エンタープライズ管理コマンド
管理コンソールおよびエンタープライズ管理機能に関連するコマンド
コマンド
Keeperコマンドリファレンス
対話型シェル、CLI、JSON設定ファイルのいずれを使用する場合でも、以下のコマンドがサポートされており、各コマンドでは追加のパラメータとオプションがご利用になれます。
特定のコマンドのヘルプを表示するには、次のコマンドを実行します。
help <command>
エンタープライズ管理コマンド
企業情報を表示します
企業ユーザーを管理します
企業のロールとポリシーを管理します
企業チームを管理します
企業ノードを管理します
ユーザーとチームのボルトに指定したレコードを格納します
企業データをダウンロードして復号化します
SCIMまたはActive Directory Bridgeによってプロビジョニングされた実行待ちのチームとユーザーを承認します
エンドユーザーから保留中のSSO Cloudデバイスを承認します
ユーザーとボルトを新規作成し、そのユーザーのクレデンシャルを使用して、現在のボルトにレコードを追加します
アカウントを別のユーザーに移管します
デバイス承認用SSO Cloud Automatorを管理します
SCIMエンドポイントを管理します
監査アラートを管理します
enterprise-infoコマンド
コマンド: enterprise-infoまたはei
詳細: ツリー構造で企業に関する情報を表示します。
パラメータ:
検索するテキスト。ユーザー、チーム、ロールに適用できます。
スイッチ:
-n、--nodes ノードを表示します。
--node <ノード> 指定したノードのツリー構造を表示します。
-u、--users ユーザーリストを表示します。
-t、--teams チームリストを表示します。
-r、--roles ロールリストを表示します。
-v、--verbose 出力なしでIDを表示します。
--format <{table, csv, json}> 出力の表示形式。
table - 情報を表形式で表示します。
csv - 情報をCSV形式で出力します。
json - 情報をJSON形式で出力します。
--output <出力ファイル> 出力を書き出すファイル。
--columns <列> 出力に含める列。 カンマ区切りリストで指定します。 使用可能な列は、表示するデータの種類によって異なります。
ユーザー
name
status
transfer_status
node
team_count
teams
role_count
roles
alias
2FA status
チーム
restricts
node
user_count
users
queued_user_count
queued_users
ロール
is_visible_below
is_new___user
is_admin
node
user_count
users
Nodes
parent_node
user_count
team_count
teams
role_count
roles
provisioning
例:
enterprise-info
ei "John Doe" --users
ei --teams --format csv --output teams.csv
ei --roles --columns is_admin,user_count
ei --node "Keeper Security"企業名とノード構造を表示します。
「John Doe」という名前のユーザーがいないか企業を検索します。
社内のチームのリストをCSVファイルに出力します。
ロールのリストを表示します。ただし、表示するのは、管理者ロールであるか否かとロールに属するユーザー数のみです。
「Keeper Security」という名前のノードから始まるノードのツリー構造を表示します。組織全体のノードツリーを表示するには、このルートノードを指定します。
enterprise-userコマンド
コマンド: enterprise-userまたはeu
詳細: 企業のユーザーを管理します。
パラメータ:
ユーザーのUIDまたはメールアドレス。
注意: 以下のコマンドを使用して、企業のユーザーのリストを表示できます。
ei --users
スイッチ:
--expire ユーザーのマスターパスワードを失効させます。
--extend ボルトの移管に対する同意を7日間延長します。次の疑似ユーザー@allをサポートします。
--lock ユーザーアカウントをロックします。
--unlock ユーザーアカウントのロックを解除します。次の疑似ユーザー@allをサポートします。
--disable-2fa ユーザーの2FAを無効にします。
--add 指定したメールアドレスを招待して、社内にボルトを作成します (パラメータとしてはメールのみ使用可能)。
--invite 指定したメールアドレスに招待を送信します。以前に招待したユーザーに送信できます。
--delete 企業からユーザーを削除します。これにより、所有しているレコードと他のユーザーと共有しているレコードの両方がすべて削除されますのでご注意ください。
--name <名前> ユーザーの表示名として使用する名前を設定します。
--node <ノード名またはUID> 指定した名前またはUIDを持つノードにユーザーを追加します。ノードのリストを表示するには、enterprise-info --nodesを使用します。
