SaaS構成のフィールドリファレンス

対象サービスに応じたSaaS構成レコードのセットアップ手順

概要

選択したプラグインごとに、その統合専用のカスタムフィールドが事前入力されたログインレコードが作成されます。初期状態ではすべてのフィールドが空であり、ローテーションを実行する前に設定する必要があります。

Okta構成レコード

カスタムフィールド名

説明

必須か

SaaS Type

SaaSの種類 (Okta)

はい

Active

SaaSローテーションの有効化・無効化 (既定では有効)

いいえ

Okta URL

カスタマーポータルでのログインに用いるURL

はい

Okta Token

Security → API → Tokens の管理画面で作成されたAPIトークン

はい

Snowflake構成レコード

カスタムフィールド名

説明

必須か

SaaS Type

SaaSの種類 (Snowflake)

はい

Active

SaaSローテーションの有効化・無効化 (既定では有効)

いいえ

Snowflake Admin User

管理者ユーザー名

はい

Snowflake Admin Password

管理者ユーザーのパスワード

はい

Snowflake Account

アカウント (URLのサブドメイン部分)

はい

REST構成レコード

カスタムフィールド名

説明

必須か

SaaS Type

SaaSの種類 (REST)

はい

Active

SaaSローテーションの有効化・無効化 (既定では有効)

いいえ

REST Url

対象のウェブサービスのURL

はい

REST Token

静的なBearerトークン (動的生成は不可)

はい

REST Method

使用するHTTPメソッド (既定ではPOST。取りうる値はPOSTおよびPUT)

いいえ

AWSアクセスキー構成レコード

カスタムフィールド名

説明

必須か

SaaS Type

SaaSの種類 (AWS Access Key)

はい

Active

SaaSローテーションの有効化・無効化 (既定では有効)

いいえ

Admin Access Key ID

管理者ロール用のAWSアクセスキーID

いいえ

Admin Secret Access Key

管理者ロール用のAWSシークレットアクセスキー

いいえ

Region Name

リージョン名 (GovCloud以外は空欄可。GovCloudでは必須)

いいえ

AWS Clean Keys

古いアクセスキーの削除方法 (指定がない場合は「All」が既定) All: すべてのアクセスキーを削除 Oldest: 2つのスロットが埋まっている場合、最も古いキーを削除 Replace: ボルトに登録されているキーを置換 (2つある場合は一方のみ削除)

いいえ

備考: EC2インスタンスにアタッチされたIAMロールを使用している場合、またはAWSの構成ファイルを利用している場合は、管理者アクセスキーを設定する必要はありません。

プラグインは、以下の順序で認証情報を取得します。

SaaS構成レコード (アクセスキーおよびシークレットキーが正しく設定されていることを確認してください。)
AWS用PAM構成 (詳細についてはAWS環境のセットアップのページをご参照ください。)

権限の割り当て

AWSのPAM構成に割り当てられたロール、または特定の管理者用アクセスキー／シークレットキーに割り当てられたロールに、対象のアクセスキーをローテーションするのに必要な以下のポリシーが含まれることを確認してください。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateAccessKey",
        "iam:ListAccessKeys",
        "iam:DeleteAccessKey"
      ],
      "Resource": "arn:aws:iam::YOUR_AWS_ACCOUNT_ID_HERE:user/*"
    }
  ]
}

Azureクライアントシークレット構成レコード

カスタムフィールド名

説明

必須か

SaaS Type

SaaSの種類 (Azure Client Secret)

はい

Active

SaaSローテーションの有効化・無効化 (既定では有効)

いいえ

Azure Target Object ID

対象となるAzure Entra IDアプリケーションのオブジェクトID (ローテーション対象)

はい

Expiry Days

シークレットの有効期限 (日数)。既定では365日

いいえ

Azure Tenant ID

Azure Entra ID (ディレクトリ) のテナントID。管理アプリと対象アプリの両方で用います

いいえ

Azure Admin Application ID

ローテーションを実行する管理アプリケーションのアプリケーション (クライアント) ID (※対象アプリではありません)

いいえ

Azure Admin Client Secret

管理アプリケーションのシークレット値

いいえ

Azure Authority

MSALがトークンを要求するための特別なURL

いいえ

Azure Graph Endpoint

Azure Graphスコープ用の特別なURL

いいえ

Azure Clean Keys

ローテーションのたびに古いシークレットを削除する設定 All: すべてのシークレットを削除 Replace: ボルトに登録されているシークレットのみを置換

いいえ

注意: すでに必要なAzure権限を持つPAM構成を使用している場合は、管理アプリケーションIDおよびクライアントシークレットを設定する必要はありません。

プラグインは、以下の順序で認証情報を取得します。

SaaS構成レコード
Azure用PAM構成

管理アプリケーションへの権限の割り当て

対象のシークレットをローテーションするには、管理アプリケーションに必要なAzureロール権限が割り当てられている必要があります。

必要なMicrosoft Graphの権限

Application.ReadWrite.All

権限の割り当て手順

Azureポータルから、[Azure Active Directory] > [アプリの登録] を選択します。
シークレットのローテーションを行う管理アプリケーションを選択します。
[API のアクセス許可] > [アクセス許可の追加] をクリックします。
[Microsoft Graph] を選択します。
[アプリケーションのアクセス許可] を選択します。
Application.ReadWrite.All を検索して選択します。
[アクセス許可の追加] をクリックします。
最後にテナントに対して [管理者の同意を与える] をクリックして完了します。

Cisco IOS XE構成レコード

カスタムフィールド名

説明

必須か

SaaS Type

SaaSの種類 (Cisco IOS XE)

はい

Active

SaaSローテーションの有効化・無効化 (既定では有効)

いいえ

Admin Username

管理者のユーザー名

はい

Admin Password

管理者のパスワード

はい

Hostname

ウェブサービスのホスト名またはIPアドレス

はい

Verify SSL

サーバーのSSL証明書を検証するかどうか (既定ではFALSE)

いいえ

Cisco Meraki構成レコード

カスタムフィールド名

説明

必須か

SaaS Type

SaaSの種類 (Cisco Meraki)

はい

Active

SaaSローテーションの有効化・無効化 (既定では有効)

いいえ

Admin Email

管理者のメールアドレス

はい

API Key

管理者のプロフィール内「APIアクセス」セクションで生成されたAPIキー

はい

Network ID

ネットワークID 未入力の場合、ネットワークIDの自動取得が試みられます。組織が1つだけであり、そのなかのネットワークも1つだけである場合は、当該ネットワークIDが用いられます。

いいえ

Verify SSL

サーバーのSSL証明書を検証するかどうか (既定ではFALSE)

いいえ

参考 API仕様については、Cisco Meraki OpenAPI Documentをご参照ください。

前へSaaSプラグイン次へコマンダーCLIでのSaaSローテーション

最終更新 25 日前