LinuxでJavaを使用
スタンドアロンJavaサービスを使用したKeeperオートメーターの実装例
本ガイドでは、Dockerを実行できるLinuxインスタンスでKeeperオートメーターを実行するための手順を解説します。
SSL証明書がすでに用意できていることをご確認ください。用意できていない場合は、SSL証明書作成のページの手順に従ってください。
スタンドアロンJavaサービス
Javaをインストールします
サービスの準備としてJava 17以上がインストールされていることを確かにします。標準のAmazon AWS Linux 2インスタンスでは、以下のコマンドを使用してJava 17 SDKをインストールできます。
どのバージョンが実行中かを確認するには、以下のように入力します。
サービスをインストールします
オートメーターインスタンスから、Keeperオートメーターサービスをダウンロードして解凍します。
configフォルダを作成します
このフォルダが存在しない場合は、解凍先にconfigフォルダを作成します。
.pfxファイルとパスワードファイルをコピーします
SSL証明書作成のページで作成した.pfxファイルをオートメーターのconfig/
フォルダにアップロードし、ファイル名がssl-certificate.pfx
になっていることを確認します。
以下は、scpを使用した例です。
ssl-certificate.pfx
ファイルがパスフレーズで保護されている場合は、ssl-certificate-password.txt
という名前のファイルも作成して、dockerコンテナにコピーする必要があります。
以下に例を示します。
サービスを開始します
オートメーターインスタンスから、java -jar
を使用してサービスを開始します。以下の例では、nohup
を使用してバックグラウンドで実行します。
Windowsのコマンドラインまたはpowershellでは、コマンドは以下の記載通りに実行する必要があります。
サービスのステータスを確認します
サービスが実行中であることをウェブブラウザで確認します (テストしているデバイスからポート 443を開く必要があります)。 この場合、URLはhttps://<server>/healthとなります。
このURLは自動ヘルスチェックにもご使用になれます。
以下に例を示します。
サービスは実行中となりましたので、Keeperコマンダーを使用してオートメーターをご利用の環境に統合します。
コマンダーでの最後の設定
Keeperコマンダーでオートメーター設定の最後の手順を実行する必要があります。これはどこからでも実行可能で、サーバーにインストールする必要はありません。
ご利用のワークステーション、サーバー、コンピュータなどにKeeperコマンダーCLIをインストールします。バイナリインストーラーを含むインストール手順についてはこちらのページをご参照ください。
コマンダーをインストールしたら、keeper shell
と入力してセッションを開き、login
コマンドを使用してログインできます。オートメーターを設定するには、Keeper管理者、またはSSOノードを管理できる管理者としてログインする必要があります。
Keeperコマンダーにログインし、automator create
で始まる一連のコマンドを使用してオートメーターを有効化します。
ノード名 (この場合は、「Azure Cloud」) は、以下に示すように管理コンソールのUIに表示されます。
コマンドの出力には、IDプロバイダから取得したメタデータを含むオートメーターの設定が表示されます。
以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます (team
、 team_for_user
、device
)。
次にキーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。
次に、他のIdPメタデータをオートメーターに送信します。
オートメーターサービスを有効にします。
この時点で設定は完了となります。
AD FSを使用した環境の場合
IDプロバイダとしてAD FSを使用してKeeperオートメーターを有効にする場合、以下の手順に従ってKeeper証明書を更新するまでログインできません。
Keeper管理コンソールへログインします。
[管理] > [SSOノード] > [プロビジョニング]に移動し、SSOクラウド設定を見ます。
[Export SP Cert]をクリックします。
AD FS管理コンソールで、Keeper Cloud SSO証明書利用者信頼プロパティを選択します。
[暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。
[署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。
サービスの確保
Keeperのサーバーおよびご利用のワークステーションからサービスへのネットワークアクセスを制限することを推奨します。許可するKeeper IPアドレスのリストについては、こちらのページをご参照ください。
ユーザー体験のテスト
Keeperオートメーターがデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。
サービスの更新
Keeperオートメーターサービスを停止/開始する場合、あるいはサーバーを再起動する場合は、Keeperコマンダーを使用してサービスエンドポイントを再初期化する必要がある場合があります。
トラブルシューティング
サービスが始まらない
Keeperオートメーターのログを確認してください。通常これで問題がわかります。Linuxではログはインストールディレクトリにあります。
常に承認のプロンプトが表示される
Keeperオートメーターサービスを再設定する際、Keeperコマンダーを使用してサービスエンドポイントを再初期化する必要がある場合があります。Keeperコマンダーについてはこちらのページをご参照ください。
Keeperコマンダーでオートメーターインスタンスを再初期化するのに必要なコマンドは以下のとおりです。
最終更新