--add-role <ロール名またはUID> 指定した名前またはUIDを持つロールにユーザーを追加します。ロールのリストを表示するには、enterprise-info --rolesを使用します。次の疑似ユーザー@allをサポートします。
--remove-role <ロール名またはUID> 指定した名前またはUIDを持つロールからユーザーを削除します。
--add-team <チーム名またはUID> 指定した名前またはUIDを持つチームにユーザーを追加します。チームのリストを表示するには、enterprise-info --teamsを使用します。
--remove-team <チーム名またはUID> 指定した名前またはUIDを持つチームからユーザーを削除します。チームのリストを表示するには、enterprise-info --teamsを使用します。
--add-alias <メールアドレス> メールアドレス形式のエイリアスをユーザーに追加します。追加されたエイリアスは、ユーザーの「プライマリ」メールになります。既存のエイリアスにこのコマンドを適用すると、そのエイリアスがプライマリとして設定されます。このコマンドは予約されたドメインでのみ許可されることにご注意ください。
--delete-alias <メール> ユーザーのメールエイリアスを削除します。
-f、--force 確認メッセージを表示しません。
-v、--verbose IDなどのデータを含むデバッグ出力。
例:
enterprise-user John.Doe@gmail.com
eu 20379619819523 --node Chicago --add-team "Chicago Engineering"
eu add Jane.Doe@gmail.com
eu 19819523203796 --lock
eu --add-alias new.name@company.com old.name@company.com
eu --add-role Employee @allユーザー「John.Doe@gmail.com」の詳細を表示します。
指定されたUIDを持つユーザーをChicagoノードと「Chicago Engineering」チームに追加します。
「Jane.Doe@gmail.com」に招待を送信して、社内でボルトを開きます。
指定したUIDのアカウントをロックします。
名前を変更したユーザーのエイリアスを追加して、プライマリに設定します。
すべての企業ユーザーを「Employee」ロールに追加します。
enterprise-roleコマンド
コマンド: enterprise-roleまたはer
詳細: 企業のロールまたは強制ポリシーを管理します。
使用法: er <ロール>
パラメータ:
<ロール> ロール名またはUID。スペースで区切って複数設定できます。
スイッチ:
--add 企業に新しいロールを追加します。
--delete ロールを削除します。
--add-user <ユーザー名またはUID> ロールにユーザーを追加します。--addと一緒に使用します。
--remove-user <ユーザー名またはUID> ロールからユーザーを削除します。
--visible-below <{on,off}> ロールをその下のロールに対して表示または非表示にします。
--new-user <{on,off}> 新しいユーザーをこのロールに割り当てます。
--node <ノード名またはUID> ロールを追加するノード。
--name <名前> ロールに名前を付けます。
--add-admin <ノード> ロールで管理するノードを追加します。
--remove-admin <ノード> ロールで管理するノードを削除します。
--cascade <{on,off}> --add-adminと一緒に使用して、ユーザーを管理者として子ロールにも割り当てます (「on」の場合)。
--enforcement <ポリシー>: <値>、--enforcement <ポリシー>: $FILE=<PATH TO FILE WITH VALUE> 指定したロールの強制ポリシーを設定します (文字のポリシー値 (「True」、「e」、10 など)、またはその値を含むファイルへの参照を使用します)。下の表の2番目のタブで、使用可能な強制ポリシーのリストを参照してください。
--copy 属するユーザーのないロールを複製します。
--clone 元のユーザーと同じユーザーが属するロールを複製します。
--add-team、-at <チーム名> 指定したロールにチームを追加します。
--add-privilege、-ap <権限名> ロールに管理者権限を追加します。
--remove-privilege、-rp <権限名> ロールから管理者権限を削除します。
-v、--verbose 出力なしでIDを表示します。
-f、--force 確認のプロンプトを表示せずに強制的に実行します (非対話モード)。
例:
enterprise-role "Keeper Administrator"
er 20379621916672 "Engineer Team Lead"
er --add Onboarding --new-users
er 20379621916672 --add-admin "John.Doe@gmail.com" --cascade yes
