エンタープライズ管理コマンド

管理コンソールおよびエンタープライズ管理機能に関連するコマンド

コマンド

Keeperコマンドリファレンス

対話型シェル、CLI、JSON設定ファイルのいずれを使用する場合でも、以下のコマンドがサポートされており、各コマンドでは追加のパラメータとオプションがご利用になれます。

特定のコマンドのヘルプを表示するには、次のコマンドを実行します。

help <command>

エンタープライズ管理コマンド

コマンド説明

企業情報を表示します

企業ユーザーを管理します

企業のロールとポリシーを管理します

企業チームを管理します

企業ノードを管理します

ユーザーとチームのボルトに指定した記録を格納します

企業データをダウンロードして復号化します

SCIMまたはActive Directory Bridgeによってプロビジョニングされた実行待ちのチームとユーザーを承認します

エンドユーザーから保留中のSSO Cloudデバイスを承認します

ユーザーとボルトを新規作成し、そのユーザーのクレデンシャルを使用して、現在のボルトに記録を追加します

アカウントを別のユーザーに移管します

デバイス承認用SSO Cloud Automatorを管理します

SCIMエンドポイントを管理します

監査アラートを管理します

enterprise-infoコマンド

コマンド: enterprise-infoまたはei

詳細: ツリー構造で企業に関する情報を表示します

パラメータ:

検索するテキスト。ユーザー、チーム、ロールに適用できます

スイッチ:

-n、--nodes ノードを表示します

--node <ノード> 指定したノードのツリー構造を表示します

-u、--users ユーザーリストを表示します

-t、--teams チームリストを表示します

-r、--roles ロールリストを表示します

-v、--verbose 出力なしでIDを表示します

--format <{table, csv, json}> 出力の表示形式

  • table - 情報を表形式で表示します

  • csv - 情報をCSV形式で出力します

  • json - 情報をJSON形式で出力します

--output <出力ファイル> 出力を書き出すファイル

--columns <列> 出力に含める列。 カンマ区切りリストで指定します。 使用可能な列は、表示するデータの種類によって異なります

  • ユーザー

    • name

    • status

    • transfer_status

    • node

    • team_count

    • teams

    • role_count

    • roles

    • alias

    • 2FA status

  • チーム

    • restricts

    • node

    • user_count

    • users

    • queued_user_count

    • queued_users

  • ロール

    • is_visible_below

    • is_new___user

    • is_admin

    • node

    • user_count

    • users

  • Nodes

    • parent_node

    • user_count

    • team_count

    • teams

    • role_count

    • roles

    • provisioning

例:

enterprise-info
ei "John Doe" --users 
ei --teams --format csv --output teams.csv
ei --roles --columns is_admin,user_count
ei --node "Keeper Security"
  1. 企業名とノード構造を表示します

  2. 「John Doe」という名前のユーザーがいないか企業を検索します

  3. 社内のチームのリストをCSVファイルに出力します

  4. ロールのリストを表示します。ただし、表示するのは、管理者ロールであるか否かとロールに属するユーザー数のみです

  5. 「Keeper Security」という名前のノードから始まるノードのツリー構造を表示します。組織全体のノードツリーを表示するには、このルートノードを指定します。

enterprise-userコマンド

コマンド: enterprise-userまたはeu

詳細: 企業のユーザーを管理します

パラメータ:

ユーザーのUIDまたはメールアドレス。

注意: 以下のコマンドを使用して、社内のユーザーのリストを表示できます。

ei --users

スイッチ:

--expire ユーザーのマスターパスワードを失効させます

--extend ボルトの移管に対する同意を7日間延長します。次の疑似ユーザー@allをサポートします

--lock ユーザーアカウントをロックします

--unlock ユーザーアカウントのロックを解除します。次の疑似ユーザー@allをサポートします

--disable-2fa ユーザーの2FAを無効にします

--add 指定したメールアドレスを招待して、社内にボルトを作成します(パラメータとしてはメールのみ使用可能)

