主な新機能

• 通知センターAPI

• デバイス管理API

• 高速アカウント切り替えAPI

• パスキー認証API

• CrowdStrike NG SIEM統合

• Google Cloud Security SIEM統合

改善点

• KL-159: 新しいSIEM「CrowdStrike Falcon LogScale」への対応を追加。

• PS-101: メモリ使用に関する不具合を修正。

• PS-103: デバイスレベルの通知に対する「Push to Accept」機能を拡張。

• PS-105: サードパーティ製ライブラリを更新。

• KA-4855: 「Wi-Fiパスワード」という新しいレコードタイプを追加。

• KA-5682: ドメインエイリアスが存在する場合に、別のエイリアスを作成すると発生する不具合を修正。

• KA-5783: Google Cloud Security SIEMとの連携を追加。

• KA-5827: 「ロールをチームに追加」、「ロールをチームから削除」というイベントを追加。

• KA-5949: ユーザーのエンタープライズデータ取得時に、アドオンの階層情報が返されるよう修正。

• KA-6002: ログイン後のアクティブセッション中に許可されたIPアドレスを制限する処理を追加。

• KA-6011: 管理コンソールのロール別の強制適用ポリシー設定に「デフォルトブラウザでSSOを使用」するオプションを追加。

• KA-6224: 新しいロール別ポリシー「RESTRICT_TOTP_FIELD」を追加。

• KA-6298: EC暗号化をサポートするようKeeperアプリからオートメーターへの呼び出しを更新。

• KA-6357: 廃止予定のARAMイベントへの参照を削除。

• KA-6360: 生体認証の構成に関するARAMイベントを分離。

• KA-6373: 個人アカウントの共有制限機能を追加。

• KA-6400: libphonenumberを最新版に更新。

• KA-6423: 時間制限付きアクセスが期限切れになった際にARAMイベントが生成されない不具合を修正。

• KA-6464: ワンタイム共有機能の編集対応に関連する変更を追加。

• KA-6477: リスク管理ダッシュボードの監査アラートIDを更新。

• KA-6503: 高速アカウント切り替えAPIを作成。

• KA-6518: 共有レコードに閲覧のみの権限を持つユーザーが他のユーザーを削除できてしまう不具合を修正。

• KA-6526: ユーザーの全デバイスの一覧を表示するデバイス管理用APIを作成。

• KA-6529: デバイス管理: ユーザーデバイスの名称を変更するためのAPIを作成。

• KA-6532: デバイス管理: デバイスに対してアクションを実行するAPIを作成。

• KA-6533: チーム承認時にオートメーターが誤ったセッション情報を取得していた不具合を修正。

• KA-6642: ユーザー情報 (account_user) の氏名を平文および暗号化の両方で、選択、挿入、更新できるようクエリを修正 (フェーズ1)。

• KA-6804:生体認証によるパスキーログインに対応するバックエンドサーバー機能を追加。

• KA-6874: 承認者向けのデフォルトロール「Do Not Create PEDM」を追加。

• KA-6890: 新しいSIEM「Falcon LogScale (CrowdStrike）」へのサポートを追加。

• KA-6901: PAMトライアルのロジックを変更し、エンタープライズでのみ既存のPAM関連SKUを削除しないように更新。

• KA-6921: 新しいデバイスアカウント作成時に、既存のアカウントを毎回削除するように変更。

• KA-6925: PEDM SKU: エンタープライズおよびビジネスライセンスのロジックを追加。

• KA-6926: PEDM SKU: MSPライセンスのロジックを追加。

• KA-6953: PAMライセンスのアクティブ数カウント処理を更新。

• KA-6961: PEDM: Keeper管理者ロールにエンドポイント特権マネージャー対応の新しい管理者権限を追加。

• KA-6964: デバイス管理: デバイス登録時にクライアントのフォームファクターを含めるよう拡張。

• KA-6965: デバイス管理: デバイスアカウント作成時に、古いデバイスを自動削除するよう変更。

• KA-6971: デバイスのプラットフォームおよびフォームファクターの更新を可能にするようAPIを拡張。

• KA-6998: 通知センターの追加および改善。

• KA-7053: パスキーの作成および削除イベントにARAM通知とメール通知を追加。

• KA-7056: ロックされているデバイスのステータスを統合。

• KA-7060: デバイス管理: デバイス名とプラットフォーム名のサニタイズ (データの無害化処理) を実行。

• KA-7094: パスキー作成パラメータに有効期限がないことを確認。

• KA-7098: パスキー認証によるプラットフォーム制限のバイパス処理を更新。

• KA-7099: アカウントがロックされている場合でも、認証生成エンドポイントと認証検証エンドポイントが機能していた不具合を修正。

バグ修正

• KA-5026: 管理者権限付与に関連するARAMイベントで、ノードIDが誤って送信される不具合を修正。

• KA-5314: 管理者権限付与時のARAMイベントが正しく発行されない不具合を修正。

• KA-5607: 既存のセッションからログインした際に発生する不具合を修正。

• KA-5624: 最近削除されたレポートにおいて、添付ファイルリンクが機能しなくなっていた不具合を修正。

• KA-5782: ファミリープランユーザーからの直接共有レコードが含まれるアカウントを移管すると、同期を実行する際に内部エラーが発生する不具合を修正。

• KA-6015: GRE: 外部共有時に共有関係が存在しないと誤判定され、ブロックされる不具合を修正。

• KA-6059: SDR: 共有フォルダ内で自動消滅したレコードが、「削除済みアイテム」の共有フォルダタブに表示されない不具合を修正。

• KA-6185: B2B向け「Keeperへようこそ」メール内にあるリンクが404エラーになる不具合を修正。

• KA-6265: 有効期限切れの一般ライセンスユーザーがファミリープランに招待された後にログインすると「無効なトークンタイプ: ACCEPT_FAMILY_INVITE」と表示される不具合を修正。

• KA-6292: カスタムポート使用時にSyslog SIEMの接続設定が正しく検証されない不具合を修正。

• KA-6361: インクリメンタル同期処理におけるクエリのパフォーマンスを改善。

• KA-6369: 有効期限切れ (無効化された) のアンリミテッドユーザーがファミリープランへの招待を受諾する際に、無効なセッショントークンが発行される不具合を修正。

• KA-6416: 有効期限切れのアンリミテッドアカウントがグループ招待を受諾できない不具合を修正。

• KA-6616: レコードをエイリアスドメイン宛に共有しようとした際、エラーが発生して共有できない不具合を修正。

• KA-6665: アラート設定時の権限確認に関する不具合を修正。

• KA-6700: エンタープライズアカウントのアカウント移管後に、受信側のボルトでbytesUsedにV3レコードの添付ファイルサイズが含まれない不具合を修正。

• KA-6764: パスワード認証に失敗した際に不適切なエラーメッセージが返される不具合を修正。

• KA-6836: レコードの所有権の移転実行後、部分的なsync_downにsharingChangesおよびrecords要素が含まれていない不具合を修正。

• KA-6856: TOTPのタイムアウト時にオートメーターが使用されない不具合を修正。

• KA-6872: デバイス承認時に500エラーが発生する不具合を修正。

• KA-6911: ユーザー名クエリの応答速度が遅い不具合を修正。

• KA-6917: SCIM経由でチーム名なしのチームを作成できてしまい、管理コンソールでエラーが発生する不具合を修正。

• KA-6972: S3へのSIEMエクスポートの際にバケット内のフォルダ構造に正しく対応しない不具合を修正。

• KA-6973: 管理者によるデバイス承認時のARAMイベントの欠落を修正。

• KA-6982: 初回の共有招待でエラーが表示される不具合を修正。

• KA-6993: 署名カウントの更新時に値の変更がない場合に、最終更新日時が更新されない不具合を修正。

• KA-7014: KSMのトークンが同一のデバイスにバインドされず、同じシークレットを複数回開くことができたセキュリティ上の不具合を修正。

• KA-7019: ワンタイム共有リンクを複数のデバイスで開くことができた不具合を修正。

• KA-7020: 共有リンクを開いても送信者に通知されない不具合を修正。

• KA-7084: パスキーによるログイン時に500エラーが発生する不具合を修正。

• KA-7102: アプリクライアントとの結合でカラムの曖昧性が発生するクエリへの予防対応。

• KA-6666: デバイス管理: クライアントから提供される「デバイスプラットフォーム」フィールドをデバイス登録情報に追加。

新機能

• KA-6804: 生体認証パスキーのログイン方式に対するAPIサポート

• KA-6464: 編集可能なワンタイム共有機能に対するAPIサポート

• KA-6890: Crowdstrike NG SIEMとの統合に対するAPIサポート

• KA-5994: 接続およびトンネル終了後のパスワード自動ローテーションに対するAPIサポート

• KA-4855: 新しいWi-Fi Passwordレコードタイプに対するAPIサポート

• KA-5783: Google Chronicle SIEMとの統合に対するAPIサポート

• KA-6495: 新しい通知センター機能に対するAPIサポート

• KA-6529: 新しいデバイス管理機能に対するAPIサポート

• KA-6373: リンクされた業務用と私用のボルト間で個人情報および業務情報の移転を防ぐ、新しいロールポリシーに対するAPIサポート

  • RESTRICT_PERSONAL_USING_BUSINESS_DOMAINS：使用を禁止するドメインの指定

  • WARN_PERSONAL_USING_BUSINESS_DOMAINS：警告を表示するべきドメインの指定

  • RESTRICT_PERSONAL_USING_BUSINESS_SITES：使用を禁止するサイトの指定

  • WARN_PERSONAL_USING_BUSINESS_SITES：警告を表示するべきサイトの指定

• KA-6224: Keeper管理者がKeeperレコード内のTOTPフィールドの使用を制限できるRESTRICT_TOTP_FIELDロールポリシーへの対応

