LastPassデータのインポート
LastPassボルトと共有フォルダの自動移行
最終更新
LastPassボルトと共有フォルダの自動移行
最終更新
このドキュメントでは、LastPassデータをKeeperに自動的かつシームレスに移行する手順を説明します。Keeperは、マスターパスワード、Okta/Azure/Googleとの連携SSO、MFAを含むLastPassボルトの自動インポートに対応しています。
LastPassからKeeperに転送可能なデータ:
パスワードの転送
フォルダの転送
共有フォルダの転送
共有フォルダ権限 (ユーザーとチーム) の転送
カスタムフィールド、TOTPシードの転送
ファイル添付の転送
LastPassからKeeperに組織全体をインポートする推奨手順は、以下のとおりです。
管理者が、共有フォルダとチームのデータのメンバーシップをjsonファイルにダウンロードします。
管理者が、共有フォルダと非共有パスワードをインポートします。
管理者が、Keeperにすでに存在するユーザーに共有フォルダのメンバーシップ (アクセス権限を含む) を適用します。
Keeperに参加するユーザーの数が増えるにつれて、管理者は定期的にメンバーシップの適用を継続します。
Keeper CommanderでKeeper/LastPassの管理者として、次のコマンドを実行します。
これにより、以下の3つの機能が実行されます。
すべての共有フォルダ情報のダウンロード
チームメンバーシップのダウンロード
共有フォルダのアクセス権限のダウンロード
この手順によって、チームと共有フォルダの構造を含む「shared_folder_membership.json
」というファイルがローカルにダウンロードされます。Windowsでのこのファイルの場所は通常、C:\Users\username\shared_folder_membership.jsonです。Linux/Macでは、Commanderを実行する場所にあります。
download-membershipコマンドは、基本的に共有関係を含むローカルファイルを生成します。テキストエディタでこのファイルを編集するだけで、次の手順に進む前に必要なアクセス権限の変更を行うことができます。
Keeper Commanderで、管理者は次のコマンドを実行して、共有フォルダとデータのインポートを実行します。
インポートコマンドを初めて実行すると、LastPassが接続元のデバイスの確認を求めているという以下の通知が表示される場合があります。
LastPassアカウントに関連付けられたメールアドレスを調べて、「確認(verify)」をクリックし、KeeperがLastPassアカウントのレコードにアクセスできるようにします。
import
コマンドで、通常のフォルダ、共有フォルダ、およびフォルダ内のレコードを移行して読み込みます。これにより、LastPass内の_他の_ユーザーの個人用フォルダがインポートされることは「ありません」。この手順では、管理者がアクセスできる情報のみがインポートされます。
ご利用のEnterprise環境でレコードタイプが有効になっている場合、入力されたLastPassの項目は、レコードタイプが一致するKeeperのレコードとして自動的にインポートされます。
LastPassの項目のタイプとそれに対応するKeeperのレコードタイプは下記の表をご参照ください。
LastPassの項目のタイプ | Keeperのレコードタイプ |
---|---|
Bank Account (銀行口座) | Bank Account (銀行口座) |
Credit Card (クレジットカード) | Bank Card (銀行カード) |
Address (住所) | Address (住所) |
Driver's License (運転免許) | Driver's License (運転免許) |
Passport (パスポート) | Passport (パスポート) |
Social Security (社会保障) | SSN Card (SSNカード) |
Health Insurance (健康保険) | Health Insurance (健康保険) |
Insurance (保険) | Health Insurance (健康保険) |
Membership (メンバーシップ) | Membership (メンバーシップ) |
Email Account (メールアカウント) | Login (ログイン) |
Instant Messenger (インスタントメッセンジャー) | Login (ログイン) |
Database (データベース) | Database Credentials (データベースクレデンシャル) |
Server (サーバー) | Server Credentials (サーバーのクレデンシャル) |
SSH Key (SSH鍵) | SSH Keys (SSH鍵) |
Software License (ソフトウェアライセンス) | Software License (ソフトウェアライセンス) |
Keeperのレコードタイプの詳細については、レコードタイプをご参照ください。
LastPassでフォルダが別のユーザーまたはチームと共有されている場合、インポートによって、名前の同じKeeperチームとメールアドレスの同じKeeperユーザーに同じ共有アクセス権限が適用されます。
共有フォルダのアクセス権限は、最初のインポート後に新しいKeeperユーザーまたはチームが追加された場合に、再適用/適用できます。
LastPassからインポートしたパスワードに共有アクセス権限を割り当てるには、apply-membership
コマンドを使用します。
これにより、手順1の「shared_folder_membership.json
」というファイルが読み込まれ、Keeper Enterprise環境に存在するすべてのユーザーとチームに共有フォルダへのアクセス権限が適用されます。このコマンドを繰り返し実行しても問題はなく、重複が生じることはありません。