--invite 指定したメールアドレスに招待を送信します。以前に招待したユーザーに送信できます

--delete 企業からユーザーを削除します。これにより、所有している記録と他のユーザーと共有している記録の両方がすべて削除されますのでご注意ください。

--name <名前> ユーザーの表示名として使用する名前を設定します

--node <ノード名またはUID> 指定した名前またはUIDを持つノードにユーザーを追加します。ノードのリストを表示するには、enterprise-info --nodesを使用します

--add-role <ロール名またはUID> 指定した名前またはUIDを持つロールにユーザーを追加します。ロールのリストを表示するには、enterprise-info --rolesを使用します。次の疑似ユーザー@allをサポートします

--remove-role <ロール名またはUID> 指定した名前またはUIDを持つロールからユーザーを削除します

--add-team <チーム名またはUID> 指定した名前またはUIDを持つチームにユーザーを追加します。チームのリストを表示するには、enterprise-info --teamsを使用します

--remove-team <チーム名またはUID> 指定した名前またはUIDを持つチームからユーザーを削除します。チームのリストを表示するには、enterprise-info --teamsを使用します

--add-alias <メール> メールアドレス形式のエイリアスをユーザーに追加します。追加されたエイリアスは、ユーザーの「プライマリ」メールになります。既存のエイリアスにこのコマンドを適用すると、そのエイリアスがプライマリとして設定されます。このコマンドは予約されたドメインでのみ許可されることにご注意ください。

--delete-alias <メール> ユーザーのメールエイリアスを削除します

-f、--force 確認メッセージを表示しません

-v、--verbose IDなどのデータを含むデバッグ出力

例:

enterprise-user John.Doe@gmail.com
eu 20379619819523 --node Chicago --add-team "Chicago Engineering"
eu add Jane.Doe@gmail.com
eu 19819523203796 --lock
eu --add-alias new.name@company.com old.name@company.com
eu --add-role Employee @all
  1. ユーザー「John.Doe@gmail.com」の詳細を表示します

  2. 指定されたUIDを持つユーザーをChicagoノードと「Chicago Engineering」チームに追加します

  3. 「Jane.Doe@gmail.com」に招待を送信して、社内でボルトを開きます

  4. 指定したUIDのアカウントをロックします

  5. 名前を変更したユーザーのエイリアスを追加して、プライマリに設定します

  6. すべての企業ユーザーを「Employee」ロールに追加します

enterprise-roleコマンド

コマンド: enterprise-roleまたはer

詳細: 企業のロールまたは強制ポリシーを管理します

以下のコマンドを使用して、社内のロールのリストを表示できます。

ei --roles

使用法: er <ロール>

パラメータ:

<ロール> ロール名またはUID。スペースで区切って複数設定できます

スイッチ:

--add 企業に新しいロールを追加します

--delete ロールを削除します

--add-user <ユーザー名またはUID> ロールにユーザーを追加します。--addと一緒に使用します

--remove-user <ユーザー名またはUID> ロールからユーザーを削除します

--visible-below <{on,off}> ロールをその下のロールに対して表示または非表示にします

--new-user <{on,off}> 新しいユーザーをこのロールに割り当てます

--node <ノード名またはUID> ロールを追加するノード

--name <名前> ロールに名前を付けます

--add-admin <ノード> ロールで管理するノードを追加します

--remove-admin <ノード> ロールで管理するノードを削除します

--cascade <{on,off}> --add-adminと一緒に使用して、ユーザーを管理者として子ロールにも割り当てます(「on」の場合)

--enforcement <ポリシー>: <値>、--enforcement <ポリシー>: $FILE=<PATH TO FILE WITH VALUE> 指定したロールの強制ポリシーを設定します (文字のポリシー値 (「True」、「e」、10 など)、またはその値を含むファイルへの参照を使用します)。下の表の2番目のタブで、使用可能な強制ポリシーのリストを参照してください。

--copy 属するユーザーのないロールを複製します

--clone 元のユーザーと同じユーザーが属するロールを複製します

--add-team、-at <チーム名> 指定したロールにチームを追加します

--add-privilege、-ap <権限名> ロールに管理者権限を追加します

--remove-privilege、-rp <権限名> ロールから管理者権限を削除します

-v、--verbose 出力なしでIDを表示します

例:

enterprise-role "Keeper Administrator"
er 20379621916672 "Engineer Team Lead"
er --add Onboarding --new-users
er 20379621916672 --add-admin "John.Doe@gmail.com" --cascade yes
er PM --name "Product Manager"
er 20379619819524 20379619819525 20379621916672 --Node Chicago
er 20379619819524 --copy --Node Chicago
  1. 「Keeper管理者」ロールの詳細を表示します

