Delinea/Thycotic Secret Serverインポート
Delinea (Thycotic) Secret Serverボルトの自動移行
最終更新
Delinea (Thycotic) Secret Serverボルトの自動移行
最終更新
本ページでは、プライベートフォルダ、共有フォルダ、アクセス許可、添付ファイル、TOTP コードを含むSecret Server (Delinea/Thycotic) データをKeeperに自動的かつスムーズに移行するプロセスについて解説します。このプロセスでは、自動化にSecret Server APIを利用します。
注: 基本的なインポート機能は、Thycotic XML形式に対応したKeeperウェブボルトおよびKeeperデスクトップアプリでご利用になれます。 ボルトの[設定] > [インポート] > [Thycotic]画面に移動します。XML形式には、添付ファイルや権限は含まれません。そのため、本ページで解説する自動化を使用することを推奨します。
Secret Serverの管理設定で、ウェブサービスが有効になっていることを確かにします。
Admin -> Configuration -> Edit -> Enable Webservices
Secret Serverの管理者設定で、[Session Timeout for Webservices] (ウェブサービスのセッションタイムアウト) が十分に大きい値に設定されていることを確かにします。大きなボルトは処理に時間がかかるため、59分などに設定します。
KeeperコマンダーでKeeper/Thycoticの管理者として、以下のコマンドを実行します。
上記のコードを実行する前に、以下を確認します。
ブラウザでベースのThycotic URLを確認
ユーザー名は正しい形式であること
ADユーザーの場合、形式はDOMAIN\username
で、それ以外の場合はusername
となります。
これにより、以下が実行されます。
すべての共有フォルダ情報のダウンロード
チームメンバーシップのダウンロード
共有フォルダのアクセス権限のダウンロード
この手順によって、チームと共有フォルダの構造を含むshared_folder_membership.json
というファイルがローカルにダウンロードされます。
Keeperでは、親とは異なる権限を持つ共有フォルダ内のフォルダがまだサポートされていません。
download-membership
コマンドでは--sub-folder
というオプションでこのようなフォルダをどのようにインポートするかをコントロールできます。
--sub-folder=ignore
でフォルダ構造が保持され、フォルダ権限は無視されます。
--sub-folder=flatten
フォルダが共有フォルダとしてKeeperボルトのルートフォルダへ移動します。folder will be moved to the root folder of the Keeper vault as its own shared folder.
レコードをインポートする前に、以下のコマンドを実行し、まずKeeper側で共有フォルダ構造を作成します。
Thycotic/Delinea Secret Serverに保存されているTOTPコードは、CSVファイルを手動でダウンロードすることによってのみ取得できます。Secret Serverの管理者として、[Secret Server] > [Export Secrets] (シークレットをエクスポート) に移動し、以下のオプションを選択します。
Export Type (エクスポートの種類): Export All (すべてエクスポート)
Export Folder Path (フォルダのパスをエクスポート): チェック
Export TOTP Settings (TOTP設定をエクスポート): チェック
Export Format (エクスポート形式): CSV
ファイルをエクスポートし、ホームフォルダまたはKeeperコマンダーが実行されているフォルダに保存します。デフォルトでは、ファイル名は「secrets-export.csv」になります。
KeeperコマンダーでKeeper/Thycoticの管理者として、以下のコマンドを実行し、Secret Server APIを使用してデータのインポートを行います。
ボルトのレコード数とユーザー数によって、このコマンドが完了するのに数分かそれ以上かかります。大きなSecret Serverインスタンスでは20分以上かかる場合もあります。
コマンダーは、管理者のKeeperボルトにSecret Serverと同じフォルダ構造を構築しようとします。
また、コマンダーは、TOTPコードをインポートするために、ユーザーのホームフォルダまたはコマンダーの現在のフォルダで「secrets-export.csv」ファイルを探します。
注1: このコマンドで、通常のフォルダ、共有フォルダ、フォルダ内のレコードをインポートして読み込みます。これにより、Secret Server内の他のユーザーの個人用フォルダがインポートされることはありません。この手順では、管理者がアクセスできる情報のみがインポートされます。
注2: アクセス権限の異なる別の共有フォルダ内に共有フォルダがある場合、その共有フォルダはルートフォルダに移動されます (Keeperではサブフォルダのアクセス権限がサポートされていないためです) 。
KeeperコマンダーでKeeper/Thycoticの管理者として、次のコマンドを実行します。
これにより、手順1のshared_folder_membership.json
というファイルが読み込まれ、Keeperエンタープライズ環境に存在するすべてのユーザーとチームに共有フォルダへのアクセス権限が適用されます。このコマンドを繰り返し実行しても問題はなく、重複が生じることはありません。
説明: SSOまたは招待プロセスによってユーザーが招待/作成されると、公開鍵が作成されます。そのため、Keeperによってメンバーシップが適用されるのは、ユーザーが存在するようになってからとなります。
このため、Keeper管理者は、毎日、毎時、Keeperでユーザーを作成した際は必要に応じてapply-membership
コマンドを実行する必要があります。
Keeper管理者は、以下のいずれかの方法でユーザーを招待します。
SSOログインによるジャストインタイムプロビジョニング
管理コンソールを使用した招待
SCIM
ユーザーを登録してボルトを作成すると、公開鍵と秘密鍵のペアが生成されます。この時点で、次の手順で説明するように、共有フォルダにアクセスできるようになります。
次回管理者がapply-membership
コマンドを実行すると、新しいKeeperユーザーは自分の共有フォルダにアクセスできるようになります。
手順が多いため、組織全体に展開する前に少数のユーザーでテストすることをお勧めします。
ご不明な点がございましたら、commander@keepersecurity.comまでメールでお問い合わせください。