• DU-444: USE_DEFAULT_BROWSER_FOR_SSO ポリシーへの対応を追加

• KA-6747: SCIMグループのページネーションを実装

改善点

• KA-5013: IP2locationによって提供される位置データから「Province of China」 (中国の省) という文字列を削除。

• KA-5776: Log Analytics Agentが廃止され、Azure Monitor Agentに移行。機能は同一ですが、プロバイダが異なります。

• KA-5922: エイリアスを介してアカウントへアクセスすることを望まなくなった場合に、エイリアスを無効化するAPI機能を作成。

• KA-6036: 非表示文字を含んで作成されたユーザー名は、作成時にトリムされるようになりました。

• KA-6095: デバイスがすでに異なるトークンで地域に登録されている場合、同じ地域への登録時にエラーが発生するようになりました。

• KA-6326: 多数のユーザーがレコードやフォルダへの変更を同期する必要がある場合に備え、バックエンドで同期動作に構造化された遅延を実装しました。

• KA-6384: Trust Managerを使用していたすべてのサーバーインスタンスが削除され、Trust Managerは非推奨となりました。

• KA-6410: 主要なサードパーティライブラリの更新チェックを追加しました。

• KA-6565: 現在のAWS MySQLをAWSラッパーに移行しました。

• KA-6643: KeeperAppを新しいProtobufバージョンにアップグレードしました。

• KA-6707: Rust SDKクライアントバージョン識別子をバックエンドに追加しました。

• KA-6750: すべての主要なサードパーティライブラリを更新しました。

• KA-6818: 有効なPAMライセンスを確認するためのPAMポリシー適用処理を整理しました。

• KA-6875: PAM以前の古いクライアントとの後方互換性に対応するため、レガシーローテーション適用処理の対応を導入しました。

• TRAN-5254: SSO Connect Syncの新しいメッセージにフィンランド語とスウェーデン語を追加しました。

• TRAN-5579: 「管理者に連絡してください」の文言を複数の言語で変更しました。

• TRAN-6856: サポートファイルの文字列をすべての対応言語で更新しました。

• TRAN-6857: サポートメッセージの言語変更をすべての対応言語で更新しました。

• KA-6760: KSMポリシーがない状態でPAM構成を削除しようとした際の新しいエラーメッセージを作成しました。

• KA-6732: サポートメールアドレスをサポートURLに更新しました。

• TRAN-7002: フィンランド語、イタリア語、スウェーデン語への文字列の翻訳を更新しました。

• TRAN-7003: 米国、英国、ドイツ向けの文字列翻訳を更新しました。

バグ修正

• KA-6898: 共有関係が双方向ではない問題を修正しました。片方向で共有が確立された場合でも、逆方向でも共有が有効になるようになりました。

• KA-5583: 削除済み共有フォルダとレコードを復元した際にボルトが破損しないよう改善しました。

• KA-5642: エンタープライズライセンスに対し、初回のメールアカウントでのみ使用できるよう制限を導入しました。制限ドメインへの変更も防止します。

• KA-5680: 複数のノードエンドポイントに対する新たなチェック機能を追加し、ノードの削除を妨げるすべての条件を返すようにしました。

• KA-5802: 未保存のコンプライアンスレポートのエクスポートに関する監査イベントのクライアントログを修正しました。

• KA-5848: [チームを管理] 権限を持つユーザーによるチームへのユーザーの追加・削除機能を実装しました。

• KA-5865: 「スロットル中」のメッセージダイアログ内テキストを、クライアント言語に応じた正しい翻訳に更新しました。

• KA-5943: SCIMにおいて監査イベントログ記録時にメールアドレスを正規化し、小文字に変換するようにしました。

• KA-5984: アカウントで「共有することもされることもできない」設定が有効な場合でも、直接共有されたレコードに対して細かなロール制御が行えるようになりました。

• KA-6034: レガシーレコードをサブフォルダに追加する際に「アクセス拒否」エラーが発生しないよう改善しました。

• KA-6041: ロール管理ノードを追加した際、成功時にトランザクションが作成されるようになりました。

• KA-6064: 新しいユーザー名が作成されたり既存のものに置き換えられたりした際に、監査ログが作成されるようになりました。

• KA-6065: 保留中のユーザー削除に関する監査イベントが生成されるようになりました。

• KA-6066: SCIMがすべてのUser Patchイベントで「enable_user」イベントを生成しないよう修正しました。

• KA-6116: チーム暗号化ユーザーがnullの場合でもオートメーターでエラーが発生しないよう修正しました。

• KA-6119: 削除された共有フォルダとレコードのAPI取得時に、誤ったデータが返される不具合を修正しました。

• KA-6145: レガシードメイン固有ポリシーが正しく変換されない不具合を修正しました。

• KA-6170: 2人のアクティブユーザーがログアウトせずに同じデバイスでアクティブセッションを保持できていた不具合を修正しました。

• KA-6238: ユーザー編集時にドメイン予約設定が回避される不具合を修正しました。

• KA-6239: SCIM管理者がユーザーのメールアドレスを個人用に変更できていた不具合を修正しました。

• KA-6306: 削除済みのレコードがコンソールおよびBreachWatch監査ダッシュボードテーブルに表示される不具合を修正しました。

• KA-6327: 閲覧のみの権限でのワンタイム共有が共有フォルダ内で作成できていた不具合を修正しました。

• KA-6431: AWS S3のセットアップ時に接続エラーに関する外部ログエラーを修正しました。

• KA-6612: 所有者変更結果の同期レスポンスでエラーが発生する不具合を修正しました。

• KA-6717: 一般レコードへの画像追加・削除時の不具合を修正しました。

• KA-6719: ファイルのアップロード・保存時のアップロード件数や使用量のカウントに関する不具合を修正しました。

• KA-6740: クライアント間でセキュリティスコアデータが正しく同期しない不具合を修正しました。

• KA-6742: 特権アクセス管理アドオンライセンス購入後のライセンス制限に対するバリデーションを追加しました。

• KA-6748: テーブル内で「null import key」エラーが発生する転送問題を修正しました。

• KA-6755: レコード参照の更新時間に関する不具合を修正しました。

• KA-6758: SSHエージェントARAMイベントがClient Report Eventとして報告される不具合を修正しました。

• KA-6797: インポートされたフォルダやレコードのインポートに関するコマンダーの問題を修正しました。インポートされたレコードに対して部分的な同期ダウンが失敗する問題も解決されました。

• KA-6805: set_ecc_key_pairsの大規模リクエストを最適化しました。

• KA-6817: カリフォルニアから米国へのエンタープライズ移動時に例外が発生する不具合を修正しました。

• KA-6823: PAMリソースレコード共有時に接続が許可されないロールポリシーの不具合を修正しました。

• KA-6830: トライアルユーザーがPAMライセンスの検証を必要とする不具合を修正しました。

• KA-6886: 暗号化されたペイロードを復号できないPush Serverエラーを修正しました。

• KA-6889: エンタープライズ設定の取得ログ記録中に発生していた例外エラーを修正しました。

• KA-6894: コンソール上でパスワード強度データの表示がランダムに遅延する不具合を修正しました。

• KA-6916: 楕円曲線方式でのレコード追加・更新時の不具合を修正しました。

• KA-6936: 無効な送信元・送信先を指定した際にpre-transferの初期化で500エラーが発生する不具合を修正しました。

• KA-6943: デバイス認証要求通知を送信する際に発生する例外エラーを修正しました。

• KA-6602: ボルトの通知ダイアログでリクエストが拒否された後でも、メール経由でデバイス承認が可能だった不具合を修正しました。

• KA-6856: オートメーターがスキップされ、MFAのタイムアウト後に手動デバイス承認が行われていた不具合を修正しました。

新機能

• エンドポイント特権マネージャーへのAPIサポート

機能

• KA-6747: SCIMグループAPIにページネーションのサポートを追加

• KA-5776: 旧Azure Sentinel統合の代わりに新しいAzure Monitor SIEM統合をサポート。詳しくはセットアップガイドをご参照ください。

改善点

• KA-6239: SCIM APIに追加のセキュリティ保護を追加。SCIMプロビジョニングには、影響を受けるメールドメインに対してドメイン予約が必要となります。ドメイン予約についてはこちらのページをご参照ください。