  2. 指定したUIDのロールと「Engineer Team Lead」ロールの詳細を表示します

  3. 「Onboarding」という名前の新しいロールを追加し、このロールに新しいユーザーを自動的に割り当てます

  4. ユーザーJohn Dowを指定したUIDのロールとすべての子ロールの管理者にします

  5. 「PM」ロールの名前を「Product Manager」に変更します

  6. 指定したUIDの3つのノードを「Chicago」ノードに追加します

  7. 「Chicago」ノードにロールのコピーを作成します

ロールの強制の変更

指定したロールの強制ポリシーを編集するには、--enforcementスイッチを使用します。 ポリシーのキーと対応する値をスイッチに渡して、強制設定を変更します。

enterprise-role ROLE --enforcement "POLICY:VALUE"

または、ロール強制ポリシーを外部ファイルで指定された値に設定します。

enterprise-role ROLE --enforcement "<POLICY>:$FILE=<PATH_TO_FILE_WITH_POLICY_VALUE>"

「Engineering」ロールをインポート記録へのアクセスに制限する例

enterprise-role Engineering --enforcement "RESTRICT_IMPORT:True"

enterprise-teamコマンド

コマンド: enterprise-teamまたはet

詳細: 企業チームを管理します

パラメータ:

チーム名またはID

注意: 以下のコマンドを使用して、社内のチームのリストを表示できます。

ei --teams

スイッチ:

--add 企業に新しいチームを追加します

--delete チームを削除します

--add-user <ユーザー名またはUID> チームにユーザーを追加します

--remove-user <ユーザー名またはUID> チームからユーザーを削除します

--node <ノード名またはUID> チームを追加するノード

--name <名前> チームに名前を付けます

--approve 実行待ちのチームを承認します。実行待ちのチームは通常、暗号化鍵の作成を必要とするSCIM要求によって生じます。そのため、管理者が管理コンソールにログインするか、またはこのコマンドを実行するまで、実行待ち状態のままになります。

--restrict-edit <{on,off}> このチームのユーザーの記録の編集可否を設定します

--restrict-share <{on,off}> このチームのユーザーの記録の共有可否を設定します

--restrict-view <{on,off}> このチームのユーザーの記録のパスワードの表示可否を設定します

--hide-shared-folder、-hsf <{on,off}> このチームのユーザーの共有フォルダの表示可否を判別するフラグ

--add-role、-ar <ロール名> 指定したチームにロールを追加します

-v、--verbose 出力なしでIDを表示します

例:

enterprise-team "Chicago Engineering"
et "Chicago Engineering" Legal 
et --add "Chicago Product" --node Chicago --restrict-edit on
et 20379619819524 --name "El Dorado Hills Engineering"
  1. 「Chicago Engineering」チームの詳細を表示します

  2. 「Chicago Engineering」チームと「Legal」チームの詳細を表示します

  3. 「Chicago」ノードに「Chicago Product」という名前の新しいチームを追加し、そのチームに属するユーザーが記録を編集できないように制限します

  4. 指定したUIDのチームの名前を「El Dorado Hills Engineering」に変更します

enterprise-nodeコマンド

コマンド: enterprise-nodeまたはen

詳細: 企業ノードを管理します

パラメータ:

ノード名またはUID

注意: 以下のコマンドを使用して、社内のノードのリストを表示できます。

ei --nodes

スイッチ:

--add 企業に新しいノードを追加します

--delete ノードを削除します。このスイッチは、ノードのすべてのオブジェクトが削除されるまで実行されないことにご注意ください。

--parent <ノード名またはUID> 指定したノードをこのノードの親にします

--name <名前> ノードの表示名を設定します

--wipe-out ノードの下のすべてのノード、ロール、ユーザー、チームを削除します。ノード自体は削除されません。このコマンドの使用にはご注意ください。

--toggle-isolated 他のノードのユーザーに対してノードを表示または非表示にします

--invite-email <ファイル名> ファイルから招待メールのテンプレートを設定します。ファイルが存在しない場合は、現在のテンプレートを保存します。dash (-) は標準出力に書き出します。以下のカスタムメールセクションをご参照ください。

