チームとユーザーの承認

SCIMまたはBridgeでプロビジョニングしたチームやユーザーは、管理者や他のチームメンバーが承認を実行するまで、「承認待ち」状態となります。Keeper環境では、必要な暗号鍵を共有するために承認が必要となります。具体的には、チームやユーザーの公開鍵を使って秘密鍵を暗号化することで承認が行われます。

承認待ち状態は、KeeperクラウドSSOコネクトのデバイス承認でエンドユーザーが[管理者承認をリクエスト]をクリックする際にも使用されています。

Keeperでは手動および自動による複数の承認方法をお使いいただけます。

チームとユーザーの承認手順

IDプロバイダによりSCIMプロトコルで新規ユーザーが追加されると、そのユーザーは「招待済み」状態で作成され、Keeperへの招待を受け取ります。

SCIM同期によって新規チームが作成されると、そのチームは「待機」状態で作成され、Keeper管理者、チームメンバー、自動承認のいずれかによる最終承認が必要となります。

暗号化キーを生成し共有する必要があるため、以下の操作が必要となります。

1. 管理コンソールログイン

チームの作成およびチームメンバーの割り当ては、管理者がKeeper管理コンソールにログインすることで自動的に完了します。 承認はユーザーの公開鍵をチームの鍵で暗号化することで実施されます。

2. ボルトへのログイン

チームメンバーの承認は、チームメンバー (管理者を含む) がKeeperウェブボルトかデスクトップアプリにログインすることで自動的に完了します。 承認はユーザーの公開鍵をチームの鍵で暗号化することで実施されます。

3. Keeperオートメーター

Keeperオートメーターはスタンドアロンのコンテナアプリケーションで、任意のクラウドまたはオンプレミス環境にデプロイできます。

Keeperオートメーターを使用すると、ユーザーが操作することなくデバイスの承認、チームの承認、チームとユーザーの割り当てが即時に実行されます。

Keeperオートメーターのセットアップについては、こちらのページをご覧ください。

4. Keeperコマンダー

Keeperのコマンドラインインターフェース、SDKプラットフォームであるKeeperコマンダーを使用すると、承認を自動化したり手動で実行したりすることができます。

team-approve: SCIMまたはActive Directoryブリッジを使用してプロビジョニングした待機状態のチームおよびユーザーを承認します。

My Vault> team-approve

Keeperコマンダーのパラメータ

• --team: チームのみ承認します

• --user: チームユーザーのみ承認します

• --restrict-edit {on,off}: 記録の編集を禁止

• --restrict-share {on,off}: 記録の再共有を禁止

• --restrict-view {on,off}: パスワードの表示とコピーを禁止

device-approve: SSOクラウドのユーザーデバイスを承認

My Vault> device-approve

• --approve: すべてのデバイスを承認

• --trusted-ip: 認証されたIPからのデバイスを承認

• --reload: 承認待機中の最新のデバイスを取得

• --deny: デバイスを拒否

セットアップ手順については、こちらのページをご覧ください。