> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/keeperpam/jp/commander-cli/command-reference/import-and-export-commands/delinea-thycotic-secret-server-import.md).

# Delinea/Thycotic Secret Serverインポート

<figure><img src="/files/nmkrOc4k3rueK0dTqqaP" alt=""><figcaption></figcaption></figure>

## Secret Serverのインポート <a href="#secret-server-import" id="secret-server-import"></a>

本ページでは、プライベートフォルダ、共有フォルダ、アクセス許可、ファイル添付、TOTPコードを含むSecret Server (Delinea/Thycotic) データをKeeperへスムーズに自動移行する手順を取り扱います。Secret Server APIで移行を自動化します。

**備考:** KeeperウェブボルトおよびKeeperデスクトップアプリでは、Thycotic XML形式の基本的なインポートに対応しています。ボルトの **\[設定]** > **\[インポート]** > **\[Thycotic]** 画面をご利用ください。XML形式には添付ファイルや権限は含まれません。そのため、本ページで説明する自動化方式の利用を推奨します。

### 要件 <a href="#pre-requisites" id="pre-requisites"></a>

Secret Serverの管理設定で、ウェブサービスが有効になっていることを確認します。

***Settings -> Configuration -> Edit -> Enable Webservices***

### セッションタイムアウトの調整 <a href="#adjust-session-timeout" id="adjust-session-timeout"></a>

Secret Serverの管理設定で、**Session Timeout for Webservices** (ウェブサービスのセッションタイムアウト) が十分長い値に設定されていることを確認します。

{% hint style="info" %}
ボルトの容量が大きい場合、処理に時間がかかります。おおよそ1,000件のシークレットにつき30分程度を目安にしてください。
{% endhint %}

***Settings -> Application -> Session Timeout for Webservices***

<figure><img src="/files/U6ZsivlCnsqx9qyjw7J3" alt=""><figcaption><p>セッションタイムアウト</p></figcaption></figure>

### 手順1. チームと共有フォルダ構造のダウンロード <a href="#step-1-download-team-and-shared-folder-structure" id="step-1-download-team-and-shared-folder-structure"></a>

上記のコマンドを実行する前に、以下を確認します。

* ブラウザでベースのThycotic URLを確認する
* ユーザー名が正しい形式であること
  * ADユーザーの場合は `DOMAIN\username`、それ以外の場合は `username`

Keeperコマンダーで、Keeper/Thycoticの管理者は以下を実行します。

```
download-membership --source=thycotic
```

以下のプロンプトが表示されます。

```
...     Thycotic Host or URL: https://xyz.acme.com/secretserver
...     Thycotic Username: acme.com\user
```

上記を実行すると、以下の3つの処理が行われます。

* すべての共有フォルダ情報のダウンロード
* チームメンバーシップのダウンロード
* 共有フォルダのアクセス許可のダウンロード

この手順で、チームと共有フォルダ構造を含む `shared_folder_membership.json` がローカルにダウンロードされます。ファイルはユーザーフォルダ配下に保存されます。

{% hint style="info" %}
Keeperでは、親フォルダと異なるアクセス許可を持つ共有フォルダ内のフォルダには、現時点では対応していません。

`download-membership` コマンドの `--sub-folder` オプションで、このようなフォルダのインポート方法を制御できます。

`--sub-folder=ignore` はフォルダ構造を保持します。フォルダのアクセス許可は無視されます。

`--sub-folder=flatten` はフォルダをKeeperボルトのルートに移動し、独自の共有フォルダとして扱います。
{% endhint %}

### 手順2. 共有フォルダのインポート <a href="#step-2-import-shared-folders" id="step-2-import-shared-folders"></a>

レコードをインポートする前に、Keeper側で共有フォルダ構造を作成します。以下のコマンドを実行します。

```
import --format=json shared_folder_membership.json
```

### 手順3. TOTPコードのエクスポート <a href="#step-3-export-totp-codes" id="step-3-export-totp-codes"></a>

Thycotic/Delinea Secret Serverに保存されているTOTPコードは、CSVファイルを手動でダウンロードする場合のみ取得できます。Secret Serverの管理者は**Secret Server** > **Export Secrets**に移動し、以下のオプションを選択します。

* Export Type: Export All
* Export Folder Path: チェック
* Export TOTP Settings: チェック
* Export Format: CSV

ファイルをエクスポートし、ホームフォルダまたはKeeperコマンダーを実行しているフォルダに保存します。デフォルトのファイル名は `secrets-export.csv` です。

### 手順4. Secret Serverボルトのインポート <a href="#step-4-import-the-secret-server-vault" id="step-4-import-the-secret-server-vault"></a>

Secret Server APIでデータをインポートするには、以下のコマンドを実行します。

```
import --format=thycotic https://your-secret-server-hostname
or
import --format=thycotic username@your-secret-server-hostname
```

ボルトのレコード数とユーザー数によって、このコマンドの完了には数分以上かかることがあります。大規模なSecret Serverインスタンスでは20分以上かかる場合もあります。

コマンダーは、管理者のKeeperボルトにSecret Serverと同じフォルダ構造を構築しようとします。

コマンダーは、TOTPコードをインポートするため、ユーザーのホームフォルダまたはコマンダーの現在のフォルダにある `secrets-export.csv` を探します。

**備考1:** このコマンドは、通常のフォルダ、共有フォルダ、フォルダ内のレコードをインポートします。Secret Server内の他のユーザーのプライベートフォルダはインポートされません。この手順では、管理者が参照できる情報のみがインポートされます。

