  • ユーザーがまだKeeperに存在しない場合、サインアップの招待を受け取ります (または、ジャストインタイムプロビジョニングを使用)。

  • ユーザーがKeeperアカウントを作成した後、下記のいずれかが発生するまでKeeperチームには割り当てられません。 (a) 管理者が管理コンソールにログイン > 管理画面から「完全同期」をクリックする。 (b) 該当チームのユーザーがウェブボルトかKeeperデスクトップにログインする。 (c) 管理者が Keeper Commanderでteam-approveを実行する。 SCIM経由でチームとユーザーを即座に作成できない理由は、暗号化モデルとユーザー間で秘密鍵を共有する必要があるためです。暗号化キー (チームキーなど) の共有は、ログインした状態で必要な秘密鍵にアクセスできるユーザーのみが実行できます。

  • Keeperオートメーターサービスの次のバージョン (v3.0) では、チームおよびチームとユーザー間の割り当ての動的な承認がサポートされます。 Keeperオートメーターサービスの詳細についてはこちらをご覧ください。

SCIM チームのユーザー割り当ての遅延

Keeperでは、プロビジョニングされたチームがそのチームに必要な公開/秘密暗号化キーのペアを生成する必要があります。同様に、ユーザーがチームに割り当てられると、チームの秘密キーがユーザーの公開キーで暗号化されます。こうして、Keeperボルト内のチームフォルダを割り当てられたユーザーは、必要なフォルダキーと記録キーを復号化できます。 Keeperはゼロ知識プラットフォームであるため、このトランザクションは、管理コンソール、ボルト、コマンダーCLIツールなどの認証されたクライアントデバイスアプリケーションのどれかから発生する必要があります。

チームまたはチームとユーザーの割り当てがSCIMを通じてプロビジョニングされると、チームの作成とユーザー チームの割り当ては「保留キュー」に入ります。 このキューは、認証されたクライアント側アプリケーションによって処理され、必要なチーム キーを作成し、秘密キーを目的のユーザーと共有します。

現在、チームの作成とチームとユーザーの割り当ては、以下の状況で行われます。

  • 管理者がKeeper管理コンソールにログインする。

  • KeeperコマンダーCLI の「team-approve」コマンドを実行する。

  • Keeperオートメーターサービスが導入されている (バージョン3.2以降)。

保留中のチームおよびチームとユーザーの割り当てをクリアする必要がある場合は、以下の手順を定期的に実行してください。

  • KeeperコマンダーCLIをインストールする。

  • keeper shellを使用してKeeperコマンダーにログインする。

  • 以下のコマンドを実行します。

enterprise-down
team-approve --team
team-approve --email

エンタープライズSSOユーザーがログインできない

セキュリティ上の理由から、KeeperはSSOノード外のエンタープライズユーザーが連携IDプロバイダでログインできないようになっています。SSOでログインできないユーザーがいる場合、Keeper 管理コンソール内のSSO対応ノードにユーザーをプロビジョニングしてください。ユーザーをSSOノードに移動するには、ユーザーの編集画面からドロップダウンでノードを選択します。

招待メールが届かない

Keeperのメールシステムは宛先不明で戻ってきた場合にメールへの配信を自動的に停止します。通常、メールアドレスが存在するより前にKeeperアカウントを作成した場合に発生します。このような状況にあるユーザーが存在する場合、Keeper B2Bサポートチームまでご連絡ください。弊社で対応いたします。

エンタープライズプランでエンドユーザーのメールアドレスが変更された場合

IDプロバイダでユーザーのメールアドレスが変更された場合は、以下のようにenterprise-userコマンドを使用してKeeperのユーザーIDにエイリアスを追加できます。

enterprise-user --add-alias new_email@acme-demo.com user@acme-demo.com

このコマンドでは、予約されたドメインでのみエイリアスを作成できます。Keeperコマンダーの詳細については、こちらのページをご覧ください。

法人ドメインが変わる、あるいは変わった

ユーザーを新しいメールドメインに移行する場合、スムーズな移行を可能にするために組織全体のドメインエイリアスがサポートされています。 ドメインエイリアスをご希望の場合は、サポートチケットをご利用ください。

SSOユーザーがマスターパスワードを要求される

マスターパスワードの入力を求められるSSOユーザーがいる場合は、以下をご確認ください。

  • ユーザーがSSO対応ノードにプロビジョニングされていること。

  • ユーザーが正しいデータセンター (US、EU、AU、JP、CA、GOV) からログインしていること。

ユーザーにデバイスの承認を促す

デバイス承認はSSOコネクトクラウドプラットフォームでは必須となります。承認はユーザー、管理者が実行するか、Keeperオートメーターサービスを使用して自動的に実行できます。