• KA-6238: ドメイン予約なしでメールを変更することに対する追加の保護を追加。

バグ修正

• KA-6856: Keeperオートメーターがユーザーのデバイスを承認しない不具合を修正。MFAコードを提供する際のタイムアウトが原因でした。

• KA-6065: 保留中のユーザーを削除するとARAMイベントが生成されない不具合を修正。

• KA-6064: SCIMでメールを変更してもARAMイベントが生成されない不具合を修正。

• KA-5848: 「チーム管理」の管理者権限のみでユーザーをチームに追加または削除できない不具合を修正。

• KA-5327: 「閲覧のみ」の共有フォルダ権限が付与されている場合に、ユーザーが特定のケースでワンタイムシェアを作成できてしまう不具合を修正。

このリリースは、バックエンドでのいくつかのパフォーマンスのアップデートを行いました。

改善点

KA-6880, KA-6877, KA-6869, KA-6873, KA-6018: パフォーマンスのアップデート

バグ修正

KA-6897: KeeperPAMを有効にしようとした際にユーザーに表示されるエラーに対処。

向上点

• KA-6399: 電話番号解析ライブラリを更新

• KA-6802: 新しいKeeper管理者ロールに対して、すべてのPAM強制適用ポリシーを自動的に有効化

• DU-498: セキュリティデータAPIのスロット制限を増加

バグ修正

• KA-6702: KeeperPAMのARAM開始/停止イベント時にプロトコル値を含めるよう修正

• KA-6346: 所有者のないレコードの一時共有の作成を禁止

• KA-6745: ARAMイベントログでApp UIDおよびGateway UIDのフィルタリングを修正

• KA-6760: KSMを持っていないユーザーがPAM構成を削除できないように修正

バグ修正

• KA-6783: 本番環境でMySQLデータベースエラーを引き起こしていたクエリ削除の不具合を修正。

• KA-6796: モバイルユーザー向けのストレージ制限に関するポップアップを削除

主な変更点

• KA-5713 : 新しいKeeperエンタープライズテナントでは、Keeper管理者ロールとMSPサブスクリプションマネージャーロール (MSPテナントの場合) に対してアカウント移管ポリシーがデフォルトで有効になっています。テナント内では、「すべてのユーザー」ロールでもアカウント移管がデフォルトで有効になります。

バグ修正

• KA-6659: 特定の状況でレコードを共有するとパスワードのローテーションが失敗する不具合を修正

• KA-6701: エンタープライズのリージョン転送に関する問題を修正

• KA-6708: オートメーター経由でチームを作成する際のエラーを修正

• KA-6155: 外部ユーザーとの共有に関する強制ポリシーの不具合を修正

• KA-6043: 2つのアクティブなSSOノード間でユーザーを移動できない問題を修正

• KA-5973: MSP管理者がMCにアクセスした状態で、チームを通じてアカウント移管ロールを継承したMCユーザーに対してアカウント移管を実行できない問題を修正

• KA-6476: サインアップ中にAndroidおよびiOSクライアントにデバイス承認プッシュが送信されない不具合を修正

• KA-6630: Keeper共有通知メールの埋め込みリンクが壊れている問題を修正

• KA-6685: メール認証後に新規ビジネスアカウントのセットアップが完了しない問題を修正

• KA-6010: ファイルを追加したり削除したりする際のファイルストレージ制限の精度が向上

セキュリティアップデート

• バージョン17.xのすべてのKeeperデプロイメントには、従来のRSA暗号化キーをEC (楕円曲線暗号) に移行する機能が含まれています。アップグレード猶予期間の後、将来のリリースで強制的に従来のデータの移行を行います。ユーザーの皆様へは最新バージョンのKeeperを使用しているかどうかの確認のメールを送信いたします。

その他の改善点

• KA-6398: 電話番号解析用のライブラリを更新

• KA-6679: v17クライアントへの非推奨APIを無効化

• KA-5891: エンドユーザーがKeeper管理者に追加のストレージをリクエストできるように改善

• KA-6735: ログ機能の改善

仕様

• KA-5992: KeeperPAM ARAMイベント

• KA-5959: PAMレコードタイプで時間制限付きアクセス向けのPAM機能に対応

• KA-6070: ワンタイム共有と自動消滅設定付きレコードを作成するためのロール別ポリシー

向上点

• KA-5700: エンドポイントでセキュリティスコアの不一致を検出して修正する機能を追加

バグ修正

• KA-6018: ワンタイム共有が失効した後にアクセスしてもARAMイベントが生成されないように修正

• KA-6101: 会社ロゴのないサブノードユーザーによるワンタイム共有でルートノードの会社のロ​​ゴを表示するよう修正

• KA-6142: 管理コンソールでローテーション履歴に何も表示されない問題を修正

• KA-5843: 特定のイベントのアラートが受信されない問題を修正

• KA-6280: 3万件以上のレコードを持つアプリでKSMによるデータの変更を許可するよう修正

NCC GroupとCyber​​testのペネトレーションテストからのさまざまなセキュリティ修正

仕様

• KA-5914: リスク管理ダッシュボードAPI

バグ修正

• KA-6358: iOSでレコードの以前のバージョンを復元した場合、ウェブボルトに同期する際に発生していた添付ファイルのエラーを修正。

仕様

• KA-5180: 代替マスターパスワード作成のための新しいARAMイベント

バグ修正

• KA-5512, KA-5521: コンプライアンスレポート関連の不具合を修正 (チームのみが含まれた共有フォルダでフォルダUIDが表示されない不具合、およびユーザー評価基準で記録を持たないユーザーが空白になる不具合)

• KA-5636, KA-5673: 記録移管メール通知に間違ったURLやUIDが含まれる事例を修正

• KA-5792: 以前に削除されたサブフォルダを復元すると、一部のショートカットしか復元されない不具合を修正

• KA-5888: 組織外からのアイテムを受信できないロールに割り当てられている場合に組織外のユーザーに記録を共有できない不具合を修正

• KA-5889: 共有フォルダ削除しても完全に同期するまでボルトから削除されない不具合を’修正

• KA-5901: チームとロールのマッピングで、ワンタイム共有の使用が制限されない不具合を修正

• KA-5918: 一括ユーザーアクションでは権限がチェックされない不具合を修正

• KA-5938: ユーザーが、異なるパスフレーズセパレータ文字が設定された2つのロールに属する場合、結果としてクライアントに送信されるルールに1つのセパレータ文字しか含まれなかった不具合を修正 (両方のセパレータ文字が含まれるようになりました)

• KA-5945: 無効なメールアドレス (.comの代わりに.conなど) のユーザーがすでに存在する場合、無効なメールアドレスチェックは実行されなくなりました

向上点

• KA-5266: 多数のユーザーに同時に変更を加える際の処理を向上

• KA-5537: SCIMで同じユーザーが2回作成される不具合を修正

• KA-5553: ログアウトタイマーを変更すると、すべてのデバイスにプッシュ通知が送信されるようになりました

• KA-5709: 管理コンソールでサポートパッケージ情報が表示さるようになりました

• KA-5757: 特定のSSO画面で、色とスピナーを変更してアクセシビリティが向上

不具合修正

• KA-4968: Keeper MSP: 共有管理者のリストにマネージドカンパニーの管理者が含まれておらず、MSPの共有管理者のみが含まれていました。

• KA-5322: 無料トライアルのお客様が記録履歴にアクセスできず、記録を復元できませんでした。

• KA-5506: 個人アカウントを企業に招待し、ユーザーの電子メールを編集するとエラーが発生しました。

• KA-5482: 「招待メールを無効にする」オプションが「招待メールを自動的に再送する」に影響されていました。

• KA-5146: ルートノードの「Keeper Administrator管理者」ロールを持つサブノードにいるユーザーは、ルートユーザーが所有する共有フォルダ内のルートノード記録で共有管理アクティビティを実行できませんでした。

• KA-5211: 所有者以外が共有記録を削除すると、関連するセキュリティデータが削除され、セキュリティスコアに影響しました。

• KA-5451: ARAMがオンデマンド・ローテーションの成功/失敗についてnull,null,nullと0.0.0を報告。

• KA-5028: ARAM イベントが、チームの作成と同時にユーザーをチームに追加した場合にトリガーされませんでした。

• KA-5287: サブノード管理者がARAMの「すべてのセキュリティイベント」レポートを実行できませんでした。

• KA-5151: ディストリビュータによって作成されたMSPのアドオンとストレージの制限を強制していました。

• KA-5134: SCIMリクエストによるグループ編集にPUTを実装しました。

• KA-5376: 無効なデータを含むオンプレミスSSOアカウントの作成からの保護。

• KA-4571: 不完全なSSOプロビジョニングが設定されたノードのユーザーに無効な招待が送信されました。

• KA-5420: リンクを含む記録が削除されたときに、ユーザの削除済みアイテムにリンクされた記録が表示されませんでした。

• KA-4652: 課金履歴ページの「ユーザー」列に、課金履歴ページのユーザー数が表示されませんでした。

セキュリティの改善

• KA-5497: FIDO2セキュリティキーでユーザープレゼンスがサポートされました。 PINが設定されたセキュリティキーでログインするユーザーは、PINの入力を要求されるようになりました。ユーザープレゼンスに関して、サーバーは "Discouraged "ではなく "Preferred "で応答するようになりました。この機能の詳細については、Yubicoウェブサイトをご覧ください。

• KA-5368: バグクラウド報告: プラットフォーム制限を有効にした後でも、セッションがアクティブである限り、ユーザがWebボルトにサインインできます。

• KA-5395: IPホワイトリストの制限により、IPアドレスが制限されていてもセッション再開（ログインしたまま）が可能でした。

• KA-5341: 「ログインしたまま」の強制が管理者によって変更された場合、その効果は即時ではありません。この情報はKeeperインフラストラクチャにしばらくキャッシュされていました。

• KA-4682: Keeper Pushのデバイス承認を5つ拒否した場合、アカウント所有者が自動メールでデバイス承認を承認し、再度有効にするまで、デバイス承認プッシュは送信されません。