説明: SSOまたは招待プロセスによってユーザーが招待/作成されると、公開鍵が作成されます。そのため、Keeperによってメンバーシップが適用されるのは、ユーザーが存在するようになってからとなります。
このため、Keeper管理者は、毎日、毎時、またはKeeperでユーザーを作成した際は必要に応じて「apply-membership」コマンドを実行する必要があります。
ユーザーがKeeperに移行するとすぐに通知を受け取りたい場合は、Keeper管理コンソールの高度なレポートとアラートモジュールを使用して、ユーザー作成時のアラートを設定します。
Keeper管理者は、以下のいずれかの方法でユーザーを招待します。
SSOログインによるジャストインタイムプロビジョニング
管理コンソールを使用した招待
SCIM
ユーザーを登録してボルトを作成すると、公開鍵と秘密鍵のペアが生成されます。この時点で、次の手順で説明するように、共有フォルダにアクセスできるようになります。
LastPassのユーザー個人のフォルダとレコードを転送するには、Keeper Desktopアプリケーションをインストールするようにユーザーに指示することをお勧めします。
公開/最新バージョンへのリンクは以下のとおりです。
ユーザーが自分のKeeperボルトを作成すると、チームやフォルダに追加できます。次回管理者がapply-membership
コマンドを実行すると、新しいKeeperユーザーは自分の共有フォルダにアクセスできるようになります。
Keeperに登録されるユーザー数が増えるにつれて、apply-membershipを繰り返し実行できます。これにより、Keeperに存在するユーザーにメンバーシップが適用されます。
手順が多いため、組織全体に展開する前に、少数のユーザーでパイロットテストを実行することをお勧めします。
ご不明な点がございましたら、Keeperセールスエンジニアまたはcommander@keepersecurity.comまでメールでお問い合わせください。
LastPassのメールドメインが変更されたため、共有アクセス権限を転送する際に新しいメールドメインに移行したい場合は、--old-domain
および--new-domain
オプションパラメータが使用できます。 以下に例を示します。
LastPassのdownload-membership
は、LastPassユーザーの共有フォルダのアクセス権限をKeeperの共有フォルダに適用しますが、このアクセス権限の設定はメンバーシップのダウンロード中に上書きできます。
インポートされたすべての共有フォルダのすべてのユーザーの「レコード管理」権限および「ユーザー管理」権限を上書きするには、--permissions
または--restrictions
のオプションを使用します。
--permissions
は、インポートされたすべての共有フォルダのすべてのユーザーのアクセス権限を許可します。
--restrictions
は、インポートされたすべての共有フォルダのすべてのユーザーのアクセス権限を拒否します。
「レコード管理」の設定には、r
を、「ユーザー管理」の設定には、u
を、両方の設定には、ru
を指定します。
オプションで、--shared
フラグと--permissions=<PERMISSIONS>
フラグを渡すことにより、すべての最上位フォルダを指定したアクセス権限を持つ共有フォルダにできます。
使用可能なアクセス権限のオプションは以下のとおりです。
U - ユーザー管理権限を付与
R - レコード管理権限を付与
E - レコード編集権限を付与
S - 共有権限を付与
A - すべてのアクセス権限を付与
N - アクセス権限を付与しない
付与したいアクセス権限に対応する文字を間にスペースや文字を入れずに指定します。
添付ファイルはインポート中にキャッシュできるため、別のインポートを実行する場合に再度ダウンロードする必要はありません。
ファイルキャッシュを使用してインポートを実行するには、--file-cache <DIR>
フラグを追加します。 キャッシュとして使用するディレクトリを指定します。
次のインポートでキャッシュを使用するには、同じディレクトリで--file-cache
フラグを適用します。
キャッシュされた添付ファイルは暗号化されます
Keeperのレコードのサイズ制限は5MBです(添付ファイルを除く)。LastPassのレコードがこの制限より大きい場合、レコードが制限より小さくなるまで、まず最大のフィールドからテキストファイルに変換されます。
作成された添付ファイルには、次の形式で名前が付けられます。
<title of field>_<type of field>_field.txt
たとえば、「Instructions」というタイトルの「notes」フィールドは、次のタイトルの添付ファイルに変換されます。
Instructions_notes_field.txt
LastPassボルトの内容は、Keeperボルトの指定したフォルダにインポートできます。 インポートするには、--folder
オプションを使用します。
--filter-folder
オプションを使用して、LastPassボルトのインポートをLastPassの特定のフォルダに制限できます。これにより、LastPassのデータがLastPass側の特定のフォルダのデータのみに選別されます。
インポート後にボルト内のレコードが重複している可能性がある場合は、Commanderのfind-duplicate
機能を使用して重複レコードを検索できます。
たとえば、タイトル、ログイン、パスワードに基づいて重複を検索する場合は、次のようになります。
このレポートの出力から、「rm
」コマンドを使用して削除するUIDレコードのリストを収集できます。
エンドユーザーは、Keeper Desktopの自動インポートメソッドを使用して、個人のLastPassデータを移行します。エンドユーザーのマニュアルについては、をご参照ください。
グループポリシーを使用してKeeper Desktopをユーザーに自動的にデプロイする方法については、をご参照ください。