er PM --name "Product Manager"
er 20379619819524 20379619819525 20379621916672 --Node Chicago
er 20379619819524 --copy --Node Chicago「Keeper管理者」ロールの詳細を表示します。
指定したUIDのロールと「Engineer Team Lead」ロールの詳細を表示します。
「Onboarding」という名前の新しいロールを追加し、このロールに新しいユーザーを自動的に割り当てます。
ユーザーJohn Dowを指定したUIDのロールとすべての子ロールの管理者にします。
「PM」ロールの名前を「Product Manager」に変更します。
指定したUIDの3つのノードを「Chicago」ノードに追加します。
「Chicago」ノードにロールのコピーを作成します。
ロールの強制の変更
指定したロールの強制ポリシーを編集するには、--enforcementスイッチを使用します。 ポリシーのキーと対応する値をスイッチに渡して、強制設定を変更します。
enterprise-role ROLE --enforcement "POLICY:VALUE"または、ロール強制ポリシーを外部ファイルで指定された値に設定します。
enterprise-role ROLE --enforcement "<POLICY>:$FILE=<PATH_TO_FILE_WITH_POLICY_VALUE>"「Engineering」ロールをインポートレコードへのアクセスに制限する例。
enterprise-role Engineering --enforcement "RESTRICT_IMPORT:True"enterprise-teamコマンド
コマンド: enterprise-teamまたはet
詳細: 企業チームを管理します。
パラメータ:
チーム名またはID
注意: 以下のコマンドを使用して、企業内のチームのリストを表示できます。
ei --teams
スイッチ:
--add 企業に新しいチームを追加します。
--delete チームを削除します。
--add-user <ユーザー名またはUID> チームにユーザーを追加します。
--remove-user <ユーザー名またはUID> チームからユーザーを削除します。
--node <ノード名またはUID> チームを追加するノード。
--name <名前> チームに名前を付けます。
--approve 実行待ちのチームを承認します。実行待ちのチームは通常、暗号化鍵の作成を必要とするSCIM要求によって生じます。そのため、管理者が管理コンソールにログインするか、またはこのコマンドを実行するまで、実行待ち状態のままになります。
--restrict-edit <{on,off}> このチームのユーザーのレコードの編集可否を設定します。
--restrict-share <{on,off}> このチームのユーザーのレコードの共有可否を設定します。
--restrict-view <{on,off}> このチームのユーザーのレコードのパスワードの表示可否を設定します。
--hide-shared-folder、-hsf <{on,off}> このチームのユーザーの共有フォルダの表示可否を判別するフラグ。
--add-role、-ar <ロール名> 指定したチームにロールを追加します。
-v、--verbose 出力なしでIDを表示します。
例:
enterprise-team "Chicago Engineering"
et "Chicago Engineering" Legal
et --add "Chicago Product" --node Chicago --restrict-edit on
et 20379619819524 --name "El Dorado Hills Engineering"「Chicago Engineering」チームの詳細を表示します
「Chicago Engineering」チームと「Legal」チームの詳細を表示します
「Chicago」ノードに「Chicago Product」という名前の新しいチームを追加し、そのチームに属するユーザーがレコードを編集できないように制限します
指定したUIDのチームの名前を「El Dorado Hills Engineering」に変更します
enterprise-nodeコマンド
コマンド: enterprise-nodeまたはen
詳細: 企業ノードを管理します
パラメータ:
ノード名またはUID
注意: 以下のコマンドを使用して、企業内のノードのリストを表示できます。
ei --nodes
スイッチ:
--add 企業に新しいノードを追加します
--delete ノードを削除します。このスイッチは、ノードのすべてのオブジェクトが削除されるまで実行されないことにご注意ください。
--parent <ノード名またはUID> 指定したノードをこのノードの親にします
--name <名前> ノードの表示名を設定します
--wipe-out ノードの下のすべてのノード、ロール、ユーザー、チームを削除します。ノード自体は削除されません。このコマンドの使用にはご注意ください。
--toggle-isolated 他のノードのユーザーに対してノードを表示または非表示にします
