Delinea/Thycotic Secret Serverインポート

Delinea (Thycotic) Secret Serverボルトの自動移行

Secret Serverのインポート

本ページでは、プライベートフォルダ、共有フォルダ、アクセス許可、ファイル添付、TOTPコードを含むSecret Server (Delinea/Thycotic) データをKeeperへスムーズに自動移行する手順を取り扱います。Secret Server APIで移行を自動化します。

備考: KeeperウェブボルトおよびKeeperデスクトップアプリでは、Thycotic XML形式の基本的なインポートに対応しています。ボルトの [設定] > [インポート] > [Thycotic] 画面をご利用ください。XML形式には添付ファイルや権限は含まれません。そのため、本ページで説明する自動化方式の利用を推奨します。

要件

Secret Serverの管理設定で、ウェブサービスが有効になっていることを確認します。

Settings -> Configuration -> Edit -> Enable Webservices

セッションタイムアウトの調整

Secret Serverの管理設定で、Session Timeout for Webservices (ウェブサービスのセッションタイムアウト) が十分長い値に設定されていることを確認します。

ボルトの容量が大きい場合、処理に時間がかかります。おおよそ1,000件のシークレットにつき30分程度を目安にしてください。

Settings -> Application -> Session Timeout for Webservices

手順1. チームと共有フォルダ構造のダウンロード

上記のコマンドを実行する前に、以下を確認します。

ブラウザでベースのThycotic URLを確認する
ユーザー名が正しい形式であること
- ADユーザーの場合は DOMAIN\username、それ以外の場合は username

Keeperコマンダーで、Keeper/Thycoticの管理者は以下を実行します。

download-membership --source=thycotic

以下のプロンプトが表示されます。

...     Thycotic Host or URL: https://xyz.acme.com/secretserver
...     Thycotic Username: acme.com\user

上記を実行すると、以下の3つの処理が行われます。

すべての共有フォルダ情報のダウンロード
チームメンバーシップのダウンロード
共有フォルダのアクセス許可のダウンロード

この手順で、チームと共有フォルダ構造を含む shared_folder_membership.json がローカルにダウンロードされます。ファイルはユーザーフォルダ配下に保存されます。

Keeperでは、親フォルダと異なるアクセス許可を持つ共有フォルダ内のフォルダには、現時点では対応していません。

download-membership コマンドの --sub-folder オプションで、このようなフォルダのインポート方法を制御できます。

--sub-folder=ignore はフォルダ構造を保持します。フォルダのアクセス許可は無視されます。

--sub-folder=flatten はフォルダをKeeperボルトのルートに移動し、独自の共有フォルダとして扱います。

手順2. 共有フォルダのインポート

レコードをインポートする前に、Keeper側で共有フォルダ構造を作成します。以下のコマンドを実行します。

import --format=json shared_folder_membership.json

手順3. TOTPコードのエクスポート

Thycotic/Delinea Secret Serverに保存されているTOTPコードは、CSVファイルを手動でダウンロードする場合のみ取得できます。Secret Serverの管理者はSecret Server > Export Secretsに移動し、以下のオプションを選択します。

Export Type: Export All
Export Folder Path: チェック
Export TOTP Settings: チェック
Export Format: CSV

ファイルをエクスポートし、ホームフォルダまたはKeeperコマンダーを実行しているフォルダに保存します。デフォルトのファイル名は secrets-export.csv です。

手順4. Secret Serverボルトのインポート

Secret Server APIでデータをインポートするには、以下のコマンドを実行します。

import --format=thycotic https://your-secret-server-hostname
or
import --format=thycotic username@your-secret-server-hostname

ボルトのレコード数とユーザー数によって、このコマンドの完了には数分以上かかることがあります。大規模なSecret Serverインスタンスでは20分以上かかる場合もあります。

コマンダーは、管理者のKeeperボルトにSecret Serverと同じフォルダ構造を構築しようとします。

コマンダーは、TOTPコードをインポートするため、ユーザーのホームフォルダまたはコマンダーの現在のフォルダにある secrets-export.csv を探します。

備考1: このコマンドは、通常のフォルダ、共有フォルダ、フォルダ内のレコードをインポートします。Secret Server内の他のユーザーのプライベートフォルダはインポートされません。この手順では、管理者が参照できる情報のみがインポートされます。

備考2: アクセス許可の異なる共有フォルダの中に別の共有フォルダがある場合、その共有フォルダはルートフォルダへ移動されます (Keeperではサブフォルダごとのアクセス許可に対応していないため)。

