Windowsサービス

KeeperオートメーターのWindowsサーバーでの実装例

本ガイドでは、Dockerを使用せずにオートメーターサービスをWindowsサーバーで実行するための手順を解説します。

SSL証明書が必要となりますので、お持ちでない場合はカスタムSSL証明書の作成ページをご参照ください。

1. オートメーターサービスをインストール

オートメーターインスタンスで、以下のURLからKeeperオートメーターのインストーラーをダウンロードし、解凍して実行します。

https://keepersecurity.com/automator/keeper-automator-windows.zip

設定画面でJavaのチェックボックスをオンにして、Javaランタイムをインストールに含めます。現在はJava 17ランタイムが同梱されており、新バージョンのリリースに合わせて更新されます。

インストーラーにJavaを組み込む

これにより、Keeperオートメーターが以下のフォルダにインストールされます。

C:\Program Files\Keeper Security\Keeper Automator\

設定は以下のフォルダに保存されます。

C:\ProgramData\Keeper Automator\

2. configフォルダを作成

C:\ProgramData\Keeper Automatorフォルダにconfigというフォルダを作成します。

3. 証明書ファイルとパスワードファイルをコピー

ssl-certificate.pfxファイル (SSL証明書作成のページで保存) をC:\ProgramData\Keeper Automator\Configに配置します。

ssl-certificate.pfxファイルがパスフレーズで保護されている場合は、ssl-certificate-password.txtという名前のファイルもC:\ProgramData\Keeper Automator\Configに作成する必要があります。

SSL証明書ファイルとパスワードファイル

4. サービスの再起動

サービス画面でKeeperオートメーターを選択し、サービスを再起動します。

Keeperオートメーターサービスを起動

ウェブブラウザでサービスが実行中であることを確認します (テストしているデバイスからポート443が解放されている必要があります)。 この場合のURLは、https://automator.company.com/api/rest/statusとなります。

自動ヘルスチェックには以下のURLもご使用になれます。

https://automator.company.com/health

Windowsファイアウォール

Defenderファイアウォールが実行されているWindowsでデプロイしている場合は、Windows Defenderファイアウォールでポート443 (または任意の指定ポート) を開く必要がありますので、 以下の手順に従います。

[スタート]メニューを開き、[Windows Defenderファイアウォール]と入力して、結果の一覧から選択します。横のナビゲーションメニューで[詳細設定]を選択し、[受信の規則]を選択します。ポートを開くには、[新しい規則]を選択して手順を完了します。

「ポート」を選択
ポート番号を入力

コマンダーを使用した最後の設定

サービスが実行中となりましたので、Keeperコマンダーを使用してオートメーターをご利用のKeeperの環境に統合します。

5. Keeperコマンダーをインストールします

ご利用のワークステーション、サーバー、コンピュータなどにKeeper Commander CLIをインストールします。バイナリインストーラーを含むインストール手順についてはこちらをご覧ください。

6. Keeperコマンダーにログインし、automator createで始まる一連のコマンドを使用してオートメーターを有効化し、オートメーターに任意の名前を付けます。

automator create --name="My Automator" --node="Azure Cloud"

ノード名 (この場合は、Azure Cloud) は、以下に示すように管理コンソールのUIに表示されます。

オートメーターの作成

コマンドの出力には、IDプロバイダから取得したメタデータを含むオートメーターの設定が表示されます。

                    Automator ID:1477468749950
                            Name:My Automator
                             URL:
                         Enabled:No
                     Initialized:No
                          Skills:Device Approval                          

URLがまだ入力されいませんので、以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます (teamteam_for_userdevice)。

automator edit --url https://<application URL> --skill=team --skill=team_for_user --skill=device "My Automator"

次にキーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。

automator setup "My Automator"

この手順でエラーが発生した場合は、Windows サービスを停止してから開始し、ポートが使用可能であることを確かにします。

次に、以下のコマンドを使用して新しい設定でオートメーターを初期化します。

automator init "My Automator"

最後に、以下のコマンドでオートメーターサービスを有効にします。

automator enable "My Automator"

この時点で設定は完了となります。

AD FSを使用した環境の場合

IDプロバイダとしてAD FSを使用してKeeperオートメーターを有効にする場合、以下の手順に従ってKeeper証明書を更新するまでログインできません。

  • Keeper管理コンソールへログインします。

  • [管理] > [SSOノード] > [プロビジョニング]に移動し、SSOクラウド設定を見ます。

  • [Export SP Cert]をクリックします。

  • AD FS管理コンソールで、KeeperクラウドSSO証明書利用者信頼プロパティを選択します。

  • [暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。

  • [署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。

ユーザー体験のテスト

Keeperオートメーターがデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。

最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。

ログイン画面
SSOログイン
デバイス承認
ボルト復号化

サービスの更新

Keeperオートメーターサービスを再設定する際は、Keeperコマンダーを使用してサービスエンドポイントを再初期化する必要があります。

automator setup "My Automator"
automator init "My Automator"
automator enable "My Automator"

トラブルシューティング

サービスが始まらない

Keeperオートメーターのログを確認してください。通常これで問題がわかります。Windowsの場合、ログはC:\ProgramData\Keeper Automator\logsにあります。

常に承認のプロンプトが表示される

Keeperオートメーターサービスを再インストールする際、Keeperコマンダーを使用してサービスエンドポイントを再初期化する必要がある場合があります。Keeperコマンダーについてはこちらをご覧ください。

Keeperコマンダーでオートメーターインスタンスを再初期化するのに必要なコマンドは以下のとおりです。

$ keeper shell

My Vault> automator list
288797895952179 My Automator True https://something.company.com 

(find the Name corresponding to your Automator)

My Vault> automator setup "My Automator"
My Vault> automator init "My Automator"
My Vault> automator enable "My Automator"

最終更新