LastPassデータのインポート

LastPassのボルトと共有フォルダの自動移行

概要

本ページでは、LastPassデータをKeeperに自動で移行する手順について解説します。Keeperは、マスターパスワードと多要素認証 (MFA) を使用したLastPassボルトの自動インポートに対応しています。また、Okta、Azure、Googleを使用したLastPassのフェデレーテッドログインにも対応しており、こちらについては以下で詳しく解説します。

LastPassからKeeperへ転送できるデータ

  • パスワードの転送

  • フォルダの転送

  • 共有フォルダの転送

  • 共有フォルダ権限 (ユーザーとチーム) の転送

  • カスタムフィールド、TOTPシードの転送

  • ファイル添付の転送

概要

以下は、LastPassからKeeperに組織全体をインポートする際の推奨手順となります。

  1. 管理者が共有フォルダデータのメンバーシップをjsonファイルにダウンロードします。

  2. 管理者が共有フォルダと非共有パスワードをインポートします。

  3. 管理者がKeeperにすでに存在するユーザーに共有フォルダのメンバーシップ (アクセス権限を含む) を適用します。

  4. エンドユーザーがKeeperデスクトップアプリケーションを使用して、自身のボルトを移行します。

  5. Keeperに参加するユーザーの数が増えるにつれて、管理者は定期的にメンバーシップの適用を継続します。

エンドユーザーのボルト移行に関して、KeeperデスクトップアプリケーションでOkta、Azure、GoogleのSSOによるフェデレーションログインがサポートされていますが、管理者が使用するKeeperコマンダーCLIではフェデレーションログインがサポートされていません。手順1〜3を実行する際は、マスターパスワードログインを使用するLastPass管理者アカウントを使用してください。

1. チームと共有フォルダのメンバーシップをダウンロードする

Keeperコマンダーで、Keeper/LastPassの管理者として以下のコマンドを実行します。

download-membership --source=lastpass

これにより、以下が実行されます。

  • すべての共有フォルダ情報のダウンロード

  • 共有フォルダのアクセス権限のダウンロード

この手順によって、shared_folder_membership.jsonというチームと共有フォルダの構造を含むファイルがローカルにダウンロードされます。Windowsでは、このファイルは通常C:\Users\username\shared_folder_membership.jsonにあります。Linux/Macではコマンダーを実行する場所にあります。

download-membershipコマンドは、基本的に共有関係を含むローカルファイルを生成します。テキストエディタでこのファイルを編集するだけで、次の手順に進む前に必要なアクセス権限の変更を行うことができます。

2. 共有フォルダをインポートする

Keeperコマンダーで管理者が以下のコマンドを実行し、共有フォルダとデータをインポートします。

import --format=lastpass lastpass@example.com

imposrtコマンドを初めて実行すると、LastPassが接続元のデバイスの確認を求める通知が表示される場合があります。

Try again OR look for an email from LastPass to verify it's you.

LastPassアカウントに関連付けられたメールアドレスを調べて、[verify] (確認) をクリックし、KeeperがLastPassアカウントのレコードにアクセスできるようにします。

importコマンドで、通常のフォルダ、共有フォルダ、フォルダ内のレコードを移行して読み込みます。これにより、LastPass内の他のユーザーの個人用フォルダがインポートされることはありません。この手順では、管理者がアクセスできる情報しかインポートされません。

エンドユーザーは、Keeperデスクトップの自動インポート機能を使用して、個人のLastPassデータを移行します。エンドユーザー向け手順については、こちらのページをご参照ください。

レコードタイプのマッピング

ご利用のエンタープライズ環境でレコードタイプが有効となっている場合、LastPassのアイテムタイプは、対応するKeeperのレコードタイプとして自動的にインポートされます。

下の表で、LastPassのアイテムタイプとそれに対応するKeeperのレコードタイプをご確認ください。

LastPassのアイテムタイプ
Keeperのレコードタイプ

Bank Account (銀行口座)

Bank Account (銀行口座)

Credit Card (クレジットカード)

Bank Card (銀行カード)

Address (住所)

Address (住所)

Driver's License (運転免許)