--logo-file <ファイル名> ローカル画像ファイルを使用して会社およびノードのロゴを設定します (最大サイズ: 500 KB、最小: 10x10、最大: 320x320)

例:

enterprise-node Chicago
en Chicago "El Dorado Hills" 20379619819524 --parent NA
en --add Cork --parent EMEA
en APAC --wipe-out
en Chicago --toggle-isolated
en --logo-file ~/chicago_logo.jpg Chicago
  1. 「Chicago」ノードの詳細を表示します

  2. 3つのノード:「Chicago」、「El Dorado Hills」、指定したUIDを持つノードの親ノードをノード「NA」に変更します。

  3. 「EMEA」ノードの下に「Cork」という名前の新しいノードを追加します

  4. 「APAC」ノードの下からすべてのノード、ロール、ユーザー、チームを削除します

  5. 他のノードのユーザーに対し、「Chicago」ノードを非表示(現在表示されている場合)または表示(現在表示されていない場合)に変更します

  6. 現在のユーザーの$HOMEディレクトリにある「chicago_logo.jpg」ファイルを「Chicago」ノードのロゴ画像として使用して、招待メールとボルトUIの見た目をカスタマイズします

カスタムメール

--invite-emailスイッチを使用すると、ノードごとにカスタムメールテンプレートを設定できます。

Web管理コンソールでメールテンプレートをカスタマイズする方法と同様に、CLIを使用したカスタムメールテンプレートでも、以下の4つの属性のカスタマイズがサポートされます。

  • 件名

  • メッセージの見出し

  • メッセージ本文

  • ダウンロードボタンのテキスト

カスタムメールテンプレートは、以下の形式の.txtファイルで定義できます。

[Subject]
//メールの件名行テキストを挿入します

[Heading]
//ここにメールメッセージの見出しテキストを挿入します

[Message]
//ここにメールメッセージの本文テキストを挿入します

[Button Text]
//ここにダウンロードボタンのテキストを挿入します 

カスタムメールはMarkdown構文を使用して書式設定することもできます。詳細については、こちらのページをご参照ください。

カスタムメールの使用事例

シカゴと東京に会社の支店があり、それぞれのノードがChicagoTokyoであると想定します。理想的には、招待メールは以下のようにそれぞれの言語で作成したいところです。

  • シカゴ支店に送信される招待メールは、英語で作成します

  • 東京支店に送信される招待メールは、日本語で作成します

--invite-emailスイッチを使用すると、ノードごとに適切なメールテンプレートを設定できます。

まず、ChicagoTokyoの各支店のカスタムメールテンプレートを定義します。

865B
emailChicago.txt
1KB
emailTokyo.txt

次に、各ノードに適切なメールテンプレートを設定します。

en Chicago --invite-email="C:\user\emailTemplates\emailChicago.txt"
en Tokyo --invite-email="C:\user\emailTemplates\emailTokyo.txt"

Windowsでは、ファイルのパスは引用符または2つのバックスラッシュで指定できます。以下のどちらのファイルパスも有効です。

"C:\users\file.txt"またはc:\\users\\file.txt

招待メールを送信する際、ユーザーは支店の場所に応じて以下のメールを受信します。

シカゴ支店の招待メール
東京支店の招待メール

enterprise-pushコマンド

コマンド: enterprise-push

詳細: ボルトにデフォルトの記録セットを格納します

パラメータ:

テンプレートの記録を含むファイルのファイル名。 ファイルはJSON形式である必要があります。

スイッチ:

--syntax-help ファイル形式の例とテンプレートのパラメータを表示します

--team <チーム名またはUID> 記録を割り当てるチーム

--email <ユーザーのメールまたはUID> 記録を割り当てるユーザー

例:

enterprise-push office-codes.json --team "Chicago Office"
enterprise-push default.json --email Jane.Doe@gmail.com
enterprise=push --syntax-help
  1. 「office-codes.json」ファイルでテンプレート化された記録を「Chicago Office」チームのすべてのユーザーに送信します

