法人管理者

Keeper Enterpriseのトラブルシューティングとサポート

法人向けガイド

ライセンスの有効期限が切れており、サブスクリプションを更新する必要がありますか?

弊社のオンライン・チェックアウト・ページ(https://keepersecurity.com/checkout)をご覧ください。

最終ログイン日付が無効なユーザー・ステータス・レポート

現在、管理コンソールのユーザーレポートには、1000エンドユーザを超えるアカウントの空のログイン日が含まれています。Keeper Commander を使用して、user-report コマンドでユーザーステータスレポートを作成することをお勧めします。例:

user-report --format csv --output last-logins.csv

チームとユーザーに関するSCIMプロビジョニングの一般的な問題

  • SAML アプリケーションにユーザーまたはグループを割り当てていることを確認します。

  • IDプロバイダからユーザーを招待するか、プロビジョニングされたグループにユーザーを割り当てると、IdPはKeeperにユーザーを招待するか、ユーザーをチームに追加するか、チームを作成するリクエストを送信します。

  • ユーザーがまだKeeperに存在しない場合、サインアップするための招待を受け取ります(または、ジャストインタイムプロビジョニングを使用することができます)。

  • ユーザーがKeeperアカウントを作成した後、下記のいずれかが起こるまで、ユーザーはまだKeeperチームに割り当てられません。

(a) 管理者が管理コンソールにログイン > 管理画面から「完全同期」をクリックする (b) 該当チームのユーザーがWeb Vault またはデスクトップアプリにログインする。 (c) 管理者が Keeper Commander からチーム承認を実行する。

SCIM経由でチームとユーザーを即座に作成できない理由は、暗号化モデルとユーザー間で秘密鍵を共有する必要があるためです。暗号化キー(例:チームキー)の共有は、ログインし、必要な秘密鍵にアクセスできるユーザーによってのみ実行できます。

注:現在、チームおよびチーム割り当ての即時承認を支援する自動化ツールを開発中です。利用可能になり次第、最新情報を掲載します。

エンタープライズSSOユーザーがログインできない

セキュリティ上の理由から、Keeper は SSO ノード外のエンタープライズユーザーが連携 ID プロバイダでログインできないようにします。SSO でログインできないユーザーがいる場合、Keeper 管理コンソール内の SSO 対応ノードにユーザーをプロビジョニングしてください。ユーザーをSSOノードに移動するには、ユーザーを編集し、ドロップダウンからノードを選択します。

招待メールが届かないユーザー

Keeperのメールシステムはバウンスしたメールへの配信を自動的に抑制します。これは通常、受信箱が存在する前にKeeperアカウントを設定した場合に発生します。このような状況にあるユーザーがいる場合、Keeper B2Bサポートチームにご連絡ください。

法人エンドユーザーの電子メールが変更された場合

IDプロバイダでユーザーのメールが変更された場合、KeeperのユーザーIDにエイリアスを追加することができます。これはenterprise-userコマンドを使用します。例えば

enterprise-user --add-alias new_email@acme-demo.com user@acme-demo.com

このコマンドは予約されたドメインでのみエイリアスの作成を許可します。Keeper Commanderの詳細については、こちらをご覧ください。

法人ドメインが変わる、あるいは変わった

御社がユーザーを新しいメールドメインに移行する場合、Keeperはシームレスな移行を可能にするために、企業全体のドメインエイリアスをサポートしています。 ドメインエイリアスをご希望の場合は、サポートチケットをご請求ください。

SSOユーザーがマスターパスワードを要求

マスターパスワードの入力を求められるSSOユーザーがいる場合

  • ユーザーがSSO対応ノードにプロビジョニングされていることを確認してください。

  • ユーザーが正しいデータセンター(US、EU、AU、JP、CA、GOV)からログインしていることを確認してください。

ユーザーにデバイスの承認を促す

  • ユーザーは、以前に承認されたデバイスを使用することで、追加のデバイスを承認できます。例えば、すでにコンピュータでウェブボルトにログインしている場合、初めてスマホアプリにログインすると、ウェブボルトにモバイルデバイスの情報を含むデバイス承認プロンプトが表示され、承認または拒否することができます。

  • Keeper SSO Connect Cloud™ は、あらゆるSAML 2.0 IDプロバイダとのシームレスなログインエクスペリエンスを維持しながら、 ゼロナレッジ暗号化を提供します。

  • ユーザーが一度も使用したことのないデバイスでログインしようとすると、楕円曲線秘密鍵/公開鍵のペアが新しいデバイス上で生成されます。ユーザが ID プロバイダからの認証に成功した後、新しいデバイスでデータボルトを復号化するために、鍵交換を行う必要がある。これを「デバイス承認」と呼びます。

  • ゲスト、プライベート、シークレットモードのブラウザモードを使用したり、ブラウザのキャッシュをクリアしたりすると、起動するたびに新しいデバイスとして keeper に識別されるため、新しいデバイスの承認が必要になります。

ゼロ知識を維持し、Keeperのサーバーが暗号化キーにアクセスできないようにするために、ユーザーまたは指定された管理者が実行できるプッシュベースの承認システムを開発しました。Keeperはまた、ユーザーが操作することなく、デバイスの承認と鍵交換を自動的に実行するサービスをホストすることも可能です。 新しいデバイスまたは認識されていないデバイスにログインする際、ユーザーには2つのオプションがあります。

  • Keeper Push (自分のデバイスを使用)

  • 管理者承認 (管理者の承認を要求する)

または、Keeper Automator サービスをデプロイすることで、このステップを完全にスキップすることができます。

Automatorの導入コストに関する質問

Keeper Automator は、要件に応じて様々な方法で導入することができます。Automatorを使用する最も安価な方法は、Docker Composeメソッドを使用してLinux VMのマイクロインスタンスを使用することです。クラウドサービスのみを使用したい場合は、AWS Container ServiceまたはAzure App Gatewayの方法をお勧めします。

Automatorがインスタンスの再起動後に失敗する(Azure App Gateway使用時)

Azureでコンテナインスタンスを予期せず再起動した後、コンテナが新しいIPアドレス(たとえば、App Gatewayがもともとバックエンドプールでx.x.0.4のIPでプロビジョニングされていた場合でも、x.x.0.5)でバックアップされることがあります。バックエンドプールのコンテナのIPを更新すると、この問題は解決します。

  • Azure クラウドシェルで、現在の IP を取得する。

az container show --name keeperautomatorcontainer --resource-group 
keeper_automator_rg --query ipAddress.ip --output tsv

  • Azure ポータルで Resource groups > > $your_resource_group > your Application Gateway > Backend pools > change Target IPを上記の新しいものに変更する。

SSOクラウド証明書の更新

KeeperのSSO証明書は毎年8月に失効します。新しい証明書は管理コンソールにログインすることで利用可能です。Keeper SP証明書を更新する必要がある場合は、こちらのステップバイステップの手順を参照してください。

SSO Connect オンプレミス証明書

SSO Connect On-Premをご利用のお客様は、SSL証明書を毎年更新する必要があります。更新日はSSL証明書の有効期限によって異なります。SSL証明書のエラーが表示される場合は、こちらの手順に従って証明書を更新してください。

Commanderスクリプトやコーディングに関する質問

Secrets Manager

Keeper Connection Manager

PreviousAndroidNextウェブボルト + デスクトップアプリケーション

Last updated