--invite-email <ファイル名> ファイルから招待メールのテンプレートを設定します。ファイルが存在しない場合は、現在のテンプレートを保存します。dash (-) は標準出力に書き出します。以下のカスタムメールセクションをご参照ください。
--logo-file <ファイル名> ローカル画像ファイルを使用して会社およびノードのロゴを設定します (最大サイズ: 500 KB、最小: 10x10、最大: 320x320)
例:
enterprise-node Chicago
en Chicago "El Dorado Hills" 20379619819524 --parent NA
en --add Cork --parent EMEA
en APAC --wipe-out
en Chicago --toggle-isolated
en --logo-file ~/chicago_logo.jpg Chicago「Chicago」ノードの詳細を表示します。
3つのノード:「Chicago」、「El Dorado Hills」、指定したUIDを持つノードの親ノードをノード「NA」に変更します。
「EMEA」ノードの下に「Cork」という名前の新しいノードを追加します。
「APAC」ノードの下からすべてのノード、ロール、ユーザー、チームを削除します。
他のノードのユーザーに対し、「Chicago」ノードを非表示 (現在表示されている場合) または表示 (現在表示されていない場合) に変更します。
現在のユーザーの$HOMEディレクトリにある「chicago_logo.jpg」ファイルを「Chicago」ノードのロゴ画像として使用して、招待メールとボルトUIの見た目をカスタマイズします。
カスタムメール
--invite-emailスイッチを使用すると、ノードごとにカスタムメールテンプレートを設定できます。
管理コンソールでメールテンプレートをカスタマイズする方法と同様に、CLIを使用したカスタムメールテンプレートでも、以下の4つの属性のカスタマイズがサポートされます。
件名
メッセージの見出し
メッセージ本文
ダウンロードボタンのテキスト
カスタムメールテンプレートは、以下の形式の.txtファイルで定義できます。
[Subject]
//メールの件名行テキストを挿入します
[Heading]
//ここにメールメッセージの見出しテキストを挿入します
[Message]
//ここにメールメッセージの本文テキストを挿入します
[Button Text]
//ここにダウンロードボタンのテキストを挿入します カスタムメールの使用事例
シカゴと東京に会社の支店があり、それぞれのノードがChicagoとTokyoであると想定します。理想的には、招待メールは以下のようにそれぞれの言語で作成したいところです。
シカゴ支店に送信される招待メールは、英語で作成します。。
東京支店に送信される招待メールは、日本語で作成します
--invite-emailスイッチを使用すると、ノードごとに適切なメールテンプレートを設定できます。
まず、ChicagoとTokyoの各支店のカスタムメールテンプレートを定義します。
次に、各ノードに適切なメールテンプレートを設定します。
en Chicago --invite-email="C:\user\emailTemplates\emailChicago.txt"
en Tokyo --invite-email="C:\user\emailTemplates\emailTokyo.txt"招待メールを送信する際、ユーザーは支店の場所に応じて以下のメールを受信します。
enterprise-pushコマンド
コマンド: enterprise-push
詳細: ボルトにデフォルトのレコードセットを格納します。
パラメータ:
テンプレートのレコードを含むファイルのファイル名。 ファイルはJSON形式である必要があります。
スイッチ:
--syntax-help ファイル形式の例とテンプレートのパラメータを表示します。
--team <チーム名またはUID> レコードを割り当てるチーム。
--email <ユーザーのメールまたはUID> レコードを割り当てるユーザー。
例:
enterprise-push office-codes.json --team "Chicago Office"
enterprise-push default.json --email Jane.Doe@gmail.com
enterprise=push --syntax-help「office-codes.json」ファイルでテンプレート化されたレコードを「Chicago Office」チームのすべてのユーザーに送信します。
「default.json」ファイルでテンプレート化されたレコードをユーザー「Jane.Doe@gmail.com」に送信します。
構文のヘルプを表示します。
ファイル形式
「enterprise-push」コマンドは、Keeper JSONレコードインポート形式を使用します。
JSONファイルの例:
[
{
"title":"Google",
"login": "${user_email}",
"password": "${generate_password}",
"login_url": "https://google.com",
"notes": "",