• KA-5474: リカバリプロセスのタイムアウトが10分から15分に増加しました。

• KA-5455: PAMローテーションAPIは、ユーザがプロビジョニングされたロール内でなくても使用できます。

• KA-5408: ロックされたユーザはKSM secrets manager APIを使用できません。

• KA-5418: エンタープライズ内で、ローテーションAPIが記録の編集権限を持つユーザによってのみ実行できるようにします。

• KA-5409: 権限が削除されたシークレットマネージャーユーザは、まだアプリケーションを編集および作成できます。

機能改善

• 元の所有者のアカウントが削除された場合、共有された添付ファイルも削除されてしまう問題を修正しました。

機能改善

• 元の所有者のアカウントが削除された場合、共有された添付ファイルも削除されてしまう問題を修正しました。

不具合修正

• 新しく作成されたアカウントがログインできない問題を修正しました。

• これは認証キーが2回生成され、元の値が上書きされることが原因でした。

• この問題はオーストラリアでのみ発生していました。

不具合修正

• ブラウザ拡張機能でログアウトタイマーを設定して終了すると、Webボルトが自動的にログアウトする問題を解決しました。

機能改善

50,000 件以上の記録を持つユーザーを削除する際の DB クエリを最適化し、サーバーへの不必要な負荷とストレスを防止。

不具合修正

SCIM POST呼び出しでユーザが作成された場合、ユーザがグループに追加されるようになりました。 user_folder_shared_folder クエリがルート・フォルダにフラグを立てない問題を修正。

最近の10回のアップデートより古いリリースノートについてはこちらでご覧いただけます。

バグ修正

• KA-5338： 委任された管理者が、設定を通じて他のノードのSSO設定に影響を与えることがある。

• KA-5360： 共有管理者が記録の所有権を移譲した場合、増分同期で移譲された記録のUIDが欠落し、完全同期（バックグラウンドまたは次回ログイン時）が行われるまで、記録が双方のデータボルトに表示されたり消えたりする。

• KA-5424、KA-5421： エンタープライズユーザー以外のクエリを削除することにより、同期のパフォーマンスを改善しました。

• KA-5419: 管理者が管理コンソールからユーザーを削除した後、同じユーザーメールアドレスでそのユーザーを再作成すると、ユーザーは2回目のアカウント作成に失敗します。ユーザはボルトでネットワーク接続エラーが表示され、バックエンドではサーバエラーが表示されます。

• KA-5453: カスタム招待メールのテンプレートを5,000文字まで長く設定できるようになりまし

• KA-5468：LastPassからの共有フォルダのインポートを禁止するロールを追加しました。ロールポリシー名はRESTRICT_IMPORT_SHARED_FOLDERSです。この変更はVaultチケットVAUL-5977と同じです。

• KA-5470： ユーザが削除されると、保留中のデバイス承認キューエントリが削除されません。このため、同じユーザー名でユーザーを再作成した場合に問題が発生します。

• KA-5463： shared_folder_updateでのCommander APIエラー

• KA-5478：共有管理者が共有フォルダからユーザーを削除する際のエラーメッセージ。

改善/変更

KA-5473: shared_folderオブジェクトの配列を受け付けるように、フォルダパーミッションの一括変更エンドポイントを追加しました。これにより、チケットKC-590の下で、Commanderにパーミッションの一括変更を提供します。

KA-5427, KA-5447: ログアウトタイマーの改善

• デバイスタイプ（Webアプリ、デスクトップアプリ、モバイルアプリ）の最小ログアウトタイマーは、ログインするすべてのデバイスで利用されます。

• 管理者がデバイスタイプの最大許容ログアウトタイマーを下げた場合、次回のログインでは、指定されたタイプのすべてのデバイスで下限値が適用されます。

• 管理者がデバイスタイプの最大ログアウト許可タイマーを下げた場合、影響を受ける全ユーザーの現在のセッションが変更されます。

• 管理者が最大ログアウト許可タイマーを引き上げた場合、ユーザーはそれ以上引き上げられることはありません。しかし、ユーザはログアウトタイマーを増やすためにログアウトしてログインする必要があります。

• ロール強制ポリシーの最大許容ログアウトタイマーは、ユーザーの "デフォルト "ログアウトタイマーとして使用されます。

• アイドルログアウトはユーザーのデバイスタイプ別であり、現在のユーザーのデバイスに固有ではない。 ログアウトタイマーは、24時間を超えて許可されなければならない。30日までの任意の値がサポートされる。

Improvements

• KA-4551: SAML Library updates

• KA-3929: FIPS-140-2 Bouncy Castle updates

• JA-4717: Java updates

Bug Fixes

• KA-4731: Missing ARAM One-Time Share Expired events

• KA-4469: Record Type link changes doesn't sync to affected users

• KA-4737: Record Type does not support record larger than 32kb

• KA-4752: Errors during onboarding new users on Cloud SSO while migration taking place from SSO On-Prem to SSO Cloud

• KA-4760: Azure SIEM export verification issues in GovCloud region

Features

• Added new policy for requiring Self Destruct (REQUIRE_SELF_DESTRUCT)

• Added support for Keeper Automator 2.0

Bug Fixes

• Security updates based on NCC Group pen test

Bug Fixes

• KA-4702: Slow query causing timeouts on login

Bug Fixes

• KA-4647: SMS delivery issues

• KA-4561: SCIM totalResults is incorrect in some cases

• KA-4555: Allow SCIM "filter" param to search users by email

• KA-4609: Wrong email template sent when user changes email

• KA-4444: Missing ARAM event when user added to a default role

• KA-4390: Accepting Enterprise Invite needs to send a Push to console

• KA-4657: SCIM fails on user PATCH with emails as an Array

• Several other bug fixes

Features

• KA-4666: Support for Keeper One Time Share

• KA-4676: Support for new role policy to change Stay Logged In default to ON

This update fixed Session Resumption on Keeper Commander and Keeper Azure Function for device approvals.

Commander

For Commander users, there is no change required. Persistent login will begin working after the next successful master password login.

Azure Functions

For Azure Functions, you'll need to generate a new config.json file from Commander and then upload the file to Azure.

See the link below for step-by-step instructions to update the Azure function config file:

https://docs.keeper.io/sso-connect-cloud/device-approvals/azure-function#troubleshooting-and-repairing-failed-logins

Bug Fixes

• KA-4391: Shared folder 'Can Manage Users' should restrict editing default permissions for an Admin outside of their node

• KA-4411: Share link invites change the Web Vault interface to the wrong language if the users are set to different languages.

• KA-4462: File upload issues with multiple devices open

• KA-4144: Custom record type changes not generating instant push notifications

• KA-4143: Sending a share invite to a user who is hosted in a different data center is sending the wrong email content

• KA-4157: Bugcrowd ticket for rate limiting enterprise invite email

• KA-4506: WebAuthn hardware key setup from the Admin Console not functional

• KA-4229: Improved Commander "keep-alive" function while using the application to prevent user from being logged out suddenly.

• KA-4604: Unable to verify RSA ID

Improvements

• KA-4365: Added location information to any email which contains IP address

• KA-4144: Added "Login Method" to the ARAM SIEM events so that the Admin knows which method of login was used (SSO, master password, biometrics, alternate SSO master password)

• KA-4093: Backend support for new "Stay Logged In" role policy that will allow a Default=ON

• KA-4137: Support for Enable Self Destruct role policy

• KA-3938: Prevent extra syncing to users when a shared record is simply autofilled

Features & Improvements

• KA-4153: Support for Webauthn and migration from U2F to Webauthn

• KA-4507: Support for nested SSO nodes

Features

• KA-4409: Support for Keeper Secrets Manager new record creation

• KA-4467: Secrets Manager triggers proper push notifications on record update and client device changes

• KA-4541: Enable record types for all Business customers.

Bug Fixes

• KL-102: Japanese email invite issues with HTML template.

• KL-101: Azure Log Analytics endpoint wrong in the Azure GovCloud region

• KL-104: ARAM events not being triggered for Secrets Manager events.

Bug Fixes

• KA-4388: Changing email address in the vault doesn't update immediately on the Console when clicking Sync

• KA-4328: Compliance Report bugs when a record is shared to another Enterprise tenant user.

• KA-4393: Compliance Report needs to include consumer accounts when a record is shared externally.

• KA-4121: Marking a node as isolated from Commander not working

• KA-4425: Previous email verification links are not expiring after generating a new one from changing email address.

• KA-4118, KA-4424: Email rate limiting

• KA-4471: Some users are not found by SCIM GET query

Improvements

• KA-4304: Added additional helpful security information in the "Share" notifications sent through email. The Record UID, Location and device name of the sender is provided.

• KA-4389: Provide Team/Group Display Name in SCIM user group queries

Bug Fixes

• KA-4442: Security updates to SSO Cloud. SSO Special thanks to the team at SCHUTZWERK for their findings.

Bug Fixes and Improvements

• KA-4354: "Prevent sharing with file attachments" not working if Record Types activated

• KA-4378: If you have an existing MC that is the basic plan and then upgrade it to the Plus plan the BreachWatch and ARAM is not being added to the MC. If you down grade the MC from plus to basic they are getting the getting the add ons added when they should not.