備考3: 特定のセキュリティポリシーが適用されているシークレットは、コマンダーでインポートできない場合があります。たとえば、シークレットに require comment ポリシーが直接または継承で適用されている場合、コマンダーはそのシークレットをインポートできません。

高度なインポートパラメータ

import コマンドは、Secret Serverのインポートをカスタマイズする引数に対応しています。

--filter-folder DELINEA_ROOT_FOLDER: インポートするSecret Serverのルートフォルダを指定します。コマンダーはそのフォルダ配下のコンテンツのみをインポートします。

--folder KEEPER_FOLDER: コンテンツのインポート先となるKeeperのルートフォルダを指定します。

--update: 同一フィールドを持つ既存レコードのパスワードを更新します。移行中にSecret Server側で変更されたコンテンツを再インポートする場合に便利です。

コマンダーがシークレットを特定のレコードタイプにマッピングする方法は、以下のレコードタイプのマッピングをご確認ください。

手順5. メンバーシップの適用

備考: 実行前に、ThycoticのすべてのチームがKeeper内に完全に一致する名前で存在している必要があります。これにより、既存ユーザーが対応するチームに適用されます。不足しているチームは以下のいずれかで作成できます。

Keeper管理コンソール (Teams > Create New Team)
コマンダーの create-team コマンド

以下を実行します。

apply-membership

手順1の shared_folder_membership.json を読み込み、Keeperエンタープライズ環境のユーザーとチームに共有フォルダのアクセス許可を適用します。このコマンドは繰り返し実行しても安全で、重複は生成されません。

説明: SSOまたは招待プロセスでユーザーが招待または作成されると、公開鍵が生成されます。そのため、ユーザーが存在するまでKeeperではメンバーシップを適用できません。

このため、Keeper管理者はKeeperでユーザーが作成されたタイミングに応じて、apply-membership コマンドを毎日、毎時、または必要に応じて実行する必要があります。

手順6. エンドユーザーのKeeperへの招待

以下のいずれかの方法でユーザーを招待します。

SSOログインによるジャストインタイムプロビジョニング
管理コンソールからの招待
SCIM

ユーザーが登録してボルトを作成すると、公開鍵と秘密鍵のペアが生成されます。この時点で、以下で説明する共有フォルダを受け取れるようになります。

共有フォルダの受信

次回管理者が apply-membership コマンドを実行すると、新しいKeeperユーザーは共有フォルダへのアクセスを受け取れます。

手順が多いため、組織全体に展開する前に、少数のユーザーでパイロットテストを行うことを推奨します。

ご不明な点は、[email protected] までメールでお問い合わせください。

レコードタイプのマッピング

手順4の import コマンドでシークレットをインポートすると、コマンダーは複数の条件に応じて特定のレコードタイプのレコードを作成します。以下のロジックのうち、最初に一致した条件が適用されます。

シークレットのテンプレート名が、Keeperボルト上のレコードタイプまたはカスタムレコードタイプ名と一致する場合、コマンダーはそのタイプのレコードを作成します。 備考: Keeperのレコードタイプ名は32文字までです。コマンダーはSecret Serverのテンプレート名の先頭32文字のみを評価します。
シークレットのテンプレート名が Pin または Security Alarm Code の場合、コマンダーは Secure Note タイプのレコードを作成します。
シークレットのテンプレート名が Contact の場合、コマンダーは Address タイプのレコードを作成します。
シークレットのテンプレート名が Credit Card の場合、コマンダーは Payment Card タイプのレコードを作成します。
シークレットに private-key という項目ラベルがある場合、コマンダーは SSH Key タイプのレコードを作成します。
シークレットに card-number という項目ラベルがある場合、コマンダーは Credit Card タイプのレコードを作成します。
シークレットに account-number と routing-number という項目ラベルがある場合、コマンダーは Bank Account タイプのレコードを作成します。
シークレットに ssn という項目ラベルがある場合、コマンダーは Identity Card タイプのレコードを作成します。
シークレットに license-key という項目ラベルがある場合、コマンダーは Software License タイプのレコードを作成します。
シークレットに combination という項目ラベルがある場合、コマンダーは Secure Note タイプのレコードを作成します。
シークレットに healthcare-provider-name という項目ラベルがある場合、コマンダーは Health Insurance タイプのレコードを作成します。
シークレットに host、server、ip-address---host-name のいずれかの項目ラベルがある場合、コマンダーは Server タイプのレコードを作成します。database という項目ラベルもある場合は Database タイプのレコードを作成します。
上記のいずれにも該当しない場合、コマンダーは Login タイプのレコードを作成します。

前へLastPassデータのインポート次へKeepassインポート

最終更新 1 日前