"custom_fields": {
"Name 1":"Value 1",
"Name 2":"Value 2"
}
},
{
"title":"Admin Tool",
"login": "${user_email}",
"password": "",
"login_url": "https://192.168.1.1",
"notes": "",
"custom_fields": {
}
}
]サポートされているテンプレートパラメータ
${user_email} ユーザーのメールアドレス
${generate_password} ランダムパスワードを生成
${user_name} ユーザーのフルネームJSONデータをエクスポートして、テンプレートを作成する手順は以下のとおりです。
「Templates」など、テンプレートを格納する空のフォルダを作成します。
そのフォルダにレコードを作成します。
以下のコマンドを使用してそのフォルダをJSONとしてエクスポートします。
export --format=json --folder=Templates templates.jsonオプション: JSONファイルを編集して、
enterprise-pushコマンドで使用しない「uid」、「schema」、「folders」の各プロパティを削除します。
テンプレートJSONファイルは、レコードの配列、またはレコードの配列で構成されるプロパティ「records」を含むオブジェクトのいずれかである必要があります。
enterprise-downコマンド
コマンド: enterprise-downまたはed
詳細: 企業データをローカルにダウンロードして復号化します。
コマンダーのアクティブなインスタンスが実行中で、管理コンソールまたはコマンダーの別のインスタンスに変更が加えられた場合、enterprise-downコマンドを使用して、最新の企業データをローカルにダウンロードして復号化できます。
例:
アクティブなコマンダーセッションの実行中に管理コンソールに新しいユーザーが追加された場合、実行中のコマンダーセッションで以下のコマンドを実行すると、最新の変更がローカルにダウンロードされて復号化されます。
enterprise-downteam-approveコマンド
コマンド: team-approve
詳細: チームの自動承認またはチームに対するユーザーの自動承認を有効または無効にします。
KeeperブリッジやSCIMなどのプロビジョニングメソッドを使用する場合、ボルトをまだ有効化していない新しいチームとユーザーは、承認待ちになります。 このコマンドを使用して、プロビジョニングされたチームまたはユーザーの自動承認を有効または無効にします。
スイッチ:
--team チームを承認します。
--email チームのユーザーを承認します。
--restrict-edit <{on, off}> 承認されたチームのレコードの編集を制限または許可します。
--restrict-share <{on, off}> 承認されたチームのレコードの共有を制限または許可します。
--restrict-view <{on, off}> 承認されたチームのレコードのパスワードの表示を制限または許可します。
例:
enterprise-down
team-approve --team
team-approve --email
team-approve --team --restrict-edit onエンタープライズチームの保留中の承認をすべて同期します。
プロビジョニングが完了して承認待ちのチームを自動的に承認します。
プロビジョニングが完了して承認待ちのユーザーを自動的に承認します。
プロビジョニングが完了して承認待ちのチームを自動的に承認しますが、それらのチームに属するユーザーにレコードの編集は許可しません。
device-approveコマンド
コマンド: device-approve
詳細: クラウドSSOデバイスを承認します。
パラメータ:
承認するユーザーのメールもしくはデバイスID、または保留中のデバイスのリストを表示する場合は空白。
スイッチ:
-r、--reload 現在の保留中の承認リストを再読み込みします。
-a、--approve 指定したユーザーメールのデバイスまたはデバイスIDを承認します。
-d、--deny 指定したユーザーメールのデバイスまたはデバイスIDを拒否します。
--trusted-ip 信頼できるIPアドレスのデバイスを承認します。
--format <{table, csv, json}> 出力の表示形式。
--output <ファイル名> 出力の送信先ファイル (jsonまたはcsv形式を使用する必要があります)
例:
device-approve
device-approve John.Doe@gmail.com --approve
device-approve --reload
device-approve --output device_approvals.csv --format csv保留中の要デバイス承認リストを表示します。
ユーザー「John.Doe@gmail.com」を承認します。
保留中の要デバイス承認リストを更新します。
保留中の要デバイス承認リストをcsv形式でファイルに書き込みます。
create-userコマンド
コマンド: create-user
詳細