  2. 「default.json」ファイルでテンプレート化された記録をユーザー「Jane.Doe@gmail.com」に送信します

  3. 構文のヘルプを表示します

ファイル形式

「enterprise-push」コマンドは、Keeper JSON記録インポート形式を使用します。

JSONファイルの例:

[
    {
        "title":"Google",
        "login": "${user_email}",
        "password": "${generate_password}",
        "login_url": "https://google.com",
        "notes": "",
        "custom_fields": {
            "Name 1":"Value 1",
            "Name 2":"Value 2"
        }
    },
    {
        "title":"Admin Tool",
        "login": "${user_email}",
        "password": "",
        "login_url": "https://192.168.1.1",
        "notes": "",
        "custom_fields": {
        }
    }
]

サポートされているテンプレートパラメータ:

${user_email}          ユーザーのメールアドレス
${generate_password}   ランダムパスワードを生成
${user_name}           ユーザーのフルネーム

適切なJSON構造を確認する簡単な方法は、KeeperボルトからデータをJSON形式でエクスポートすることです。次に、インポートファイルの作成に必要なファイルを変更します。

JSONデータをエクスポートして、テンプレートを作成する手順は以下のとおりです。

  • テンプレートを格納する空のフォルダを作成します。たとえば、「Templates」

  • そのフォルダに記録を作成します

  • 以下のコマンドを使用してそのフォルダをJSONとしてエクスポートします

export --format=json --folder=Templates templates.json
  • オプション: JSONファイルを編集して、enterprise-pushコマンドで使用しない次のプロパティを削除します。「uid」、「schema」、「folders」

テンプレートJSONファイルは、記録の配列、または記録の配列で構成されるプロパティ「records」を含むオブジェクトのいずれかである必要があります。

enterprise-downコマンド

コマンド: enterprise-downまたはed

詳細: 企業データをローカルにダウンロードして復号化します。

Commanderのアクティブなインスタンスが実行中で、管理コンソールまたはCommanderの別のインスタンスに変更が加えられた場合、enterprise-downコマンドを使用して、最新の企業データをローカルにダウンロードして復号化できます。

例:

アクティブなCommanderセッションの実行中に管理コンソールに新しいユーザーが追加された場合、実行中のCommanderセッションで以下のコマンドを実行すると、最新の変更がローカルにダウンロードされて復号化されます。

enterprise-down

team-approveコマンド

コマンド: team-approve

詳細: チームの自動承認またはチームに対するユーザーの自動承認を有効または無効にします

KeeperブリッジやSCIMなどのプロビジョニングメソッドを使用する場合、ボルトをまだ有効化していない新しいチームとユーザーは、承認待ちになります。 このコマンドを使用して、プロビジョニングされたチームまたはユーザーの自動承認を有効または無効にします。

スイッチ:

--team チームを承認します

--email チームのユーザーを承認します

--restrict-edit <{on, off}> 承認されたチームの記録の編集を制限または許可します

--restrict-share <{on, off}> 承認されたチームの記録の共有を制限または許可します

--restrict-view <{on, off}>承認されたチームの記録のパスワードの表示を制限または許可します

例:

enterprise-down
team-approve --team
team-approve --email
team-approve --team --restrict-edit on
  1. 企業チームの保留中の承認をすべて同期します

  2. プロビジョニングが完了して承認待ちのチームを自動的に承認します

  3. プロビジョニングが完了して承認待ちのユーザーを自動的に承認します

  4. プロビジョニングが完了して承認待ちのチームを自動的に承認しますが、それらのチームに属するユーザーに記録の編集は許可しません

device-approveコマンド

コマンド: device-approve

詳細: クラウドSSOデバイスを承認します

パラメータ:

承認するユーザーのメールもしくはデバイスID、または保留中のデバイスのリストを表示する場合は空白

スイッチ:

