LastPassデータのインポート
LastPassのボルトと共有フォルダの自動移行
概要
本ページでは、LastPassデータをKeeperに自動で移行する手順について解説します。Keeperは、マスターパスワードと多要素認証 (MFA) を使用したLastPassボルトの自動インポートに対応しています。また、Okta、Azure、Googleを使用したLastPassのフェデレーテッドログインにも対応しており、こちらについては以下で詳しく解説します。
LastPassからKeeperへ転送できるデータ
パスワードの転送
フォルダの転送
共有フォルダの転送
共有フォルダ権限 (ユーザーとチーム) の転送
カスタムフィールド、TOTPシードの転送
ファイル添付の転送
概要
以下は、LastPassからKeeperに組織全体をインポートする際の推奨手順となります。
管理者が共有フォルダデータのメンバーシップをjsonファイルにダウンロードします。
管理者が共有フォルダと非共有パスワードをインポートします。
管理者がKeeperにすでに存在するユーザーに共有フォルダのメンバーシップ (アクセス権限を含む) を適用します。
エンドユーザーがKeeperデスクトップアプリケーションを使用して、自身のボルトを移行します。
Keeperに参加するユーザーの数が増えるにつれて、管理者は定期的にメンバーシップの適用を継続します。
エンドユーザーのボルト移行に関して、KeeperデスクトップアプリケーションでOkta、Azure、GoogleのSSOによるフェデレーションログインがサポートされていますが、管理者が使用するKeeperコマンダーCLIではフェデレーションログインがサポートされていません。手順1〜3を実行する際は、マスターパスワードログインを使用するLastPass管理者アカウントを使用してください。
1. チームと共有フォルダのメンバーシップをダウンロードする
Keeperコマンダーで、Keeper/LastPassの管理者として以下のコマンドを実行します。
これにより、以下が実行されます。
すべての共有フォルダ情報のダウンロード
共有フォルダのアクセス権限のダウンロード
この手順によって、shared_folder_membership.json
というチームと共有フォルダの構造を含むファイルがローカルにダウンロードされます。Windowsでは、このファイルは通常C:\Users\username\shared_folder_membership.jsonにあります。Linux/Macではコマンダーを実行する場所にあります。
download-membershipコマンドは、基本的に共有関係を含むローカルファイルを生成します。テキストエディタでこのファイルを編集するだけで、次の手順に進む前に必要なアクセス権限の変更を行うことができます。
2. 共有フォルダをインポートする
Keeperコマンダーで管理者が以下のコマンドを実行し、共有フォルダとデータをインポートします。
imposrtコマンドを初めて実行すると、LastPassが接続元のデバイスの確認を求める通知が表示される場合があります。
LastPassアカウントに関連付けられたメールアドレスを調べて、[verify] (確認) をクリックし、KeeperがLastPassアカウントのレコードにアクセスできるようにします。
import
コマンドで、通常のフォルダ、共有フォルダ、フォルダ内のレコードを移行して読み込みます。これにより、LastPass内の他のユーザーの個人用フォルダがインポートされることはありません。この手順では、管理者がアクセスできる情報しかインポートされません。
エンドユーザーは、Keeperデスクトップの自動インポート機能を使用して、個人のLastPassデータを移行します。エンドユーザー向け手順については、こちらのページをご参照ください。
レコードタイプのマッピング
ご利用のエンタープライズ環境でレコードタイプが有効となっている場合、LastPassのアイテムタイプは、対応するKeeperのレコードタイプとして自動的にインポートされます。
下の表で、LastPassのアイテムタイプとそれに対応するKeeperのレコードタイプをご確認ください。
Bank Account (銀行口座)
Bank Account (銀行口座)
Credit Card (クレジットカード)
Bank Card (銀行カード)
Address (住所)
Address (住所)
Driver's License (運転免許)
Driver's License (運転免許)
Passport (パスポート)
Passport (パスポート)
Social Security (社会保障)
SSN Card (SSNカード)
Health Insurance (健康保険)
Health Insurance (健康保険)
Insurance (保険)
Health Insurance (健康保険)
Membership (メンバーシップ)
Membership (メンバーシップ)
Email Account (メールアカウント)
Login (ログイン)
Instant Messenger (インスタントメッセンジャー)
Login (ログイン)
Database (データベース)
Database Credentials (データベースクレデンシャル)
Server (サーバー)
Server Credentials (サーバーのクレデンシャル)
SSH Key (SSH鍵)
SSH Keys (SSH鍵)
Software License (ソフトウェアライセンス)
Software License (ソフトウェアライセンス)
Keeperのレコードタイプの詳細については、こちらのページをご参照ください。
共有権限
LastPassでフォルダが別のユーザーまたはチームと共有されている場合、インポートによって、同じ名前のKeeperチームと同じメールアドレスのKeeperユーザーに同じ共有アクセス権限が適用されます。
最初のインポート後に新しいKeeperユーザーまたはチームが追加された場合、共有フォルダのアクセス権限は再適用および適用できます。
3. 共有フォルダとチームのメンバーシップを適用する
LastPassからインポートしたパスワードに共有アクセス権限を割り当てるには、apply-membership
コマンドを使用します。
これにより、手順1のshared_folder_membership.json
というファイルが読み込まれ、Keeperエンタープライズ環境に存在するすべてのユーザーとチームに共有フォルダへのアクセス権限が適用されます。このコマンドを繰り返し実行しても問題はなく、重複が生じることはありません。