• KA-3965: Imported users from CSV are receiving email invites even if "disable invites" selected

• KA-4106: No email is sent when account recovery is disabled

• KA-4305: Partial email and name searching is not working in Share screens

• KA-4405: Team-role mapping of Secrets Manager permissions not working

• KA-3292: Allowing Libya and Iraq IP address ranges to access the Keeper service

Bug Fixes

• KA-4220: GovCloud Email device approval link broken

• KA-4219: GovCloud Change Email Address function broken

• KA-4255: GovCloud Change Master Password email notifications not being sent

• KA-4364: Account Transfer of Read Only direct record shares to transferee get elevated permissions (edit/share) for transfer recipient

Features and Improvements

• KA-4264: API to convert non-type records to Record Types

• KA-4280: Added Compliance Reports event logs to Advanced Reporting & Alerts module

• KA-4298, KA-4300: Vault Transfer support for Record Types records (in Admin Console)

• KA-4316: Better handling of connection timeouts when setting up the Keeper Automator

• KA-4350: Added support for Devo (SIEM provider)

Features

• Support for the new Compliance Reports feature which goes into Beta Learn more: https://docs.keeper.io/enterprise-guide/compliance-reports

• Support for the new Keeper Automator service for automatic SSO Cloud device approvals Learn more: https://docs.keeper.io/sso-connect-cloud/device-approvals/automator

Bug Fixes

• KA-4118: Email delivery rate limiting on Trial signup

• KA-4279: Error when moving a user between nodes as a sub-admin

Bug Fixes

• KA-4235: Deleted users get "Unable to connect" after attempting to re-register

• KA-4204: Deleting pending invited users causes errors when re-adding the user

This backend release provides support for the following major capabilities:

• Keeper Secrets Manager Provides your DevOps, IT Security and software development teams with a fully cloud-based, Zero-Knowledge platform for managing all of your infrastructure secrets such as API keys, Database passwords, access keys, certificates and any type of confidential data. https://docs.keeper.io/secrets-manager/

• GovCloud Support Keeper is going live with AWS GovCloud in the US data center to support FedRAMP compliant environments. AWS GovCloud is designed to host sensitive data, regulated workloads, and address the most stringent U.S. government security and compliance requirements. To discuss GovCloud and FedRAMP compliance, please email govsales@keepersecurity.com.

Bug Fixes

• KA-4097: Australia data center unable to perform Vault Transfer

• KA-4077: Support RFC7159 "Accept: application/json" and "Accept: application/scim+json"

• KA-4078: Support for Account Recovery of expired free users.

• KA-4055: Support for Account Recovery of SSO users with clients implementing Login V3

• KA-4103: Vault login not properly redirecting the user to the proper datacenter upon clicking on the device approval link.

Improvements

• KA-3800: Implemented Role Enforcement policies for Record Type creation

• KA-4074: Improved Session Invalidation upon the following events:

  • Changed 2FA

  • Change master password

  • User locked by Enterprise Admin

  • User locked by Keeper Support

  • Device locked by Enterprise Admin

  • Enterprise user deleted

  • User deleted via SCIM

  • Enterprise deleted

  • MSP managed company deleted

  • MSP managed company removed

• KA-4080: In case of downstream SMS 2FA provider failure, Keeper can offer support for email delivery of 2FA codes.

Bug Fixes and Improvements

• KA-4012, KA-3596, KA-4015: Resolved several Sharing and Emergency Access related API calls to eliminate all possible enumeration attack vectors on Login V3. Also resolved confusing error messages and popups within the application when handling the sharing handshakes between users. Note that in order to share records between users, a sharing relationship must first exist and be established. In the case of Enterprise accounts, a sharing relationship between users already exists. A share relationship must be established manually for all consumer users and Enterprise-to-consumer accounts, or Enterprise users between different tenants.

• KA-4004, KA-4006, KA-4023: Added additional push notifications and auto-syncing to the Admin Console for MSP tenants to trigger instant updates when MC license changes occur, and for Vault Transfer actions.

• KA-4052: Resolved issue where linked Family Plans are not getting enough family member licenses added.

New Features & Improvements

• Windows Hello Role Enforcement Policy Role policy for admin to prevent their users from enabling Windows Hello Login. This will launch with the next Admin Console.

Bug Fixes

• KA-3989 and others: Support for Quick and Full sync methods in the Admin Console

• KA-4016, KA-4021, KA-3988, KA-3987: Improved Session timeout handling with Browser Extension and Desktop Apps

• KA-3970: AU user receives and error message when attempting to empty their trash

• KA-3971: Enterprise transactions are being duplicated

• KA-3976: Quick syncs are not correctly sending license information for purchased add-ons

• KA-3987: Logging into the vault then using using the BE, fails to reset the idle timeout

• KA-3988: Logging out after the session token is expired generates an error

• KA-3994: Managed Company data is incorrect on full syncs

• KA-3995: Attempt to pause a Managed Company fails

• KA-4005: Unable to delete a user in the AU data center Admin Console

• KA-4003: Throttling error contains "XXX" in the response message

• KA-4014: Okta SCIM error - invited user is not deleted on PATCH message

Bug Fixes

• KA-3939: User is unable to send record share invites (AU accounts)

• KA-3953: User receives an error message in attempt to empty their trash (AU accounts)

Improvements

• KA-2836: Support for new Record Types feature

• KA-3862: Support for Node Isolation

• KA-3857: Provide free Family Plan to all linked personal accounts

• KA-2517: An audit event is created when a user is removed from a role or team

• KA-3909: Support for automatic enterprise invite re-sends on the backend

Bug Fixes

• KA3873: Enforcement values missing from get_enterprise_data_for_user_response

• KA-3693: API requests to the backend are slow to turn on 2FA

• KA-3870: IP blocked events are not being reported in Reporting & Alerts Module

• KA-3880: Extending the share expiration of a user, fails to save new expiration date

• KA-3869: Shared Records Report returns unwanted data

• KA-3894: Admin Console crashes when the last user of a team deleted

Known Issues

This update may have caused existing Azure Function sessions to be logged out. Please follow the instructions in the link below to re-activate the Azure Function. https://docs.keeper.io/sso-connect-cloud/device-approvals/azure-function#troubleshooting-and-repairing-failed-logins See the "Troubleshooting and Repairing Failed Logins" section to resolve the issue.

Features & Improvements

• KA-3777: Added reporting module event for "User requesting self-device approval" for SSO Cloud

• KA-3772: Ensure BreachWatch is granted to linked personal accounts

• KA-3716: Modified sync to allow single-record retrieval for the Commander SDK

• KA-3798: New "Share Report" API for Vault and Commander SDK

Bug Fixes

• KA-3727: Attempt to add a Trusted User generates a "No Active Share Exist" error message

• KA-3710: Admin approvals randomly fail to be received in the Vault

• KA-3689: Log Error - error setting master password expiration

• KA-3627: Adding an alias for an SSO user fails

• KA-3027: Issue causing transferred records to have two owners

• KA- 2672: "Removed record permission" event fails to be triggered

• KA-3827: Transferring an account can create a "read only" owned record

• KA-3767: Unable to logout from SSO Cloud if there is no IdP session id

• KA-3842: Commander times out after 30 days

• KA-3027: Transferring a record, the new owner deletes the transfer record, went to the original owner's trash can.

• KA-3827: Transferring an account can create a read-only owned record.

Improvements

• KA-3809: Improved logging for support team

• KA-3812: Ability to perform verbose SCIM logging

• KA-3795: Improved behavior of "Stay Logged In" for browser extension users.

• KA-3792: Improved speed and performance

• KA-3797: Improved speed related to Trash Can view

Bug Fixes

• KA-3787: Improved query performance on the backend

• KA-3796: Invalid 2FA code returns invalid error message to user

• KA-3784: Attempt to add a user to a shared folder doesn't add the user in local folder view

• KA-3802: Error processing large number of SSO Cloud Admin Approvals

• KA-3801: Adding users via customer-specific provisioning method generates Server 500 error

• KA-3808: Some records do not return user information in "Last modified" record history information.

• KA-3824: New records are not visible to all team members of a shared folder

• KA-3790: Denying a Keeper Push via 2FA method caused approval

Bug Fixes

• KA-3782: Change SCIM GROUP PATCH implementation to return 204 Status

• KA-3588: Support for SSO Connect On-Prem alias checking on email changes

• KA-3578: Turning on Stay Logged In did not work the very first time

• KA-3756: Stay Logged In setting not honored on particular login flows

• KA-3626: Syslog push fails in EU

• KA-3638: Adding ARAM event causes throttling

• KA-3725: Various issues with record sharing

• KA-3718: User is unable to set alternate Master Password

• KA-3582: ARAM is missing the event "Removed User from Team"

• KA-3607: SSO does not send SessionIndex on SAML logout

• KA-3628: Entity ID fails to update when moving configuration

• KA-3674: Records fail to appear in shared folder after a team is added

• KA-3661: "Offline Master Password" role enforcement fails

• KA-3548: Error message appears when login to US SSO Cloud account in EU region

• KA-3514: Event is not triggered when delete command is used

• KA-3701: MSP Admin is unable to approve SSO Cloud users from Managed Companies

• KA-3719: File usage is not properly updated

• KA-3726: A server error is generated when deleting a team

• KA-3730: "Account Recovery Requested" ARAM event is not triggered

• KA-3741: Cloud SSO users that are also admins, require Master Password to export

• KA-3746: Errors are generated when deleting a record in a team shared folder

• KA-2654: Backend APIs for Admin Console login for customers with over 100k users

• KA-2837: Addition of new APIs for upcoming Record Types feature

• KA-3316: Create user event not reported in ARAM

• KA-3728: Sending hyperlink to invalid domain in some scenarios

Improvements

• KA-3705: Allow sync_down on iOS and Android v15 for expired users

• KA-3703: Silence alerts to iOS that contain an empty message

• KA-3699: Return success on recognized device on register_device_in_ region

Bug Fixes

• KA-3704: Users unable to adjust the logout timer

Bug Fixes

• KA-3692: "get_available_bridges" command fails for an MSP logged in as an MC

• KA-3687: Keeper DNA push notifications are not appearing on Apple Watch for 2FA

