複数ボルトの連携
Keeper Secrets Managerを使用した複数のKeeperボルトまたは複数の共有フォルダとの連携
概要
Keeper Connection Managerは、Keeper Secrets Managerと連携して、Keeperボルトの様々なボルトや共有フォルダからシークレットを取得できます。KCMが複数のKeeperボルトに接続してシークレットを取得するには、主に以下の2つの方法があります。
接続グループを異なるSecrets Manager設定に割り当てることができます。接続グループ内で定義された接続は、グループ割り当てからシークレットを取得します。
ユーザーにSecrets Managerの設定を割り当てることができ、接続はユーザープロファイルごとに定義された設定からシークレットを取得できます。これにより、異なるユーザーが独自のシークレットのセットを使用して同じ接続セットに接続できるようになります。
接続グループ
Keeper Connection Managerの各「Connection Groups」 (接続グループ)は、グループ内の接続に対してKeeper Secrets Managerの設定を使用できます。これを有効にすると、各接続グループは対応するSecrets Manager設定内の記録を検索し、シークレットを取得して、接続設定内のトークンを置き換えます。
接続グループでKeeper Secrets Managerを使用するには、接続グループフォームの「KSM Service Configuration」 (KSMサービス設定) フィールドにKeeper Secrets Managerのワンタイムアクセストークンまたは設定を入力します。
この接続グループ内で作成された接続はすべて、接続の確立時にシークレットを取得するように定義されたSecrets Manager設定を使用し、ルートレベルのSecrets Manager設定は使用しません。
Secrets Managerの設定は、同じボルトから取得することも、他のボルトから取得することもできます。
使用可能なトークンとその使用方法の詳細は、動的トークンのドキュメントをご参照ください。
接続グループでSecrets Manager設定を使用するには、基本設定でSecrets Manager設定をデフォルトとして規定する必要があります。 Secrets Managerの設定の詳細は、こちらのドキュメントをご参照ください。
ユーザー指定の設定
Keeper Connection Managerの各ユーザープロファイルを任意の接続のKeeper Secrets Manager設定に割り当てることができます。ユーザー固有のボルトを許可するように接続が更新されると、Keeper Connection Managerはユーザーの対応する設定からシークレットを取得します。この機能により、複数のユーザーが、ユーザー自身のボールトに由来するシークレットを使用して、同じ接続セットを共有できるようになります。
ユーザー固有のSecrets Manager接続を使用するには、Keeper Connection Managerのインストールでこの機能を有効にする必要があります。デフォルトでは無効になっています。
Dockerインストールメソッド
docker-compose.ymlファイル内のkeeper/guacamoleのDockerイメージに、新たな環境変数を追加する必要があります。
KSM_ALLOW_USER_CONFIG
以下はその例です。
ユーザーの編集画面で、そのユーザーに設定されたKSM Service Configuration (KSMサービス設定) を入力します。各ユーザーが自分用にKSM Service Configurationを指定するためにも使用できます。
接続を作成または編集するときに、「Allow user-provided KSM configuration」 (ユーザー指定のKSM設定を許可する) というフィールドが表示されます。
このオプションを選択すると、Keeper Connection Managerが、Keeper Secrets Managerの設定に対応するユーザーのボルト内の該当シークレットを検索します。
優先順位
Keeper Connection Managerは、適用可能であれば常に基本 (または接続グループ) シークレットを使用します。ユーザーが管理者の意向を無視できないように、ユーザー指定のシークレットの使用は、管理者が指定するシークレットがない場合に限定されます。
Last updated
