Delinea/Thycotic Secret Serverインポート

Delinea (Thycotic) Secret Serverボルトの自動移行

Secret Serverのインポート

本ページでは、プライベートフォルダ、共有フォルダ、アクセス許可、添付ファイル、TOTP コードを含むSecret Server (Delinea/Thycotic) データをKeeperに自動的かつスムーズに移行するプロセスについて解説します。このプロセスでは、自動化にSecret Server APIを利用します。

注: 基本的なインポート機能は、Thycotic XML形式に対応したKeeperウェブボルトおよびKeeperデスクトップアプリでご利用になれます。 ボルトの[設定] > [インポート] > [Thycotic]画面に移動します。XML形式には、添付ファイルや権限は含まれません。そのため、本ページで解説する自動化を使用することを推奨します。

ウェブサービスが有効になっていることを確かにする

Secret Serverの管理設定で、ウェブサービスが有効になっていることを確かにします。

Admin -> Configuration -> Edit -> Enable Webservices

Secret Serverの設定

Secret Serverの管理者設定で、[Session Timeout for Webservices] (ウェブサービスのセッションタイムアウト) が十分に大きい値に設定されていることを確かにします。大きなボルトは処理に時間がかかるため、59分などに設定します。

セッションタイムアウト

1. チームと共有フォルダの構造をダウンロードする

KeeperコマンダーでKeeper/Thycoticの管理者として、以下のコマンドを実行します。

download-membership --source=thycotic
...     Thycotic Host or URL: https://xyz.acme.com/secretserver
...     Thycotic Username: acme.com\user

上記のコードを実行する前に、以下を確認します。

  • ブラウザでベースのThycotic URLを確認

  • ユーザー名は正しい形式であること

    • ADユーザーの場合、形式はDOMAIN\usernameで、それ以外の場合はusernameとなります。

これにより、以下が実行されます。

  • すべての共有フォルダ情報のダウンロード

  • チームメンバーシップのダウンロード

  • 共有フォルダのアクセス権限のダウンロード

この手順によって、チームと共有フォルダの構造を含むshared_folder_membership.jsonというファイルがローカルにダウンロードされます。

Keeperでは、親とは異なる権限を持つ共有フォルダ内のフォルダがまだサポートされていません。

download-membershipコマンドでは--sub-folderというオプションでこのようなフォルダをどのようにインポートするかをコントロールできます。

--sub-folder=ignoreでフォルダ構造が保持され、フォルダ権限は無視されます。

--sub-folder=flatten フォルダが共有フォルダとしてKeeperボルトのルートフォルダへ移動します。folder will be moved to the root folder of the Keeper vault as its own shared folder.

2. 共有フォルダをインポートする

レコードをインポートする前に、以下のコマンドを実行し、まずKeeper側で共有フォルダ構造を作成します。

import --format=json shared_folder_membership.json

3. TOTPコードをエクスポートする

Thycotic/Delinea Secret Serverに保存されているTOTPコードは、CSVファイルを手動でダウンロードすることによってのみ取得できます。Secret Serverの管理者として、[Secret Server] > [Export Secrets] (シークレットをエクスポート) に移動し、以下のオプションを選択します。

  • Export Type (エクスポートの種類): Export All (すべてエクスポート)

  • Export Folder Path (フォルダのパスをエクスポート): チェック

  • Export TOTP Settings (TOTP設定をエクスポート): チェック

  • Export Format (エクスポート形式): CSV

ファイルをエクスポートし、ホームフォルダまたはKeeperコマンダーが実行されているフォルダに保存します。デフォルトでは、ファイル名は「secrets-export.csv」になります。

4. Secret Serverボルトをインポートする

KeeperコマンダーでKeeper/Thycoticの管理者として、以下のコマンドを実行し、Secret Server APIを使用してデータのインポートを行います。

import --format=thycotic https://your-secret-server-hostname
または
import --format=thycotic username@your-secret-server-hostname

ボルトのレコード数とユーザー数によって、このコマンドが完了するのに数分かそれ以上かかります。大きなSecret Serverインスタンスでは20分以上かかる場合もあります。

コマンダーは、管理者のKeeperボルトにSecret Serverと同じフォルダ構造を構築しようとします。

また、コマンダーは、TOTPコードをインポートするために、ユーザーのホームフォルダまたはコマンダーの現在のフォルダで「secrets-export.csv」ファイルを探します。

注1: このコマンドで、通常のフォルダ、共有フォルダ、フォルダ内のレコードをインポートして読み込みます。これにより、Secret Server内の他のユーザーの個人用フォルダがインポートされることはありません。この手順では、管理者がアクセスできる情報のみがインポートされます。

注2: アクセス権限の異なる別の共有フォルダ内に共有フォルダがある場合、その共有フォルダはルートフォルダに移動されます (Keeperではサブフォルダのアクセス権限がサポートされていないためです) 。

5. メンバーシップ権限を適用します

KeeperコマンダーでKeeper/Thycoticの管理者として、次のコマンドを実行します。

apply-membership

これにより、手順1のshared_folder_membership.jsonというファイルが読み込まれ、Keeperエンタープライズ環境に存在するすべてのユーザーとチームに共有フォルダへのアクセス権限が適用されます。このコマンドを繰り返し実行しても問題はなく、重複が生じることはありません。

説明: SSOまたは招待プロセスによってユーザーが招待/作成されると、公開鍵が作成されます。そのため、Keeperによってメンバーシップが適用されるのは、ユーザーが存在するようになってからとなります。

このため、Keeper管理者は、毎日、毎時、Keeperでユーザーを作成した際は必要に応じてapply-membershipコマンドを実行する必要があります。

6. エンドユーザーをKeeperに招待する

Keeper管理者は、以下のいずれかの方法でユーザーを招待します。

  • SSOログインによるジャストインタイムプロビジョニング

  • 管理コンソールを使用した招待

  • SCIM

ユーザーを登録してボルトを作成すると、公開鍵と秘密鍵のペアが生成されます。この時点で、次の手順で説明するように、共有フォルダにアクセスできるようになります。

共有フォルダへのアクセス

次回管理者がapply-membershipコマンドを実行すると、新しいKeeperユーザーは自分の共有フォルダにアクセスできるようになります。

手順が多いため、組織全体に展開する前に少数のユーザーでテストすることをお勧めします。

ご不明な点がございましたら、commander@keepersecurity.comまでメールでお問い合わせください。

最終更新