Improvements

• TRAN-3497: ARAM event added: Enterprise is out of seats

• TRAN-3498: ARAM event added: Admin approved a device

• KA-3654: Keeper removes pending users when SCIM provider patches user to inactive status

• KA3610: Improved performance impacts due to API throttling

• KA-3592: Allow Admins to provision invited users into Teams

Bug Fixes

• KA-3625: MSP Keeper Admin is unable to approve SSO Cloud users from managed companies

• KA-3560: SCIM email change issues

• KA-3615: Broken Access Control - Change permission of other users in the same sharing record

• KA-3614: Broken Access Control - Remove user in the same sharing record

• KA-3624: Keeper Push fails for Cloud SSO users with DUO enabled

• KA-3585: 2FA code duration preference fails for SSO Cloud users

• KA-2558: Team folders are not being pushed to users upon login

• KA-3637: Unable to login to Web Vault using Alternate Master Password and 2FA

• KA-3235: Changed Email Address event isn't displayed in ARAM

• KA-3641: Attempting to save empty shared folder record key

• KA-3663: Cloud SSO accounts require two Admin approvals

Improvements

• EM-4399: BreachWatch events now include the record UID to inform Admins what records trigger BreachWatch Events

Bug Fixes

• KA-3580: Re-trying an Admin Device Approval for pre-approved devices must reply success and send push

• KA-3582: ARAM is missing "Removed User from Team" event

• KA-3493: Log Error - users with region issues

• KA-3586: File download for Enterprise users currently looks at file_plan_expiration

Improvements

• KA-3553: Improved performance for SCIM filter by external ID

• KA-2571: Validate a user's domain when an enterprise is created or when an enterprise user is added

• KA-3583: Restrict Admins from adding teams with missing encrypted_team_key

Bug Fixes

• KA-3448: Admin is able to invite a user to an enterprise when the user exists in a different region

• KA-3464: "Forgot Password" flow generates error message

• KA-3533: 404 error appears after logout from US SSO Cloud account

• KA-3534: Log Error - NPE in SharedFolderUpdateCommand

• KA-3491: A server error is generated while editing MSP user's name and email

• KA-3493: User with region issues generates log error

• KA-3407: Android users are prompted twice for code during 2FA setup

• KA-3540: Cloud SSO IdP-initiated login URL is not displayed as expected

• KA-3549: Cloud SSO does not return an error to the user if a bad IdP metadata XML file is uploaded

• KA-3394: BreachWatch and Security Audits reports are not updating as expected

• KA-3555: Log Error - ArrayIndexOutOfBounds in CreateAccountController

• KA-3556: Log Error - NPE in ManagedNodePrivilegeRemoveCommand

• KA-3554: Network error calling kinfo when user already exists locally

• KA-3568: KeeperApp should prevent active SSO connections from being deleted

• KA-3571: Errors are generated when a user attempts to approve existing devices via Keeper Push

• KA-3573: Requests are not removed from Approval Queue once approved by Admin

Bug Fixes

• KA-3328: Using KeeperDNA for device approval does not work as expected

• KA-3442: Log error is generated when deleting a revision

• KA-3460: SAML validation errors are incorrectly being logged in the KeeperApp error log

• KA-3464: Forgot Master Password flow generates error messages

• KA-3508: start_login returns error after biometric login attempts to Cloud SSO accounts

• KA-3512: Keeper Push does not work in attempt to enable 2FA in EU SSO Cloud account

• KA-3513: A user is unable to login with SSO Cloud after being moved to an SSO node with the precondition that the user has not first logged in with their Master Password

• KA-3519: A pending Enterprise user in an attempt to login to the vault receives an invalid account creation email

• KA-3520: Recent Activity in account summary is missing iOS sync

• KA-3521: The browser extension logout timer uses the timeout value set within the vault

• KA-3509: Log Error, NPE in getManagedEnterpriseInfo

Improvements

KA-15.0.29: Server communication improvements made

Bug Fixes

• KA-3485: Fix to change Enterprise storage expiration to license expiration date

• KA-3430: Inviting a reserved domain user triggers an incorrect error message

• KA-3433: iOS devices do not receive "device_locked" push notifications from admin tool

• KA-3436: When providing the 6-digit code from an account that is using DUO, the response displays an error

• KA-3460: SAML validation errors are incorrectly being logged

• KA-3447: A log error is generated when deleting a role or privilege

• KA-3464: Forgot Password flow is generating several error messages

• KA-3477: SQL error is generated in "ChangeMasterPasswordCommand"

• KA-3480: Command returns an invalid session token type for expired Unlimited account

• KA-3281: Enterprise tool search functionality is not working as expected

• KA-3489: Login fails for SSO On-Prem users when IP auto-approval is turned off, or if it's ON and new IP / Device

Bug Fixes

• KA-3459: ARAM alerts read "unknown event" instead of the event name

Bug Fixes

• KA-3454: Fix for IP auto-approval broken in production

Benefits & Enhancements

• KA-3443: Support for SAML 2.0 IsPassive option in Cloud SSO

Bug Fixes

• KA-3434: Deleting an enterprise does not release the kinfo.domain

• KA-3438: Biometric login to wrong region generates "DEVICE_ACCOUNT_LOCKED" message

• KA-3415: User unable to update an existing push token for a new device using device SNS registration service

• KA-3393: Creation of a new user fails to trigger an ARAM event

• KA-3388: Cloud SSO loses configuration parameters

• KA-3377: Error message fails to appear when a user selects RSA option during 2FA setup and RSA has not yet been configured

Bug Fixes

• KA-3440: User invite fails when the domain is reserved by multiple enterprises

• KA-3439: EU SSO Cloud user who attempts to login from the Desktop App with their email address is routed to Device Approval screen rather than their IdP

• KA-3435: In an attempt to switch account after an account logout prompts user to update their password

Enhancements & Benefits

• KA-3423: The server will allow all access currently reserved to restrict and sync down

Bug Fixes

• KA-3448: Fix to allow Admin to invite a user to an enterprise when the user exists in a different region

• KA-3436: When a user provides the 6-digit code for DUO 2FA, the response displays an error message

• KA-3420: When a user creates a Business trial and switches regions, they receive and error message when attempting email verification

Enhancements & Benefits

• KA-3362: KeeperFill Enforcement Policies - Role policies, implemented via checkboxes to enforce each of the various features and settings of the KeeperFill Browser extension.

Enhancements & Benefits

• KA-3387: Logic changed for session persistence

• KA-3381: Biometric count and date enforcement removed

• KA-3207: Various Enterprise customer invite fixes

Bug Fixes

• KA-3359: Correct SSO accounts transition from pending_enterprise_user to enterprise_user

• KA-3358: send_email_verification link is being rejected

• KA-3271: Deleting user from v10 admin tool doesn't fully delete user

• KA-3233: Error message is received when a new user attempts to accept and create a family account via email invite's deep link.

Bug Fixes

• KA-3350: Alternate Master Password login 500 internal server error

• KA-3351: user_account_summary error

Features & Enhancements

• KA-2906: Service Logger implemented as short term in-database logger

• KA-2873: DAO layer implemented for new Cloud SSO data objects

• KA-3314: Significant Cloud SSO logging improvements

• KA-3273: Implemented prefix-based SCIM role mapping

• KA-3214: Support signature embedded in the SAML response

• KA-3210: Role enforcement created to disallow v2 clients

• KA-3133: Without recovery data, removing a user from Cloud SSO node is prevented

Bug Fixes

• KA-3343: Azure email formatting causes SSO to throw exception

• KA-3332: Database error received during enterprise_delete

• KA-3329: In attempt to delete SCIM user, user is locked instead of deleted

• KA-3301: Master Password re-entry fails for biometrics

• KA-3284: get_user account_information fails to return pending devices

• KA-3264: Prevent account enumeration via 2FA throttle

Bug Fixes

• KA-3310: Request to create a user fails due to ECC validator; emails not received

Bug Fixes

• KA-3307: Account summary returning null for Family Plan admin

• KA-3300: 2FA users who enter a "0" leading their area code during setup, don't receive SMS messages

• KA-3267: SCIM PATCH add username exception in production log

Enhancements & Benefits

• KA-3283: Support for deleting invited user via SCIM PUT

• KA-3263: Role enforcement policy created to disable account recovery

• KA-3237: ARAM event created for "Enterprise is out of seats"

• KA-3263: ARAM event created for Admin approved a device"

• KA-3182: Endpoint created that allows a support tool user to verify a user's 2FA code

Bug Fixes

• KA-3304: SAML Logout returns 404 with no IdP logout endpoint configured

• KA-3294: Logout timer enforcement on Desktop logs user out at max duration instead of max idle

• KA-3274: Email change landing page contains incorrect string

• KA-3242: SSO logout doesn't redirect to IdP to perform logout from mobile client

• KA-2994: Throttled re-authentication enforcement in vault is persistent on next log in.