-r、--reload 現在の保留中の承認リストを再読み込みします

-a、--approve 指定したユーザーメールのデバイスまたはデバイスIDを承認します

-d、--deny 指定したユーザーメールのデバイスまたはデバイスIDを拒否します

--trusted-ip 信頼できるIPアドレスのデバイスを承認します

--format <{table, csv, json}> 出力の表示形式

--output <ファイル名> 出力の送信先ファイル (jsonまたはcsv形式を使用する必要があります)

例:

device-approve
device-approve John.Doe@gmail.com --approve
device-approve --reload
device-approve --output device_approvals.csv --format csv
  1. 保留中の要デバイス承認リストを表示します

  2. ユーザー「John.Doe@gmail.com」を承認します

  3. 保留中の要デバイス承認リストを更新します

  4. 保留中の要デバイス承認リストをcsv形式でファイルに書き込みます

create-userコマンド

コマンド: create-user

詳細

現在のKeeperボルトに指定したメールアドレスの新しいアカウントとボルトを作成し、新しいユーザーのクレデンシャルの記録を作成します。

新しいユーザーを企業に招待するには、enterprise-userコマンドをご参照ください。

パラメータ:

ユーザーのメールアドレス

スイッチ:

--name <Name> ユーザー名

--node <NODE> ユーザーを追加するノードの名前またはID

--record <RECORD UID> 新しいアカウントのパスワードを格納する記録のUID

--folder <FOLDER NAME OR UID> 作成したユーザークレデンシャルを格納するフォルダ

例:

create-user John.Doe@gmail.com
create-user John.Doe@workplace.com --name "John Doe" --node Chicago
  1. John.Doe@gmail.comの新しいユーザーアカウントとボルトを作成します

  2. John DoeにKeeperへの参加依頼を送信し、新しいユーザーに「John Doe」という名前を付けて、「Chicago」ノードに追加します

create-userコマンドによるオンボーディング

create-userコマンドを使用してKeeperアカウントに新しいユーザーを作成すると、新しいユーザーのユーザー名と一時パスワードを使用して、現在ログインしているアカウントに記録が作成されます。 新しい記録が作成されると、ワンタイム共有URLを使用して新しいユーザーと共有できます。

My Vault> create-user John.Doe@gmail.com
User "John.Doe@gmail.com" credentials are stored to record "Keeper Account:John.Doe@gmail.com"

My Vault> share create "Keeper Account:John.Doe@gmail.com" --expire 7d
https://keepersecurity.com/vault/share#-Rkzr6w[...]wMw3fQ3kM

新しいユーザーは、このURLにアクセスして一時的なクレデンシャルを入手し、最初のログインを実行します。

transfer-userコマンド

コマンド: transfer-user

詳細: アカウントをロックしてから、あるユーザーから別のユーザーにボルトを移管します。

パラメータ:

移管するボルトのメールまたはユーザーID。 スペースで区切って複数指定できます。

スイッチ:

--target-user <USER EMAIL> ボルトの移管先のユーザーアカウントのメールアドレス

--force、-f 確認メッセージを表示しません

アカウント移管は、アカウントまたはアカウントが属するロールに対して有効にする必要があります。

移管されたボルトの内容は、受信者のボルトのフォルダに配置されます。

例:

 transfer-user keeperuser1@keepersecurity.com --target-user recipient@keepersecurity.com
  1. keeperuser1@keepersecurity.comのボルトをrecipient@keepersecurity.comに移管します。

ユーザーアカウントの一括移管を実行するには、次のコマンドを使用します。 transfer-user @filename これにより、FROMとTOのマッピングを含むfilenameという名前のファイルが検索されます。 以下に例を示します。

user1@company.com -> user2@company.com
user3@company.com -> user4@company.com

automatorコマンド

コマンド: automator

詳細: SSOクラウドデバイスオートメーターを設定します。

オートメーターを管理できるのは、ルートレベルのKeeper管理者ロールのみとなります。

パラメータを指定せずにautomatorコマンドを実行すると、利用可能なオートメーターのリストとコマンドヘルプが表示されます。

automator command [target] [--options]