Driver's License (運転免許)

Passport (パスポート)

Passport (パスポート)

Social Security (社会保障)

SSN Card (SSNカード)

Health Insurance (健康保険)

Health Insurance (健康保険)

Insurance (保険)

Health Insurance (健康保険)

Membership (メンバーシップ)

Membership (メンバーシップ)

Email Account (メールアカウント)

Login (ログイン)

Instant Messenger (インスタントメッセンジャー)

Login (ログイン)

Database (データベース)

Database Credentials (データベースクレデンシャル)

Server (サーバー)

Server Credentials (サーバーのクレデンシャル)

SSH Key (SSH鍵)

SSH Keys (SSH鍵)

Software License (ソフトウェアライセンス)

Software License (ソフトウェアライセンス)

Keeperのレコードタイプの詳細については、こちらのページをご参照ください。

共有権限

LastPassでフォルダが別のユーザーまたはチームと共有されている場合、インポートによって、同じ名前のKeeperチームと同じメールアドレスのKeeperユーザーに同じ共有アクセス権限が適用されます。

最初のインポート後に新しいKeeperユーザーまたはチームが追加された場合、共有フォルダのアクセス権限は再適用および適用できます。

3. 共有フォルダとチームのメンバーシップを適用する

LastPassからインポートしたパスワードに共有アクセス権限を割り当てるには、apply-membershipコマンドを使用します。

apply-membership

これにより、手順1のshared_folder_membership.jsonというファイルが読み込まれ、Keeperエンタープライズ環境に存在するすべてのユーザーとチームに共有フォルダへのアクセス権限が適用されます。このコマンドを繰り返し実行しても問題はなく、重複が生じることはありません。

説明: SSOまたは招待プロセスによってユーザーが招待/作成されると、公開鍵が作成されます。そのため、Keeperによってメンバーシップが適用されるのは、ユーザーが存在するようになってからとなります。

このため、Keeper管理者は、毎日、毎時、Keeperでユーザーを作成した際は必要に応じてapply-membershipコマンドを実行する必要があります。

ユーザーがKeeperに移行し次第通知を受け取りたい場合は、Keeper管理コンソールの高度なレポートとアラートモジュールを使用して、ユーザー作成時のアラートを設定します。

4. Keeperデスクトップを使用してエンドユーザーを移行する

Keeper管理者は、以下のいずれかの方法でユーザーを招待します。

  • SSOログインによるジャストインタイムプロビジョニング

  • 管理コンソールを使用した招待

  • SCIM

ユーザーを登録してボルトを作成すると、公開鍵と秘密鍵のペアが生成されます。この時点で、次の手順で記載のように、共有フォルダにアクセスできるようになります。

LastPassのユーザー個人のフォルダとレコードを転送するには、Keeperデスクトップのご利用をお勧めします。

以下のウェブサイトから最新バージョンを入手できます。

グループポリシーを使用してKeeperデスクトップをユーザーに自動的にデプロイする方法については、こちらのページをご参照ください。

共有フォルダへのアクセス

ユーザーが自分のKeeperボルトを作成すると、そのユーザーをチームやフォルダに追加できます。次回管理者がapply-membershipコマンドを実行すると、新しいKeeperユーザーは自分の共有フォルダにアクセスできるようになります。

Keeperに登録されるユーザー数が増えるにつれて、apply-membershipを繰り返し実行します。これにより、Keeperに存在するユーザーにメンバーシップが適用されます。

手順が多いため、組織全体に展開する前に少数のユーザーでテストすることをお勧めします。

ご不明な点がございましたら、担当Keeperセールスエンジニアまたはcommander@keepersecurity.comまでメールでお問い合わせください。

高度な機能

共有用のメールドメインの変換

LastPassのメールドメインが変更され、共有アクセス権限を転送する際に新しいメールドメインに移行したい場合は、以下のように--old-domainおよび--new-domainオプションパラメータが使用できます。

download-membership --source=lastpass --old-domain=acme-old.com --new-domain=acme-demo.com lastpass@example.com