Bug Fixes

• KA-3270: New JIT Cloud SSO users are prompted for device approval during onboarding

• KA-3269: Uninvited Cloud SSO users receive region_redirect error message

• KA-3268: Non-JIT Cloud SSO users receive error message at login

Bug Fixes

• KA-3265: EU users logging into US are not properly routed to the appropriate region

Bug Fixes

• KA-32632: Web app version 15.0.1 is receiving errors upon login

• KA-3259: DUO IP-based bypass mode generates 500 error

• KA- 3257: 2FA approval method produces error and enumeration

Bug Fixes

• KA-3255: 2FA is bypassed when alternate Master Password is used

• KA-3252: RSA SecurID fails with Login_v3

The Backend API version 15.0.9 release is focused on Login V3 and SSO Cloud APIs.

Features & Benefits

• Cloud SSO Connect General Availability (GA) More information available here: https://docs.keeper.io/sso-connect-cloud/

• Login V3 General Availability (GA) More information available here: https://docs.keeper.io/enterprise-guide/login-api-v3

• KA-3173: Support for session persistence

• KA-3079: IdP-initiated login for Cloud SSO accounts

• KA-3086: New Enterprise role policies (disable_onboarding, disable_commander)

• KA-2468: Support for 24-hour logout timer period

• KA-3177: Added ARAM event for "Device requires Admin approval".

• KA-3188: Backend support for device linking (auto-login of resumable sessions)

Bug Fixes

• KA-3061: Better handling of invalid email addresses

• KA-3130: Login V3 support for SSO-Master-Password logins

• KA-3141: Ignore password expiration for SSO users

• KA-3128: Do not redirect users to incomplete SSO Cloud configuration

• KA-3134: Support for Region Redirect on SSO Domain login

• KA-3088: Resolve missing Sign On URL in Cloud SSO metadata file for Azure

• KA-3147: Throttling configuration for SSO Domain name

• KA-3161: Duo Push web socket message not received by vault during account recovery

• KA-3163: Changing Keeper SAML SP endpoint from kepr.co to keepersecurity.com

• KA-2516: Master Password regex causing loop on iOS devices

• KA-3175: Improved throttling on email verification codes

Bug Fixes

• KA-3094: Improved handling of SSO data for users when moved out of SSO node and back into SSO node (retains data).

• KA-3103: Editing a shared folder name or color changes default permissions.

• KA-3093: Very slow login when thousands of shared folders are present in the vault.

• KA-3099: Improved handling of migration from US to EU data centers

• KA-2960: Addition of alias_add event for adding alias username/emails

• KA-3097: Improved handling of login to US SSO account from EU vault

• KA-3074: Added events for Device Approval

• KA-3110: Prevent admin from moving user from on-prem SSO to Cloud SSO

• KA-3022: Submitting verification code for pending invited user returning 403 error

Features

• Backend support for Keeper SSO Connect Cloud

Subsequent releases 14.12.7 - 14.12.13 are also included in the following release notes.

Bug Fixes

• Fixed: Unable to run custom reports in ARAM.

• Fixed: Device verification must be forced on.

• Fixed: SCIM group provisioning is unsuccessful.

Bug Fixes

• Fixed: Domain name not provided in login error message for SSO.

• Fixed: Error message received when attempting the "Forgot Password" flow.

• Fixed: Internal server error on add users for SCD Provisioning

Subsequent releases 14.12.2 - 14.12.4 are also included in the following release notes.

Bug Fixes

• Fixed: Unable to register new users on current chat clients.

• Fixed: SSO (pre version 14.2.1) is not validating IP and device link for Enterprise.

• Fixed: Transferred direct shared records do not show up in both root and transferred folders.

• Fixed: Adding a 2FA duration to an enforcement generates server errors.

Features & Benefits

• Team Roles - This release introduces a major improvement geared toward increasing the efficiency of managing role enforcements. Enterprise Admins now have the ability to manage enforcements more precisely by assigning teams to roles. Furthermore, a user who is a member of a team assigned to a role will assume the enforcement of that given role.

• Master Password Re-entry Enforcement - This role enforcement allows Admins to further enhance their security policies by requiring users to re-enter their Master Password in order to unmask or copy a password. Once unmasked, the password will be re-masked after 30 seconds have passed.

• Account Transfer Improvement - A transferred account will be replicated in its structure and content and all data will be housed in a dedicated transfer folder that includes deleted records and record history.

• Web Vault & Desktop App Import Prevention - This role enforcement allows Admins to restrict users from importing data from the Web Vault and Desktop App.

Bug Fixes

• Fixed: Issue requiring an update of Google's phone number parser library to v8.11.3.

• Fixed: Users are denied access when moving a record within a shared folder containing restricted team sharing capabilities.

• Fixed: Business to MSP conversion fails for nodes that contain account transfer roles.

• Fixed: "Added Shared Folder" events only appear under the "Added Folder" event type in ARAM.

Subsequent release 14.11.1 is also included in the following release notes.

Features & Benefits

• API implementation allowing Enterprise Admins to disable 2FA for their users so they no longer have to contact support to do so.

• Admins able to set a role enforcement preventing users of the browser extension to enable Auto Submit and Prompt to Fill features.

Bug Fixes

• Fixed: DUO 2FA experiencing intermittent failures.

• Fixed: Push server is not re-registering after a fail to connect to database and is removed from database table too quickly preventing users to successfully login.

• Fixed: Error received when converting nodes to Managed Company if user data is present.

• Fixed: MSPs unable to pause Managed Companies as expected.

• Fixed: Issue causing the new push servers to incorrectly handle the DNA push token.

• Fixed: "auth_failed" appearing in Admin Console due to invalid session token detection when outbound IPs are load balanced.

• Fixed: Spaces in 2FA backup code result in "server_failure".

Subsequent release 14.10.1 is also included in the following release notes.

Bug Fixes

• Fixed: SSO Connect JIT flag turns off when SSO settings for a node are saved.

• Fixed: Issue causing Master Password complexity requirement in French to appear truncated.

Subsequent release 14.9.13 is also included in the following release notes.

Bug Fixes

• Fixed: Issue preventing MSP admin from logging into Managed Company if assigned a role that enforces 2FA at every log in.

• Fixed: Some EU users unable to successfully login after updating their email address.

• Fixed: Priority setting issue preventing successful SMS delivery method in Japan.

Subsequent releases 14.9.1, 14.9.2, 14.9.3, 14.9.4, 14.9.5. 14.9.6 14.9.7, 14.9.8, 14.9.9, 14.9.10 and 14.9.11 are also included in the following release notes.

Features & Benefits

• Enabled IP range based MFA prompt rules (NCINO).

• KeeperApp now responds to "/api" prefaced commands.

• Support for LogRhythm SIEM provider.

• API implementation for node to Managed Company conversion.

Bug Fixes

• Fixed: "Bad_request" error message received on login containing ".con" in email field.

• Fixed: Error occurs when user links a record from one shared folder to another.

• Fixed: Text key visible in error message when a user attempts to add a record to the same shared folder it already resides in.

• Fixed: An issue blocking clients that don't send in a user agent.

• Fixed: An issue causing BreachWatch API to reject IE submissions.

• Fixed: Crash occurs during login to various Managed Company accounts.

• Fixed: User receives an SSO error message after they are moved out of an SSO for the purpose of recovering their Master Password.

• Fixed: SSO new user/device access check initiates for SSO Connect >14.1.3.

• Fixed: When enabling account transfer permissions and enforcement, the MSP loses the ability to launch into the Managed Company.

• Fixed: Unable to move Managed Company to sub nodes without errors.

• Fixed: Issue preventing imported records from inheriting the default folder settings.

• Fixed: MSP receives "missing_keys" error when attempting to assign a user to a role with administrative permission.

• Fixed: Error message displaying key values is received in Enterprise Console when a user attempts to add SCIM provisioning method to the Bridge.

• Fixed: Support for enterprise client tool version.

• Fixed: Managed Companies are duplicated when filtered by node.

• Fixed: Some users in SSO nodes are unable to login as expected.

Features & Benefits

• Creation of new API to send email verification link.

Bug Fixes

• Fixed: Root Admin receives intimate spinner in attempt to log into Managed Companies located in a sub node.

• Fixed: Body of Japanese and German welcome emails for Keeper Business accounts are not translated.

• Fixed: Records that are deleted from a shared folder are displaying incorrect deletion dates in Deleted Items folder.

• Fixed: Adding a user to a shared folder does not send record meta data.

• Fixed: Translation keys visible in some Enterprise customer email invitations.

Bug Fixes

• Fixed: Various visual updates to email verification messages.

• Fixed: Japanese record sharing popups are not translated.

• Fixed: Issue causing push notification of email change to not be received by client.

Bug Fixes

• Fixed: The verification link to change a user's email generates an error message

• Fixed: The "record_add" command does not specify which file ID's are invalid in its response.

• Fixed: When moving a record from the root into a shared folder, it is not observing the default folder settings.

• Fixed: When added to a team, users do not immediately see shared folders until their next login. to the vault.

Features & Benefits

• Text Message 2FA codes now include the platform requesting the code (Web Vault, Desktop App, iOS, Android, Console, etc...)

• Updated template content for default Enterprise invitation

• Support for Yubikey 5Ci Hardware Security Key

Bug Fixes

• Fixed: Account recovery flow when customer attempts recovery in wrong geographic data center

• Fixed: Admin is unable to delete a user having many record revisions

• Fixed: Cannot create a family plan if once was admin of a family plan

• Fixed: User is member of a Team and can receive shares in Shared Folder, but not add the Team to a Shared Folder.

• Fixed: Shared folders in Account Transfer do not retain permissions.

• Resolved: Prevent user from linking a personal license to existing business license from a different data center region.