 Command            Description
=================================================================
 list               Displays the list of the available automators
 create             Creates automator
 init               Initializes automator
 view               Prints automator details
 edit               Changes automator configuration
 delete             Deletes automator
 reset              Resets automator configuration to the default
 enable             Enables automator
 disable            Disables automator
 log                Retrieves automator logs
 clear              Clears automator logs
 
 list, create:
 'target' parameter is ignored 
 
 init, view, edit, delete, reset, start, stop, log, clear:
 these commands require 'target' parameter:Automator Name or ID

 Option             Commands
==================================================================
 --node             create 
 --name             create, edit
 --url              edit :Webhook URL 
 --skill            edit : "device" and/or "team"
 --set              edit :KEY=VALUE

例:

「Cloud SSO Device Approval」という名前のオートメーターを作成します。

My Vault> automator create --name="Cloud SSO Device Approval"     

        Automator ID:888888888888        
                Name:Cloud SSO Device Approval
                 URL:                    
             Enabled:No                  
         Initialized:No                  
              Skills:Device Approval

オートメーターを編集してWebhook URLを設定します。Webhook URLはAutomatorアプリケーションで設定します。

My Vault> automator edit --url="https://automator.company.com:8089" 888888888888    

        Automator ID: 888888888888        
                Name: Cloud SSO Device Approval
                 URL: https://automator.company.com:8089                    
             Enabled: No                  
         Initialized: No                  
              Skills: Device Approval       

スキル (チーム承認、チームユーザー承認、デバイス承認) は、以下のように「skill」引数で設定できます。

My Vault> automator edit --url https://<application URL> --skill=team --skill=team_for_user --skill=device "My Automator"

「setup」、「init」、「enable」コマンドを使用して、Automatorインスタンスを初期化します。バックエンドでAutomatorが設定され、リクエストを処理する準備ができていることが確認されます。

My Vault> automator setup 888888888888
My Vault> automator init 888888888888
My Vault> automator enable 888888888888 

scimコマンド

コマンド: scim

詳細: SCIMエンドポイントを設定します

パラメータを指定せずにscimコマンドを実行すると、利用可能なSCIMエンドポイントのリストとコマンドヘルプが表示されます。

scim command [target] [--options]
 Command            Description
=================================================================
 list               Displays the list of SCIM endpoints
 create             Creates SCIM endpoint
 view               Prints SCIM endpoint details
 edit               Changes SCIM endpoint configuration
 delete             Deletes SCIM endpoint
 push               Pushes data to SCIM endpoint
 
 list, create
 'target' parameter is ignored 
 
 view, edit, delete
 these commands require 'target' parameter:SCIM endpoint ID
 
 Option             Commands
=================================================================
 --reload           all :Reloads SCIM configuration
 --node             create :Node ID or Name 
 --prefix           create, edit :Role prefix
 --unique-groups    create, edit :Unique groups 
 --force            delete :Do not ask for delete confirmation

例:

ノードSCIM NodeのSCIMエンドポイントを作成します

My Vault> scim create --node="SCIM Node"                                                                                                                                                 

SCIM ID:888888888888
SCIM URL: https://keepersecurity.com/api/rest/scim/v2/7777777777777
Provisioning Token: yIiq6Y4FnWtOPtqatUzZH7BI4FaUNhIbwEtDT5esL-g

SCIMエンドポイントの設定を編集します。SCIMエンドポイントを編集すると、新しいプロビジョニングトークンが生成されます

My Vault> scim edit 888888888888 --prefix="Group_"                                                                                                                                   

SCIM ID:888888888888
SCIM URL: https://keepersecurity.com/api/rest/scim/v2/7777777777777
Provisioning Token:6oykLqC2-d20Sy3N2d-HKZtGzOt63U60rJz8CLagszY

SCIMエンドポイントを削除します

My Vault> scim delete 820338837203                                                                                                                                                   

ALERT!
You are about to delete SCIM endpoint 888888888888

Do you want to proceed with deletion? [y/n]: y
SCIM endpoint "888888888888" at node "7777777777777" deleted