インポートされた共有フォルダのアクセス権限の上書き

LastPassのdownload-membershipは、LastPassユーザーの共有フォルダのアクセス権限をKeeperの共有フォルダに適用しますが、このアクセス権限の設定はメンバーシップのダウンロード中に上書きできます。

インポートされたすべての共有フォルダのすべてのユーザーの「レコード管理」権限および「ユーザー管理」権限を上書きするには、--permissionsまたは--restrictionsのオプションを使用します。

--permissionsは、インポートされたすべての共有フォルダのすべてのユーザーのアクセス権限を許可します。

--restrictionsは、インポートされたすべての共有フォルダのすべてのユーザーのアクセス権限を拒否します。

「レコード管理」の設定には、rを、「ユーザー管理」の設定には、uを、両方の設定には、ruを指定します。

// レコード管理権限の有効化を上書き
download-membership --source=lastpass --permissions=r

// ユーザー管理権限の無効化を上書き
download-membership --source=lastpass --restrictions=u

// レコード管理とユーザー管理の権限の有効化を上書き
download-membership --source=lastpass --permissions=ru

最上位フォルダを共有フォルダとしてインポート

オプションで、--sharedフラグと--permissions=<PERMISSIONS>フラグを渡すことにより、すべての最上位フォルダを指定したアクセス権限を持つ共有フォルダにできます。

以下は、アクセス権限のオプションです。

  • U - ユーザー管理権限を付与

  • R - レコード管理権限を付与

  • E - レコード編集権限を付与

  • S - 共有権限を付与

  • A - すべてのアクセス権限を付与

  • N - アクセス権限を付与しない

付与したいアクセス権限に対応する文字を間にスペースや文字を入れずに指定します。

import --format=lastpass --shared --permissions=URES lastpass@example.com 

添付ファイルのキャッシュ

添付ファイルはインポート中にキャッシュできるため、別のインポートを実行する場合に再度ダウンロードする必要はありません。

ファイルキャッシュを使用してインポートを実行するには、--file-cache <DIR>フラグを追加します。 キャッシュとして使用するディレクトリを指定します。

次のインポートでキャッシュを使用するには、同じディレクトリで--file-cacheフラグを適用します。

Example
import --format=lastpass --file-cache tmpDir

キャッシュされた添付ファイルは暗号化されます。

レコードのサイズ制限

Keeperのレコードのサイズ制限は5MBです (添付ファイルを除く)。LastPassのレコードがこの制限より大きい場合、レコードが制限より小さくなるまで、まず最大のフィールドからテキストファイルに変換されます。

作成された添付ファイルには、次の形式で名前が付けられます。

<title of field>_<type of field>_field.txt

たとえば、「Instructions」というタイトルの「notes」フィールドは、次のタイトルの添付ファイルに変換されます。

Instructions_notes_field.txt

指定したフォルダにインポート

LastPassボルトの内容は、Keeperボルトの指定したフォルダにインポートできます。 インポートするには、--folderオプションを使用します。

import --format lastpass --folder="A Keeper Folder" lastpass@example.com

指定したLastPassフォルダからインポート

--filter-folderオプションを使用して、LastPassボルトのインポートをLastPassの特定のフォルダに制限できます。これにより、LastPassのデータがLastPass側の特定のフォルダのデータのみに選別されます。

import --format lastpass --filter-folder="Some Folder In LastPass" lastpass@example.com

重複の検索

インポート後にボルト内のレコードが重複している可能性がある場合は、コマンダーのfind-duplicate機能を使用して重複レコードを検索できます。

たとえば、タイトル、ログイン、パスワードに基づいて重複を検索する場合は、以下のようになります。

find-duplicate --title --login --password

このレポートの出力から、「rm」コマンドを使用して削除するUIDレコードのリストを収集できます。

レコード権限の変更

デフォルトでは、レコードは「閲覧可能」の権限を持つ共有フォルダにインポートされます。つまり、レコードの所有者とフォルダに追加された共有管理者のみがレコードを編集できることを意味します。

インポート完了後に共有フォルダ内のレコードの権限を変更するには、以下のようにrecord-permissionコマンドを使用します。

record-permission -a grant --can-edit --recursive <folder name or UID>

最終更新