Windowsサービス
KeeperオートメーターのWindowsサーバーでの実装例
本ガイドでは、Dockerを使用せずにオートメーターサービスをWindowsサーバーで実行するための手順を解説します。
SSL証明書が必要となりますので、お持ちでない場合はカスタムSSL証明書の作成ページをご参照ください。
1. オートメーターサービスをインストール
オートメーターインスタンスで、以下のURLからKeeperオートメーターのインストーラーをダウンロードし、解凍して実行します。
https://keepersecurity.com/automator/keeper-automator-windows.zip
設定画面でJavaのチェックボックスをオンにして、Javaランタイムをインストールに含めます。現在はJava 17ランタイムが同梱されており、新バージョンのリリースに合わせて更新されます。
これにより、Keeperオートメーターが以下のフォルダにインストールされます。
C:\Program Files\Keeper Security\Keeper Automator\
設定は以下のフォルダに保存されます。
C:\ProgramData\Keeper Automator\
2. configフォルダを作成
C:\ProgramData\Keeper Automatorフォルダにconfigというフォルダを作成します。
3. 証明書ファイルとパスワードファイルをコピー
ssl-certificate.pfx
ファイル (SSL証明書作成のページで保存) をC:\ProgramData\Keeper Automator\Configに配置します。
ssl-certificate.pfx
ファイルがパスフレーズで保護されている場合は、ssl-certificate-password.txt
という名前のファイルもC:\ProgramData\Keeper Automator\Configに作成する必要があります。
4. サービスの再起動
サービス画面でKeeperオートメーターを選択し、サービスを再起動します。
ウェブブラウザでサービスが実行中であることを確認します (テストしているデバイスからポート443が解放されている必要があります)。 この場合のURLは、https://automator.company.com/api/rest/statusとなります。
自動ヘルスチェックには以下のURLもご使用になれます。
https://automator.company.com/health
Windowsファイアウォール
Defenderファイアウォールが実行されているWindowsでデプロイしている場合は、Windows Defenderファイアウォールでポート443 (または任意の指定ポート) を開く必要がありますので、 以下の手順に従います。
[スタート]メニューを開き、[Windows Defenderファイアウォール]と入力して、結果の一覧から選択します。横のナビゲーションメニューで[詳細設定]を選択し、[受信の規則]を選択します。ポートを開くには、[新しい規則]を選択して手順を完了します。
コマンダーを使用した最後の設定
サービスが実行中となりましたので、Keeperコマンダーを使用してオートメーターをご利用のKeeperの環境に統合します。
5. Keeperコマンダーをインストールします
ご利用のワークステーション、サーバー、コンピュータなどにKeeper Commander CLIをインストールします。バイナリインストーラーを含むインストール手順についてはこちらをご覧ください。
6. Keeperコマンダーにログインし、automator create
で始まる一連のコマンドを使用してオートメーターを有効化し、オートメーターに任意の名前を付けます。
automator create
で始まる一連のコマンドを使用してオートメーターを有効化し、オートメーターに任意の名前を付けます。ノード名 (この場合は、Azure Cloud) は、以下に示すように管理コンソールのUIに表示されます。
コマンドの出力には、IDプロバイダから取得したメタデータを含むオートメーターの設定が表示されます。
URLがまだ入力されいませんので、以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます (team
、 team_for_user
、device
)。
次にキーを交換します。オートメーター公開キーで暗号化されたエンタープライズ秘密キーがオートメーターに提供されます。
この手順でエラーが発生した場合は、Windows サービスを停止してから開始し、ポートが使用可能であることを確かにします。
次に、以下のコマンドを使用して新しい設定でオートメーターを初期化します。
最後に、以下のコマンドでオートメーターサービスを有効にします。
この時点で設定は完了となります。
AD FSを使用した環境の場合
IDプロバイダとしてAD FSを使用してKeeperオートメーターを有効にする場合、以下の手順に従ってKeeper証明書を更新するまでログインできません。
Keeper管理コンソールへログインします。
[管理] > [SSOノード] > [プロビジョニング]に移動し、SSOクラウド設定を見ます。
[Export SP Cert]をクリックします。
AD FS管理コンソールで、KeeperクラウドSSO証明書利用者信頼プロパティを選択します。
[暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。
[署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。
ユーザー体験のテスト
Keeperオートメーターがデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。
最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。
サービスの更新
Keeperオートメーターサービスを再設定する際は、Keeperコマンダーを使用してサービスエンドポイントを再初期化する必要があります。
トラブルシューティング
サービスが始まらない
Keeperオートメーターのログを確認してください。通常これで問題がわかります。Windowsの場合、ログはC:\ProgramData\Keeper Automator\logsにあります。
常に承認のプロンプトが表示される
Keeperオートメーターサービスを再インストールする際、Keeperコマンダーを使用してサービスエンドポイントを再初期化する必要がある場合があります。Keeperコマンダーについてはこちらをご覧ください。
Keeperコマンダーでオートメーターインスタンスを再初期化するのに必要なコマンドは以下のとおりです。
最終更新