グループおよびユーザーデータをSCIMエンドポイントにプッシュ配信します

My Vault> scim push 820338837203 --source=google --record=AW6XZoJr8VM3rlFoxW_6rg

スイッチ

--source SCIMデータのソース。設定可能な値: google,ad

--record SCIMが設定された記録UID

プッシュ配信用SCIMソースの設定

audit-alertコマンド

コマンド: audit-alert

詳細: 監査アラートを管理します

パラメータを指定せずにaudit-alertを実行すると、利用可能なアラートのリストとコマンドヘルプが表示されます。

audit-alert command [--options]
 Command            Description
=================================================================
 list               Display alert list
 view               View alert configuration
 history            View alert history
 delete             Delete audit alert
 add                Add audit alert
 edit               Edit audit alert
 reset-counts       Reset alert counts
 recipient          Modify alert recipients  

コマンド実行に関するヘルプを表示します

My Vault> audit-alert <command> -h

listオプション

  --format {table,csv,json} 
                        format of output
  --output OUTPUT       path to resulting output file (ignored for "table" format)
  --reload              reload alert information
My Vault> audit-alert list --reload
My Vault> aa l

viewオプション

ALERT       Alert ID or Name.
My Vault> audit-alert view "Failed Login"
My Vault> aa v 1
              Alert ID  1
            Alert name  Failed Login
                Status  Enabled
             Frequency  Every Occurrence
            Recipients:
Send To Originator (*)  False

          Recipient ID  1
                  Name  Administrator
                Status  Enabled
              Email To  admin@company.com

historyオプション

ALERT       Alert ID or Name.
My Vault> aa h 1                                                                                                                                           
Alert Sent At         Occurrences
---------------       -------------
2023-02-10 18:55:00              1

deleteオプション

ALERT       Alert ID or Name.
My Vault> audit-alert delete "Failed Login"    

addオプション

  --name NAME           Alert Name.
  --frequency FREQUENCY
                        Alert Frequency. "[N:]event|minute|hour|day"
  --audit-event EVENT   Audit Event.Can be repeated.
  --user USER           Username.Can be repeated.
  --record-uid RECORD_UID
                        Record UID.Can be repeated.
  --shared-folder-uid SHARED_FOLDER_UID
                        Shared Folder UID.Can be repeated.
My Vault> audit-alert add --name="Failed Login" --frequency=event --audit-event=login_failure

editオプション

  ALERT       Alert ID or Name.

  --name NAME           Alert Name.
  --frequency FREQUENCY
                        Alert Frequency. "[N:]event|minute|hour|day"
  --audit-event EVENT   Audit Event.Can be repeated.
  --user USER           Username.Can be repeated.
  --record-uid RECORD_UID
                        Record UID.Can be repeated.
  --shared-folder-uid SHARED_FOLDER_UID
                        Shared Folder UID.Can be repeated.
My Vault> audit-alert edit --frequency=2:hour   

reset-countsオプション

ALERT       Alert ID or Name.
My Vault> audit-alert reset-counts 1       

recipientオプション

ALERT       Alert ID or Name.

recipient actions:
  {enable,disable,delete,add,edit}
    enable              enables recipient
    disable             disables recipient
    delete              deletes recipient
    add                 adds recipient
    edit                edit recipient

recipient enabledisable、deleteオプション

  RECIPIENT   Recipient ID or Name.Use "*" for "User who generated event"
My Vault> audit-alert recipient 1 enable *
# 「イベントを生成したユーザー」を有効にします  
My Vault> audit-alert recipient 1 disable Administrator
# 名前で受信者を無効にします
My Vault> audit-alert recipient 1 delete 1

recipient addまたはeditオプション

RECIPIENT   Recipient ID or Name.  # 編集のみ
  --name NAME           recipient name
  --email EMAIL         email address
  --phone PHONE         phone number. +1 (555) 555-1234
  --webhook URL         Webhook URL.See https://docs.keeper.io/enterprise-guide/webhooks
  --cert-errors {ignore,enforce}
                        Webhook SSL Certificate errors
  --generate-token      Generate new access token
My Vault> audit-alert recipient "Failed Login" add --name="Administrator" --email=admin@company.com 
# メールの受信者を追加し、「Administrator」という名前を割り当てます
My Vault> aa r 1 edit 1 --name="Admin"  
# アラート#1の受信者#1の名前を変更します
My Vault> aa r 1 edit 1 --email= --phone="+1(555)555-1234"
# アラート#1の受信者#1をメールからSMS通知に変更します

最終更新