SaaSプラグイン
SaaSアプリケーションおよびカスタム統合向けのパスワードローテーションの自動化
KeeperPAM SaaSローテーションプラグイン
概要
KeeperPAMは、SaaSアプリケーションおよびクラウドインフラに対する自動パスワードローテーションに対応しています。SaaSローテーションは、組み込み統合、カタログ統合、カスタム統合のいずれかとして利用できます。
組み込みSaaS連携
KeeperPAMには、以下のような主要サービス向けの統合が含まれています。
Okta — IDおよびアクセス管理
Snowflake — クラウドデータプラットフォーム
AWSアクセスキー — Amazon Web Servicesの認証情報ローテーション
Azureクライアントシークレット — Microsoft Azureアプリケーションのシークレット
Check Point Gaia OS — ネットワークセキュリティ機器の管理
Cisco IOS XE — ネットワーク機器の管理
Cisco Meraki — クラウド管理型ネットワーク
REST API — 汎用RESTエンドポイント統合
カタログSaaS統合
ローテーションプラグインは、KeeperのSaaS GitHubリポジトリで入手できます。
AWS Cognito — ユーザープールの認証情報ローテーション
Cisco APIC — アプリケーションポリシーインフラストラクチャコントローラー
Elastic API Key — ElasticsearchのAPIキーローテーション
Elasticsearch Service Account Token — サービスアカウントトークンのローテーション
Elasticsearch User — Elasticsearchユーザーのパスワードローテーション
JFrog Access Token — JFrogプラットフォームのトークンローテーション
JFrog User Password — JFrogユーザーの認証情報ローテーション
OpenSearch User — OpenSearchユーザーのパスワードローテーション
Oracle Identity Domain User — Oracle CloudのID認証情報ローテーション
ServiceNow User — ServiceNowユーザーのパスワードローテーション
Splunk Token — Splunk認証トークンのローテーション
Splunk User Password — Splunkユーザーの認証情報ローテーション
カタログ統合が追加されると、お客様の環境ですぐに利用できるようになります。
カスタム統合
KeeperのSaaS GitHubリポジトリの例に従って、独自のローテーションプラグインを作成できます。カスタムプラグインは非公開であり、お客様のKeeperゲートウェイでのみ利用できます。
詳細は、カスタムプラグインの使用方法をご参照ください。
前提条件
SaaSローテーションを構成する前に、以下を用意してください。
ローテーション強制適用ポリシー
KeeperPAMの強制適用ポリシーは、Keeperの管理コンソールの [管理者] > [ロール] > [強制適用ポリシー] > [特権アクセス管理] で管理します。
PAMレコードタイプのローテーション設定をユーザーが構成できるようにするには、以下の強制適用ポリシーを有効にする必要があります。
ローテーション設定を構成する
ALLOW_CONFIGURE_ROTATION_SETTINGS
PAMユーザーおよびPAM構成の各レコードタイプで、ローテーション設定を構成できるようにします
ローテーション構成の強制適用ポリシーは、KeeperコマンダーCLIの enterprise-role コマンドから有効化することもできます。
SaaSパスワードローテーションのセットアップ (Keeperボルト)
SaaSローテーションをセットアップするには、SaaS構成レコードを作成し、ローテーション対象の認証情報を含むPAMユーザーレコードを作成し、これらを関連付けます。
SaaS構成レコードの作成
[新規作成] をクリックし、[SaaS構成] を選択します。
以下のフィールドを設定します。
フォルダを選択
SaaS構成レコードを保存する共有フォルダ。この共有フォルダは、ローテーションを実行するゲートウェイに関連付けられたKSMアプリケーションに含まれている必要があります。
PAM構成
ローテーションを実行するゲートウェイを含む構成を選択します。選択した共有フォルダを含むKSMアプリケーションに関連付けられた構成のみが表示されます。
プラグイン
SaaSローテーションの種類 (例: AWSアクセスキー、Okta) を選択します。
タイトル
SaaS構成レコードの名前です。
これにより、選択したプラグインに基づいてカスタムフィールドが事前入力されたログインレコードが作成されます。プラグインごとに必要なフィールドは異なり、レコード上のカスタムフィールドとして表示されます。
各プラグインのカスタムフィールドの詳細は、SaaS構成のフィールドリファレンスをご参照ください。
PAMユーザーレコードの作成
ローテーション対象の認証情報またはシークレットを含むPAMユーザーレコードを作成します。例として、Okta用のPAMユーザーにはユーザー名とパスワード、AWS用にはアクセスキーとシークレットが含まれます。
補足: 既にPAMユーザーレコードがある場合は、この手順は省略できます。
PAMユーザーとSaaS構成レコードの関連付け
PAMユーザーレコードを開き、[PAM設定] を編集します。
以下のフィールドを設定します。
ローテーションプロファイル
ローテーションプロファイルとして [SaaSユーザー] を選択します。
PAM構成
ローテーションを実行するゲートウェイを含むPAM構成を選択します。SaaS構成レコードの作成時に選択した構成と同じです。
SaaS構成
作成したSaaS構成レコードを選択します。
ローテーションスケジュール
(任意) 認証情報の自動ローテーションのスケジュールを設定します。
パスワードの複雑さ
(任意) ローテーション後の認証情報に求めるパスワードの複雑さを定義します。
PAMユーザーのローテーション
PAMユーザーはローテーションを実行できる状態です。オンデマンドで実行するか、設定したスケジュールに従って認証情報を自動的にローテーションできます。
SaaS構成レコードの詳細
選択したプラグインごとに、その統合専用のカスタムフィールドが事前入力されたログインレコードが作成されます。初期状態ではすべてのフィールドが空であり、ローテーションを実行する前に設定する必要があります。
詳細は、SaaS構成のフィールドリファレンスをご参照ください。
カスタムおよびコミュニティプラグイン
組み込みおよびカタログ統合に加えて、カスタムプラグインをデプロイしてSaaSローテーションを拡張できます。Keeperは、コミュニティが貢献したプラグイン、開発ツール、テンプレートをまとめたGitHubリポジトリを管理しています。カスタムプラグインは、お客様のKeeperゲートウェイ上でのみ利用できます。
セットアップ手順、開発ガイド、ベストプラクティスについては、カスタムおよびコミュニティプラグインをご参照ください。
コマンダーCLIでのSaaSローテーション
SaaSローテーションはKeeperコマンダーCLIから構成、管理、実行することもできます。
詳細は、コマンダーCLIでのSaaSローテーションをご参照ください。
最終更新