Windowsサービス

Keeper AutomatorのWindowsサーバーでの実装例

本ガイドでは、Dockerを使用せずにAutomatorサービスをWindowsサーバーで実行するための手順を解説します。

SSL証明書が必要となりますので、お持ちでない場合はカスタムSSL証明書の作成ページをご参照ください。

(1) Automatorサービスをインストール

Automatorインスタンスで、以下のURLからKeeper Automatorのインストーラーをダウンロードし、解凍して実行します。

https://keepersecurity.com/automator/keeper-automator-windows.zip

設定画面でJavaのチェックボックスをオンにして、Javaランタイムをインストールに含めます。現在はJava 17ランタイムが同梱されており、新バージョンのリリースに合わせて更新されます。

これにより、Keeper Automatorが以下のフォルダにインストールされます。

C:\Program Files\Keeper Security\Keeper Automator\

設定は以下のフォルダに保存されます。

C:\ProgramData\Keeper Automator\

(2) configフォルダを作成

C:\ProgramData\Keeper Automatorフォルダにconfigというフォルダを作成します。

(3) 証明書ファイルとパスワードファイルをコピー

ssl-certificate.pfxファイル(SSL証明書作成のページで保存)をC:\ProgramData\Keeper Automator\Configに配置します。

ssl-certificate.pfxファイルがパスフレーズで保護されている場合は、ssl-certificate-password.txtという名前のファイルもC:\ProgramData\Keeper Automator\Configに作成する必要があります。

(4) サービスの再起動

サービス画面でKeeper Automatorを選択し、サービスを再起動します。

ウェブブラウザでサービスが実行中であることを確認します(テストしているデバイスからポート443が解放されている必要があります)。 この場合のURLは、https://automator.company.com/api/rest/statusとなります。

自動ヘルスチェックには以下のURLもご使用になれます。

https://automator.company.com/health

Windowsファイアウォール

Defenderファイアウォールが実行されているWindowsでデプロイしている場合は、Windows Defenderファイアウォールでポート443(または任意の指定ポート)を開く必要がありますので、 以下の手順に従います。

[スタート]メニューを開き、[Windows Defenderファイアウォール]と入力して、結果の一覧から選択します。横のナビゲーションメニューで[詳細設定]を選択し、[受信の規則]を選択します。ポートを開くには、[新しい規則]を選択して手順を完了します。

Commanderを使用した最後の設定

サービスが実行中となりましたので、Keeper Commanderを使用してAutomatorをご利用のKeeperの環境に統合します。

(5) Keeper Commanderをインストールします

ご利用のワークステーション、サーバー、コンピュータなどにKeeper Commander CLIをインストールします。バイナリインストーラーを含むインストール手順についてはこちらをご覧ください。 (6) Keeper Commanderにログインし、automator createで始まる一連のコマンドを使用してAutomatorを有効化し、Automatorに任意の名前を付けます。

automator create --name="My Automator" --node="Azure Cloud"

ノード名(この場合は、Azure Cloud)は、以下に示すように管理コンソールのUIに表示されます。

コマンドの出力には、IDプロバイダから取得したメタデータを含むAutomatorの設定が表示されます。

                    Automator ID:1477468749950
                            Name:My Automator
                             URL:
                         Enabled:No
                     Initialized:No
                          Skills:Device Approval

URLがまだ入力されいませんので、以下のようにautomator editコマンドを実行します。これによりURLとスキルが設定されます(teamteam_for_userdevice)。

automator edit --url https://<application URL> --skill=team --skill=team_for_user --skill=device "My Automator"

次にキーを交換します。Automator公開キーで暗号化されたエンタープライズ秘密キーがAutomator に提供されます。

automator setup "My Automator"

この手順でエラーが発生した場合は、Windows サービスを停止してから開始し、ポートが使用可能であることを確かにします。

次に、以下のコマンドを使用して新しい設定でAutomatorを初期化します。

automator init "My Automator"

最後に、以下のコマンドでAutomatorサービスを有効にします。

automator enable "My Automator"

この時点で設定は完了となります。

AD FSを使用した環境の場合

IDプロバイダとしてAD FSを使用してKeeper Automatorを有効にする場合、以下の手順に従ってKeeper 証明書を更新するまでログインできません。

  • Keeper管理コンソールへログインします。

  • [管理] > [SSOノード] > [プロビジョニング]に移動し、SSOクラウド設定を見ます。

  • [Export SP Cert]をクリックします。

  • AD FS管理コンソールで、Keeper Cloud SSO証明書利用者信頼プロパティを選択します。

  • [暗号化]タブで、古い証明書をこの新しい証明書に置き換えます。

  • [署名]タブで、新しいSP証明書をこの新しい証明書に置き換えます。

ユーザー体験のテスト

Keeper Automatorがデプロイされましたので、エンドユーザー体験のテストが可能となります。ユーザーがSSO IDプロバイダで認証した後は、承認を求めるプロンプトは必要なくなります。

最も簡単なテスト方法は、ブラウザでシークレットモードのウィンドウを開いてKeeperウェブボルトへアクセスし、SSOクラウドでログインすることとなります。デバイスの承認を求めるプロンプトは表示されなくなります。

サービスの更新

Keeper Automatorサービスを再設定する際は、Keeper Commanderを使用してサービスエンドポイントを再初期化する必要があります。

automator setup "My Automator"
automator init "My Automator"
automator enable "My Automator"

トラブルシューティング

サービスが始まらない

Keeper Automatorのログを確認してください。通常これで問題がわかります。Windowsの場合、ログはC:\ProgramData\Keeper Automator\logsにあります。

常に承認のプロンプトが表示される

Keeper Automatorサービスを再インストールする際、Keeper Commanderを使用してサービスエンドポイントを再初期化する必要がある場合があります。Keeper Commanderについてはこちらをご覧ください。

Keeper CommanderでAutomatorインスタンスを再初期化するのに必要なコマンドは以下のとおりです。

$ keeper shell

My Vault> automator list
288797895952179 My Automator True https://something.company.com 

(find the Name corresponding to your Automator)

My Vault> automator setup "My Automator"
My Vault> automator init "My Automator"
My Vault> automator enable "My Automator"
前へKubernetesサービス次へマルチテナントモード

最終更新