• Fixed: Removing a favorite from a record does not sync with other platforms.

Subsequent releases 14.7.12, 14.7.13, 14.7.14 and 14.7.15 resolved the following bugs:

• Fixed: Issue decrypting old device session tokens

• Fixed: Custom email templates reverting to default template in certain sub-nodes

• Fixed: Personal license validation link produces 404 error

• Fixed: SCIM provisioning failing with 400 error

• Fixed: Free Data Breach Scan in EU region generating confusing error message

• Fixed: Hyperlink to signup from SSO-provisioned user inside email template generated 404 error

Security Updates

• Prevent external SIEM host connectivity test misuse by enumerating ports on the local network

Features & Benefits

• Support for import of extra-large record notes

Bug Fixes

• Free Breach Scan emails not sending to existing paid subscribers. Fixed.

• Enterprise invite re-sending to users on expired licenses. Fixed.

Features & Benefits

• Enterprise end-user invitations are now sent once every 48 hours to maximize user adoption. Previously sent email invitation codes are invalidated by the most recent code.

• Updated the formatting, layout and branding of general email templates sent from the backend API in accordance with Keeper's new corporate branding.

Bug Fixes

• Duo 2FA setup was not fully activated in some end-user scenarios after first setup. Fixed.

• Translations missing in invitations and transfer record dialogs in Admin Console.

• Preventing user from changing email address to the same email.

• IP Allowlisting with overlapping ranges caused errors. Fixed.

Bug Fixes

• IP throttling too aggressive, adjusting to prevent false positive.

• Some customers unable to accept Enterprise invitation. Fixed.

• SCIM messaging from Centrify returning 404 errors. Fixed.

Due to issues experienced with Twilio (EU regulations surrounding delivery of messages using local numbers, confusing user experience around the use of Authy services), we made a migration of Keeper SMS 2FA services to Amazon AWS, our infrastructure provider.

The new backend SMS capabilities of Amazon AWS provide the following benefits:

• Local delivery of phone numbers via Short Codes

• Fast and reliable delivery

• Full integration into Keeper's existing AWS infrastructure

We apologize for any disruption of SMS 2FA services over the past several days as we have completed the migration. If you have any questions or experience any issues receiving SMS messages from Keeper, please contact support or switch to a TOTP-based authentication method, such as Google Authenticator or Duo.

Features & Benefits

• Migrated backend 2FA system from self-managed Twilio numbers to Twilio/Authy APIs

Bug Fixes

• Fixed Azure AD SCIM pushes for user creation

This is a major feature, bug fix, security and performance improvement release.

Features & Benefits

• Admins with Team Management permission will soon be able to add other members to a team, even if the admin is not part of the team. NOTE: Front-end implementation of the feature must still be completed on the Admin Console.

• Users will receive an email notification when a record has transferred ownership to them.

• Vault Transfers performed by the approved administrator will also transfer deleted records. The deleted records will be in the "deleted" section of the destination vault.

• Ability to assign free Personal Licenses to Business Licenses (not available for all Business customers).

• Created API to provide a list of team members, in order to display the information in the Vault. NOTE: The vault update has not gone live yet.

• Created process to periodically ask the customer to review and update their security questions.

• Created Backend APIs to support the Free Data Breach Scan feature on the Keeper Security Website and BreachWatch services. https://keepersecurity.com/free-data-breach-scan.html

• Roles can now be provisioned through SCIM (supported by Okta and other identity providers). The Role ID must be provided by the SCIM message. Notes: - When a new user is created, default roles will be assigned regardless of what provided in "roles" field. - Roles with administrative permissions will cause the operation to fail with status 406 ("not acceptable") and "detail": "A role with Administrative Permissions may not be assigned by SCIM." - To identify the Role ID, this information is will eventually be displayed in the Admin Console, but it can be also seen via Keeper Commander command "enterprise-info":

My Vault> enterprise-info --roles                                                                                                                                                                                                                            
Enterprise name: Craig Lurey LLC

       Role ID  Name                  Cascade?    New User?    Node
--------------  --------------------  ----------  -----------  ---------------------------------------------------------
47377784242422  Administrator                                  Craig Lurey LLC\Finance
47377784242415  Administrator                                  Craig Lurey LLC\Legal
47377784242418  Administrator                                  Craig Lurey LLC\Contractors
47377784242533  Agent Manager                                  Craig Lurey LLC\Agents

• "Last Modified" in record history will be replaced with the date in which the backup of was created (not last modification date)

• Shared records to users outside of the organization will be removed automatically when a "Vault Transfer" of the user account is performed by the admin.

Bug Fixes & Performance Improvements

• Stop sending share invites between Enterprise users, as this is not needed.

• Repaired the "Change Email Address" flow from certain clients, in which the verification email was not being sent properly.

• Emergency Access not honoring the desired wait time in certain cases.

Features & Benefits

• BreachWatch for Business

• New APIs for BreachWatch Business client apps (retrieving public key)

• Billing support for BreachWatch Business

Bug Fixes

• Improved BreachWatch performance to reduce CPU load

• User with expired personal license was unable to login and accept Enterprise invite.

Bug Fixes

• "Recent Activity" screen has not been displaying the user's custom Device Name setting since the 14.0 release. This is now resolved.

• Resolved SSO login when a user is moved into a subnode within the sub-node of the same tree.

New Features & Benefits

Node Isolation Option for MSP Customers The Keeper Backend now as the ability to enforce Node Isolation for business customers. When "Node Isolation" is activated, users and teams that show within Share screens on the vault are limited to parent and child nodes. This feature is built for MSP customers who configure each node in the Keeper Admin Console as a separate end-customer account. In the example below, if Node Isolation is activated on the West Coast node then: Users in "Developers" are able to see other users and teams up in Developers, West Coast, Regions, Engineering and Craig Lurey LLC. Users in "Developers" are NOT able to see the users and teams in "East Coast" or "Sales", since those nodes are in parallel tree paths.

On the Vault, the screens affected by this change are the "Shared Folder" and "Record Share" screens:

Other Improvements

• Migrating from Google Cloud messaging (GCM) to Firebase Cloud Messaging (FCM) for Android platforms.

• During Vault Transfer / Account Transfer, team permissions are also transferred now.

• Optimization for syncing a large number of folders and records, when team permissions and individual user permissions overlap the same records. Duplicates are removed from the sync down response which decreases the overall encrypted package size.

• Created an optimized "import" backend API for record import

Bug Fixes

• Fixed "record key already encrypted with datakey" error which occurs randomly

• German translation improvement (backend errors and success messages)

Coming Soon

The next Backend API 14.6.0 release will support BreachWatch for Business.

Enhancements & Benefits

• Ability to login to Keeper when offline and SSO is unavailable, on the Web Vault and Desktop App. In this use case, the Keeper Admin enables the feature from the admin console role enforcement policy. This feature is disabled by default. It will only appear as an option within an SSO-enabled node.

• For users who are part of an SSO-enabled node where the Admin has enabled Master Password login, the user will be able to login to the Web Vault and set a Master Password. Note that the Master Password complexity is enforced based on the rules of the role enforcement policy.

• When offline mode is permitted by the Keeper Administrator, users can login to the Web Vault in a fully offline situation, or in a network that has no SSO access. Note that in order to make use of this feature, the user must login to the Web Vault on that particular user account at least one time.

• If an account is available for offline login, an indicator graphic shows on the login screen:

• Keeper Commander can now be utilized on SSO-enabled accounts through the use of the Master Password.

• Security Update: We have added new security updates to prevent enumeration attacks against SSO Customer Enterprise Domain names.

• We have added several new event types in the Advanced Reporting & Alert module to track the following events:

  • Alert Created

  • Alert Deleted

  • Alert Paused

  • Alert Resumed

  • Team Created

  • Team Deleted

  • Role Created

  • Role Deleted

  • Node Created

  • Node Deleted

Bug Fixes

• Fixed issue where "Just-In-Time (JIT)" provisioning setting was being ignored

Known Issues

• ​Offline mode will not work in Internet Explorer and the mobile version of Safari, due to the limitations of those platforms.

Enhancements & Benefits

• Final release of Advanced Audit & Reporting backend prior to Admin Console release

• ​Improved record history detailed data

• Replace "Recent Activity" data with new enhanced metadata

• Business logic for Audit & Reporting SKU and billing system

• KeeperChat free trial activation from Admin Console

• Increase allowed file upload size on "Custom Logo" from Admin Console

Bug Fixes

• Syncing fix in shared folders related to removing a user from a folder

• Overlapping IP ranges in enforcement restriction caused exception

• "Ownerless" records after vault transfer are automatically corrected

• Translation fixes regarding certain new role enforcement policies

• Record "delete" events not logged when deleted from root user folder

• SCIM triggers email to admin if the max number of licenses has been exceeded

Coming Soon

• ​Version 14.4.0 includes several new features for Master Password login when SSO is unavailable, and offline mode in the Web Vault.

Enhancements & Benefits

• ​This release contains minor bug fixes and several new backend features.

• Added support for upcoming Advanced Event Reporting & Auditing system

• Added additional API throttling monitoring and abuse prevention measures

• Translation changes

Known Limitations

• ​None

Bug Fixes

• ​Duplicate shared folders returned in certain situations

• Removed deleted record metadata when no record references found

Coming Soon

• ​Version 14.3.0: Major release with over 20 tickets, containing bug fixes, new features and general backend improvements affecting all client applications.