説明: SSOまたは招待プロセスによってユーザーが招待/作成されると、公開鍵が作成されます。そのため、Keeperによってメンバーシップが適用されるのは、ユーザーが存在するようになってからとなります。
このため、Keeper管理者は、毎日、毎時、Keeperでユーザーを作成した際は必要に応じてapply-membership
コマンドを実行する必要があります。
ユーザーがKeeperに移行し次第通知を受け取りたい場合は、Keeper管理コンソールの高度なレポートとアラートモジュールを使用して、ユーザー作成時のアラートを設定します。
4. Keeperデスクトップを使用してエンドユーザーを移行する
Keeper管理者は、以下のいずれかの方法でユーザーを招待します。
SSOログインによるジャストインタイムプロビジョニング
管理コンソールを使用した招待
SCIM
ユーザーを登録してボルトを作成すると、公開鍵と秘密鍵のペアが生成されます。この時点で、次の手順で記載のように、共有フォルダにアクセスできるようになります。
LastPassのユーザー個人のフォルダとレコードを転送するには、Keeperデスクトップのご利用をお勧めします。
以下のウェブサイトから最新バージョンを入手できます。
グループポリシーを使用してKeeperデスクトップをユーザーに自動的にデプロイする方法については、こちらのページをご参照ください。
共有フォルダへのアクセス
ユーザーが自分のKeeperボルトを作成すると、そのユーザーをチームやフォルダに追加できます。次回管理者がapply-membership
コマンドを実行すると、新しいKeeperユーザーは自分の共有フォルダにアクセスできるようになります。
Keeperに登録されるユーザー数が増えるにつれて、apply-membershipを繰り返し実行します。これにより、Keeperに存在するユーザーにメンバーシップが適用されます。
手順が多いため、組織全体に展開する前に少数のユーザーでテストすることをお勧めします。
ご不明な点がございましたら、担当Keeperセールスエンジニアまたはcommander@keepersecurity.comまでメールでお問い合わせください。
高度な機能
共有用のメールドメインの変換
LastPassのメールドメインが変更され、共有アクセス権限を転送する際に新しいメールドメインに移行したい場合は、以下のように--old-domain
および--new-domain
オプションパラメータが使用できます。
インポートされた共有フォルダのアクセス権限の上書き
LastPassのdownload-membership
は、LastPassユーザーの共有フォルダのアクセス権限をKeeperの共有フォルダに適用しますが、このアクセス権限の設定はメンバーシップのダウンロード中に上書きできます。
インポートされたすべての共有フォルダのすべてのユーザーの「レコード管理」権限および「ユーザー管理」権限を上書きするには、--permissions
または--restrictions
のオプションを使用します。
--permissions
は、インポートされたすべての共有フォルダのすべてのユーザーのアクセス権限を許可します。
--restrictions
は、インポートされたすべての共有フォルダのすべてのユーザーのアクセス権限を拒否します。
「レコード管理」の設定には、r
を、「ユーザー管理」の設定には、u
を、両方の設定には、ru
を指定します。
最上位フォルダを共有フォルダとしてインポート
オプションで、--shared
フラグと--permissions=<PERMISSIONS>
フラグを渡すことにより、すべての最上位フォルダを指定したアクセス権限を持つ共有フォルダにできます。
以下は、アクセス権限のオプションです。
U - ユーザー管理権限を付与
R - レコード管理権限を付与
E - レコード編集権限を付与
S - 共有権限を付与
A - すべてのアクセス権限を付与
N - アクセス権限を付与しない
付与したいアクセス権限に対応する文字を間にスペースや文字を入れずに指定します。
添付ファイルのキャッシュ
添付ファイルはインポート中にキャッシュできるため、別のインポートを実行する場合に再度ダウンロードする必要はありません。
ファイルキャッシュを使用してインポートを実行するには、--file-cache <DIR>
フラグを追加します。 キャッシュとして使用するディレクトリを指定します。
次のインポートでキャッシュを使用するには、同じディレクトリで--file-cache
フラグを適用します。
キャッシュされた添付ファイルは暗号化されます。
レコードのサイズ制限
Keeperのレコードのサイズ制限は5MBです (添付ファイルを除く)。LastPassのレコードがこの制限より大きい場合、レコードが制限より小さくなるまで、まず最大のフィールドからテキストファイルに変換されます。
作成された添付ファイルには、次の形式で名前が付けられます。
<title of field>_<type of field>_field.txt
たとえば、「Instructions」というタイトルの「notes」フィールドは、次のタイトルの添付ファイルに変換されます。
Instructions_notes_field.txt
指定したフォルダにインポート
LastPassボルトの内容は、Keeperボルトの指定したフォルダにインポートできます。 インポートするには、--folder
オプションを使用します。
指定したLastPassフォルダからインポート
--filter-folder
オプションを使用して、LastPassボルトのインポートをLastPassの特定のフォルダに制限できます。これにより、LastPassのデータがLastPass側の特定のフォルダのデータのみに選別されます。
重複の検索
インポート後にボルト内のレコードが重複している可能性がある場合は、コマンダーのfind-duplicate
機能を使用して重複レコードを検索できます。
たとえば、タイトル、ログイン、パスワードに基づいて重複を検索する場合は、以下のようになります。
このレポートの出力から、「rm
」コマンドを使用して削除するUIDレコードのリストを収集できます。
レコード権限の変更
デフォルトでは、レコードは「閲覧可能」の権限を持つ共有フォルダにインポートされます。つまり、レコードの所有者とフォルダに追加された共有管理者のみがレコードを編集できることを意味します。
インポート完了後に共有フォルダ内のレコードの権限を変更するには、以下のようにrecord-permission
コマンドを使用します。
最終更新