Delinea/Thycotic Secret Serverインポート

Delinea (Thycotic) Secret Serverボルトの自動移行

Secret Serverのインポート

本ページでは、プライベートフォルダ、共有フォルダ、アクセス許可、添付ファイル、TOTP コードを含むSecret Server (Delinea/Thycotic) データをKeeperに自動的かつスムーズに移行するプロセスについて解説します。このプロセスでは、自動化にSecret Server APIを利用します。

注: 基本的なインポート機能は、Thycotic XML形式に対応したKeeperウェブボルトおよびKeeper Desktopでご利用になれます。 ボルトの [設定] > [インポート] > [Thycotic]画面に移動します。XML形式には、添付ファイルや権限は含まれません。そのため、本ページで解説する自動化を使用することを推奨します。

ウェブサービスが有効になっていることを確かにします

Secret Serverの管理設定で、ウェブサービスが有効になっていることを確かにします。

Admin -> Configuration -> Edit -> Enable Webservices

Secret Serverの設定

Secret Serverの管理者設定で、[Session Timeout for Webservices] (ウェブサービスのセッションタイムアウト) が十分に大きい値に設定されていることを確かにします。大きなボルトは処理に時間がかかるため、たとえば59分に設定します。

手順 1. チームと共有フォルダの構造をダウンロード

Keeper CommanderでKeeper/Thycoticの管理者として、以下のコマンドを実行します。

download-membership --source=thycotic
...     Thycotic Host or URL: https://xyz.acme.com/secretserver
...     Thycotic Username: acme.com\user

上記のコードを実行する前に、必ず以下を確認します。

  • ブラウザでベースのThycotic URLを確認

  • ユーザー名は正しい形式であること

    • ADユーザーの場合、形式はDOMAIN\usernameで、それ以外の場合はusernameとなります。

これにより、以下の3つが実行されます。

  • すべての共有フォルダ情報のダウンロード

  • チームメンバーシップのダウンロード

  • 共有フォルダのアクセス権限のダウンロード

この手順によって、チームと共有フォルダの構造を含む「shared_folder_membership.json」というファイルがローカルにダウンロードされます。

Keeperでは、親とは異なる権限を持つ共有フォルダ内のフォルダがまだサポートされていません。

download-membershipコマンドでは--sub-folderというオプションでこのようなフォルダをどのようにインポートするかをコントロールできます。

--sub-folder=ignoreでフォルダ構造が保持され、フォルダ権限は無視されます。

--sub-folder=flatten フォルダが共有フォルダとしてKeeperボルトのルートフォルダへ移動します。folder will be moved to the root folder of the Keeper vault as its own shared folder.

手順 2. 共有フォルダをインポート

記録をインポートする前に、以下のコマンドを実行し、まずKeeper 側で共有フォルダ構造を作成します。

import --format=json shared_folder_membership.json

手順 3. TOTPコードをエクスポート

Thycotic/Delinea Secret Serverに保存されているTOTPコードは、CSVファイルを手動でダウンロードすることによってのみ取得できます。Secret Serverの管理者で、Secret Server > Export Secrets (シークレットをエクスポート) に移動し、以下のオプションを選択します。

  • Export Type (エクスポートの種類): Export All (すべてエクスポート)

  • Export Folder Path (フォルダのパスをエクスポート): チェック

  • Export TOTP Settings (TOTP設定をエクスポート): チェック

  • Export Format (エクスポート形式): CSV

ファイルをエクスポートし、ホームフォルダまたはKeeper Commanderが実行されているフォルダに保存します。デフォルトでは、ファイル名は「secrets-export.csv」になります。

手順 4. Secret Serverボルトをインポート

Keeper CommanderでKeeper/Thycoticの管理者として、以下のコマンドを実行し、Secret Server APIを使用してデータのインポートを行います。

import --format=thycotic https://your-secret-server-hostname
または
import --format=thycotic username@your-secret-server-hostname

ボルトの記録数とユーザー数によって、このコマンドが完了するのに数分かそれ以上かかります。大きなSecret Serverインスタンスでは20分以上かかる場合もあります。

Commanderは、管理者のKeeperボルトにSecret Serverと同じフォルダ構造を構築しようとします。

また、Commanderは、TOTPコードをインポートするために、ユーザーのホームフォルダまたはCommanderの現在のフォルダで「secrets-export.csv」ファイルを探します。

注1: このコマンドで、通常のフォルダ、共有フォルダ、およびフォルダ内の記録をインポートして読み込みます。これにより、Secret Server内の他のユーザーの個人用フォルダがインポートされることは「ありません」。この手順では、管理者がアクセスできる情報のみがインポートされます。

注2: アクセス権限の異なる別の共有フォルダ内に共有フォルダがある場合、その共有フォルダはルートフォルダに移動されます (Keeperはサブフォルダのアクセス権限をサポートしていないためです) 。

手順 5. メンバーシップ権限を適用します

Keeper CommanderでKeeper/Thycoticの管理者として、次のコマンドを実行します。

apply-membership

これにより、手順1の「shared_folder_membership.json」というファイルが読み込まれ、Keeper Enterprise環境に存在するすべてのユーザーとチームに共有フォルダへのアクセス権限が適用されます。このコマンドを繰り返し実行しても問題はなく、重複が生じることはありません。

説明: SSOまたは招待プロセスによってユーザーが招待/作成されると、公開鍵が作成されます。そのため、Keeperによってメンバーシップが適用されるのは、ユーザーが存在するようになってからです。

このため、Keeper管理者は、毎日、毎時、またはKeeperでユーザーを作成した際は必要に応じて「apply-membership」コマンドを実行する必要があります。

手順 6. エンドユーザーをKeeperに招待します

Keeper管理者は、以下のいずれかの方法でユーザーを招待します。

  • SSOログインによるジャストインタイムプロビジョニング

  • 管理コンソールを使用した招待

  • SCIM

ユーザーを登録してボルトを作成すると、公開鍵と秘密鍵のペアが生成されます。この時点で、次の手順で説明するように、共有フォルダにアクセスできるようになります。

共有フォルダへのアクセス

次回管理者がapply-membershipコマンドを実行すると、新しいKeeperユーザーは自分の共有フォルダにアクセスできるようになります。

手順が多いため、組織全体に展開する前に、少数のユーザーでパイロットテストを実行することをお勧めします。

ご不明な点がございましたら、commander@keepersecurity.comまでメールでお問い合わせください。

最終更新