ワンタイムアクセストークン

概説

Keeperシークレットマネージャーは、「ワンタイムアクセストークン」を使用して鍵交換を実行し、シークレットマネージャーAPIにアクセスする新しいクライアントデバイスを初期化します。各クライアントデバイスは、それぞれ独自のワンタイムアクセストークンで初期化する必要があります。

ワンタイムアクセストークンは、KeeperコマンダーまたはKeeperボルトを使用して生成できます。 クライアントデバイスの作成時にワンタイムアクセストークンが生成されます。

ワンタイムアクセストークンの目的は、複数の暗号化鍵と識別子で構成される「設定」を作成することです。設定は、クライアントデバイスまたは目的のCI/CDプラットフォーム内にローカルに保存されます。

コマンダーを使用したトークンの生成

1. アプリケーションを作成します

secrets-manager app createを使用して新しいシークレットマネージャーアプリケーションを作成します

My Vault> secrets-manager app create DevOps
Application was successfully added

secrets-manager app listを使用して、使用可能なアプリケーションの一覧を表示できます。

My Vault> secrets-manager app list

List all Secrets Manager Applications

Title              UID
-----------------  ----------------------
DevOps             fe6mv_ZBLqca35dBUTdNeQ
Examples           Xym5lhpSidvtk9VlmV_3dQ
Github Actions     L5FqK5DUJhxeCXp50nSkuw
Jenkind            R2jMVW_QwL3FsCJziotpLQ

2. アプリケーションを共有フォルダまたはレコードに関連付けます

ボルトのレコードにアクセスできるようにするには、アプリケーションに共有フォルダまたはレコードを割り当てる必要があります。

コマンダーから、次のコマンドを使用してアプリケーションと共有します。

secrets-manager share add --app <APPLICATION NAME> --secret <FOLDER OR RECORD UID>

オプションで--editableフラグを使用して、アプリケーションに編集権限を付与できます。

以下の例の「XXX」は、レコードまたは共有フォルダのUIDに置き換えます。

My Vault> secrets-manager share add --app DevOps --secret XXX --editable

Successfully added secrets to app uid=XXX, editable=True:
        RpdmKFgF5lpsaID3TcHu8A Shared Folder

3. クライアントデバイスを作成します

アプリケーションは、1つまたは複数のクライアントデバイスで構成されます。ボルトのレコードにアクセスするには、少なくとも1つのクライアントデバイスが必要です。

secrets-manager client add --app <APPLICATION NAME>コマンドを使用して、新しいクライアントデバイスを作成します。

オプションで、--name <NAME>を使用してクライアントデバイスの名前を設定し、--unlock-ipを使用して認証されたデバイスの接続を許可できます。デフォルトでは、クライアントデバイスの外部IPアドレスに基づいてアクセスが制限されます。

My Vault> secrets-manager client add --app DevOps --name server1

Successfully generated Client Device
====================================

One-Time Access Token:US:19-V--cbg8P-o9OVDzMl_hWnrt-QE1eAMQHgSkQMUi0
Name: server1
IP Lock:Enabled
Token Expires On:2021-10-01 11:14:18
App Access Expires on:Never

クライアントデバイスの作成時にワンタイムアクセストークンが表示されることにご注意ください。

その表示出力からワンタイムアクセストークンをコピーし、それを使用してKeeperシークレットマネージャーSDKまたは統合機能からデバイスを初期化します。トークンは、ターゲットデバイスで一度使用すると、再使用はできません。アプリケーションに関連付けられたレコードのアクセスに必要なだけの数のクライアントデバイスを生成できます。

Keeperボルトを使用したトークンの生成

新しいアプリケーションを使用

1. シークレットマネージャーに移動します

Keeperボルトのナビゲーションメニューからシークレットマネージャーを選択します。

2. 新しいアプリケーションを作成します

新しいシークレットマネージャーアプリケーションを作成してワンタイムトークンを生成するには、まずシークレットマネージャータブから「アプリケーションの作成 (Create Application）」を選択します。「アプリケーションの作成 (Create Application）」ボタンは、ページの右上、またはアプリケーションが現在存在しない場合は中央に表示されます。

「アプリケーションの追加」フォームで、新しいアプリケーションの名前を作成します

ドロップダウンを使用して、アプリケーションにアクセスを許可する共有フォルダを選択します。複数のフォルダを選択できます。

ドロップダウンを使用して、このアプリケーションに読み取り権限や編集権限を与えることもできます。

必要に応じて、「初回リクエストの外部WAN IPアドレスを固定する (Lock external WAN IP Address of device for initial request）」のチェックボックスをオンにして、アプリケーションの最初のクライアントデバイスを接続元の最初のIPアドレスに制限します。

3. ワンタイムアクセストークンを生成します

アプリケーションを設定したら、「アクセストークンの生成 (Generate Access Token）」をクリックして最初のクライアントデバイスを生成し、ワンタイムトークンを受信します。

その表示出力からワンタイムアクセストークンをコピーし、それを使用してKeeperシークレットマネージャーSDKまたは統合機能からデバイスを初期化します。トークンは、ターゲットデバイスで一度使用すると、再使用はできません。アプリケーションに関連付けられたレコードのアクセスに必要なだけの数のクライアントデバイスを生成できます。

既存のアプリケーションを使用

1. シークレットマネージャーに移動します

Keeperボルトのナビゲーションメニューからシークレットマネージャーを選択します。

2. 既存のアプリケーションに新しいクライアントデバイスを作成します

既存のシークレットマネージャーアプリケーションで新しいクライアントデバイスを作成し、新しいワンタイムトークンを生成するには、まず、シークレットマネージャータブのリストから使用するアプリケーションを選択します。

アプリケーションを選択すると詳細ビューが開き、このアプリケーションがアクセスできるフォルダとレコードが表示されます。

新しいクライアントデバイスを作成するには、まず「デバイス (Devices）」タブに移動し、「編集 (Edit）」、「+デバイス (+ Device）」ボタンの順にクリックします。

「デバイスの追加 (Add Device）」フォームで、新しいデバイスの名前を選択します。必要に応じて、「初回リクエストの外部WAN IPアドレスを固定する (Lock external WAN IP Address of device for initial request）」のチェックボックスをオンにして、クライアントデバイスを接続元の最初のIPアドレスに制限できます。

3. ワンタイムアクセストークンを生成します

「アクセストークンの生成 (Generate Access Token）」をクリックしてクライアントデバイスを作成し、ワンタイムトークンを表示します。

この画面からワンタイムアクセストークンをコピーして、KeeperシークレットマネージャーSDKや統合機能で使用すると、今後このトークンにアクセスできなくなります (ただし、新たなクライアントデバイスを作成して、別のトークンを生成することはできます）。

設定を生成

一部のサードパーティのKeeperシークレットマネージャー統合機能では、ワンタイムアクセストークンから設定を作成するのではなく、事前に作成された設定が必要です。

シークレットマネージャーの設定の作成方法は、次のセクションで確認します。