  • ユーザーは、以前に承認されたデバイスを使用することで、追加のデバイスを承認できます。例えば、すでにコンピュータでウェブボルトにログインしている場合、初めてスマホアプリにログインすると、ウェブボルトにモバイル端末の情報を含むデバイス承認プロンプトが表示され、承認または拒否ができます。

  • KeeperクラウドSSOコネクトを使用すると、あらゆるSAML 2.0 IDプロバイダとのスムーズなログインを維持しながら、 ゼロ知識を利用した暗号化がご利用になれます。

  • ユーザーが一度も使用したことのないデバイスでログインしようとすると、楕円曲線秘密鍵/公開鍵のペアが新しいデバイス上で生成されます。ユーザーがIDプロバイダからの認証に成功した後、新しいデバイスでボルトを復号化するために鍵を交換する必要があります。これを「デバイス承認」と呼びます。

  • ブラウザで、ゲストモード、プライベートモード、シークレットモードを使用したり、ブラウザのキャッシュをクリアしたりすると、起動するたびに新しいデバイスとして識別されるため、新しいデバイスの承認が必要になります。

ゼロ知識を維持し、Keeperのサーバーから暗号化キーにアクセスできないようにするために、ユーザーまたは指定された管理者が実行できるプッシュベースの承認システムを開発しました。また、ユーザーが操作することなく、デバイスの承認と鍵交換を自動的に実行するサービスをホストすることも可能です。

新しいデバイスまたは認識されていないデバイスにログインする際、ユーザーには以下の2つのオプションがあります。

  • Keeper Push (自分のデバイスを使用)

  • 管理者承認 (管理者の承認を要請する)

Keeperオートメーターサービスをデプロイすることで、このプロセスを完全にスキップすることもできます。

オートメーターの導入コストに関する質問

Keeperオートメーターは、要件に応じて様々な方法で導入できます。最も安価な方法は、Docker Composeメソッドを使用してLinux VMのマイクロインスタンスを使用する方法です。クラウドサービスのみを使用したい場合は、AWS Container ServiceまたはAzure App Gatewayの方法をお勧めします。

オートメーターがインスタンスの再起動後に失敗する (Azure App Gateway使用時)

Azureでコンテナインスタンスを予期せず再起動した後、コンテナが新しいIPアドレス (たとえば、App Gatewayがもともとバックエンドプールでx.x.0.4のIPでプロビジョニングされていた場合でも、x.x.0.5) で復帰することがあります。この問題は、バックエンドプールのコンテナのIPを更新ことで解決します。

  • Azureクラウドシェルで、現在のIPを取得する。

az container show --name keeperautomatorcontainer --resource-group 
keeper_automator_rg --query ipAddress.ip --output tsv

  • Azureポータルで、Resource groups > $your_resource_group > your Application Gateway > Backend pools > change Target IPを選択し、上記の新しいものに変更する。

SSOクラウド証明書の更新

KeeperのSSO証明書は毎年8月に失効します。新しい証明書は管理コンソールにログインすることで利用可能です。Keeper SP証明書を更新する場合は、こちらの手順をご参照ください。

オンプレミスSSOコネクトの証明書

オンプレミスSSOコネクトをご利用の方は、SSL証明書を毎年更新する必要があります。更新日はSSL証明書の有効期限によって異なります。SSL証明書のエラーが表示される場合は、こちらのページの手順をご参照の上、証明書を更新してください。

コマンダーでのスクリプトやコーディングに関する質問

Keeperコマンダーのトラブルシューティングページをご覧ください。

シークレットマネージャー

シークレットマネージャーのトラブルシューティングページをご覧ください。

Keeperコネクションマネージャー

Keeperコネクションマネージャーのトラブルシューティングページをご覧ください。

お問い合わせ

サポートが必要な場合は、ServiceNowでサポートチケットをご作成ください。電話またはZoom通話が必要な方は、チームまでご依頼ください。営業時間内にスケジュールを設定します。

緊急サポート

ビジネスのお客様で緊急のサポートが必要な場合は、ServiceNowを必ずご利用ください。サポートフォームで、[早急なサポートを要する緊急事態、機能停止状態、一刻を争う状況]のオプションを選択します。

機能に関するリクエスト

ご意見をお待ちしております。 機能に関するご要望は feedback@keepersecurity.com までお寄せください。

ベータ版Slackチャンネル

ベータ版Slackチャンネル (英語) にご参加いただくと、ご質問や弊社へのフィードバックを投稿いただけます。また、ベータ版更新のお知らせもいたします。

PreviousAndroidNextボルト (保管庫)

Last updated