**備考2:** アクセス許可の異なる共有フォルダの中に別の共有フォルダがある場合、その共有フォルダはルートフォルダへ移動されます (Keeperではサブフォルダごとのアクセス許可に対応していないため)。

**備考3:** 特定のセキュリティポリシーが適用されているシークレットは、コマンダーでインポートできない場合があります。たとえば、シークレットに `require comment` ポリシーが直接または継承で適用されている場合、コマンダーはそのシークレットをインポートできません。

#### 高度なインポートパラメータ <a href="#advanced-import-parameters" id="advanced-import-parameters"></a>

`import` コマンドは、Secret Serverのインポートをカスタマイズする引数に対応しています。

`--filter-folder DELINEA_ROOT_FOLDER`: インポートするSecret Serverの**ルート**フォルダを指定します。コマンダーはそのフォルダ配下のコンテンツのみをインポートします。

`--folder KEEPER_FOLDER`: コンテンツのインポート先となるKeeperの**ルート**フォルダを指定します。

`--update`: 同一フィールドを持つ既存レコードのパスワードを更新します。移行中にSecret Server側で変更されたコンテンツを再インポートする場合に便利です。

コマンダーがシークレットを特定のレコードタイプにマッピングする方法は、[以下のレコードタイプのマッピング](#record-type-mapping)をご確認ください。

### 手順5. メンバーシップの適用 <a href="#step-5-applying-memberships" id="step-5-applying-memberships"></a>

**備考:** 実行前に、ThycoticのすべてのチームがKeeper内に**完全に一致する名前**で存在している必要があります。これにより、既存ユーザーが対応するチームに適用されます。不足しているチームは以下のいずれかで作成できます。

* Keeper管理コンソール (*Teams > Create New Team*)
* コマンダーの `create-team` コマンド

以下を実行します。

```
apply-membership
```

手順1の `shared_folder_membership.json` を読み込み、Keeperエンタープライズ環境のユーザーとチームに共有フォルダのアクセス許可を適用します。このコマンドは繰り返し実行しても安全で、重複は生成されません。

**説明:** SSOまたは招待プロセスでユーザーが招待または作成されると、公開鍵が生成されます。そのため、ユーザーが存在するまでKeeperではメンバーシップを適用できません。

このため、Keeper管理者はKeeperでユーザーが作成されたタイミングに応じて、`apply-membership` コマンドを毎日、毎時、または必要に応じて実行する必要があります。

### 手順6. エンドユーザーのKeeperへの招待 <a href="#step-6-end-users-are-invited-to-keeper" id="step-6-end-users-are-invited-to-keeper"></a>

以下のいずれかの方法でユーザーを招待します。

* SSOログインによるジャストインタイムプロビジョニング
* 管理コンソールからの招待
* SCIM

ユーザーが登録してボルトを作成すると、公開鍵と秘密鍵のペアが生成されます。この時点で、以下で説明する共有フォルダを受け取れるようになります。

### 共有フォルダの受信 <a href="#receiving-shared-folders" id="receiving-shared-folders"></a>

次回管理者が `apply-membership` コマンドを実行すると、新しいKeeperユーザーは共有フォルダへのアクセスを受け取れます。

手順が多いため、組織全体に展開する前に、少数のユーザーでパイロットテストを行うことを推奨します。

ご不明な点は、<commander@keepersecurity.com> までメールでお問い合わせください。

### レコードタイプのマッピング <a href="#record-type-mapping" id="record-type-mapping"></a>

手順4の `import` コマンドでシークレットをインポートすると、コマンダーは複数の条件に応じて特定のレコードタイプのレコードを作成します。以下のロジックのうち、最初に一致した条件が適用されます。

* シークレットのテンプレート名が、Keeperボルト上のレコードタイプまたはカスタムレコードタイプ名と一致する場合、コマンダーはそのタイプのレコードを作成します。\
  **備考:** Keeperのレコードタイプ名は32文字までです。コマンダーはSecret Serverのテンプレート名の先頭32文字のみを評価します。
* シークレットのテンプレート名が `Pin` または `Security Alarm Code` の場合、コマンダーは `Secure Note` タイプのレコードを作成します。
* シークレットのテンプレート名が `Contact` の場合、コマンダーは `Address` タイプのレコードを作成します。
* シークレットのテンプレート名が `Credit Card` の場合、コマンダーは `Payment Card` タイプのレコードを作成します。
* シークレットに `private-key` という項目ラベルがある場合、コマンダーは `SSH Key` タイプのレコードを作成します。
* シークレットに `card-number` という項目ラベルがある場合、コマンダーは `Credit Card` タイプのレコードを作成します。
* シークレットに `account-number` と `routing-number` という項目ラベルがある場合、コマンダーは `Bank Account` タイプのレコードを作成します。
* シークレットに `ssn` という項目ラベルがある場合、コマンダーは `Identity Card` タイプのレコードを作成します。
* シークレットに `license-key` という項目ラベルがある場合、コマンダーは `Software License` タイプのレコードを作成します。
* シークレットに `combination` という項目ラベルがある場合、コマンダーは `Secure Note` タイプのレコードを作成します。
* シークレットに `healthcare-provider-name` という項目ラベルがある場合、コマンダーは `Health Insurance` タイプのレコードを作成します。
* シークレットに `host`、`server`、`ip-address---host-name` のいずれかの項目ラベルがある場合、コマンダーは `Server` タイプのレコードを作成します。`database` という項目ラベルもある場合は `Database` タイプのレコードを作成します。
* 上記のいずれにも該当しない場合、コマンダーは `Login` タイプのレコードを作成します。


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/commander-cli/command-reference/import-and-export-commands/delinea-thycotic-secret-server-import.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.