現在のKeeperボルトに指定したメールアドレスの新しいアカウントとボルトを作成し、新しいユーザーのクレデンシャルのレコードを作成します。
パラメータ:
ユーザーのメールアドレス
スイッチ:
--name <名前> ユーザー名。
--node <ノード> ユーザーを追加するノードの名前またはID。
--record <レコードUID> 新しいアカウントのパスワードを格納するレコードのUID。
--folder <フォルダ名かUID> 作成したユーザークレデンシャルを格納するフォルダ。
例:
create-user John.Doe@gmail.com
create-user John.Doe@workplace.com --name "John Doe" --node ChicagoJohn.Doe@gmail.comの新しいユーザーアカウントとボルトを作成します。
John DoeにKeeperへの参加依頼を送信し、新しいユーザーに「John Doe」という名前を付けて、「Chicago」ノードに追加します。
create-userコマンドによるオンボーディング
create-userコマンドを使用してKeeperアカウントに新しいユーザーを作成すると、新しいユーザーのユーザー名と一時パスワードを使用して、現在ログインしているアカウントにレコードが作成されます。 新しいレコードが作成されると、ワンタイム共有URLを使用して新しいユーザーと共有できます。
My Vault> create-user John.Doe@gmail.com
User "John.Doe@gmail.com" credentials are stored to record "Keeper Account:John.Doe@gmail.com"
My Vault> share create "Keeper Account:John.Doe@gmail.com" --expire 7d
https://keepersecurity.com/vault/share#-Rkzr6w[...]wMw3fQ3kM
新しいユーザーは、このURLにアクセスして一時的なクレデンシャルを入手し、最初のログインを実行します。
transfer-userコマンド
コマンド: transfer-user
詳細: アカウントをロックしてから、あるユーザーから別のユーザーにボルトを移管します。
パラメータ:
移管するボルトのメールまたはユーザーID。 スペースで区切って複数指定できます。
スイッチ:
--target-user <ユーザーメールアドレス> ボルトの移管先のユーザーアカウントのメールアドレス。
--force、-f 確認メッセージを表示しません。
アカウント移管は、アカウントまたはアカウントが属するロールに対して有効にする必要があります。
移管されたボルトの内容は、受信者のボルトのフォルダに配置されます。
例:
transfer-user keeperuser1@keepersecurity.com --target-user recipient@keepersecurity.comkeeperuser1@keepersecurity.comのボルトをrecipient@keepersecurity.comに移管します。
ユーザーアカウントの一括移管を実行するには、transfer-user @filenameのコマンドを使用します。これにより、以下のようにFROMとTOのマッピングを含むfilenameという名前のファイルが検索されます。
user1@company.com -> user2@company.com
user3@company.com -> user4@company.comautomatorコマンド
コマンド: automator
詳細: SSOクラウドデバイスオートメーターを設定します。
オートメーターは、顧客サイトで実行されるプログラムで、デバイスの承認やチームの承認の実行など、Keeperの管理作業を実行できます。Keeperオートメーターの詳細については、こちらのページをご参照ください。
パラメータを指定せずにautomatorコマンドを実行すると、利用可能なオートメーターのリストとコマンドヘルプが表示されます。
automator command [target] [--options]
Command Description
=================================================================
list Displays the list of the available automators
create Creates automator
init Initializes automator
view Prints automator details
edit Changes automator configuration
delete Deletes automator
reset Resets automator configuration to the default
enable Enables automator
disable Disables automator
log Retrieves automator logs
clear Clears automator logs
list, create:
'target' parameter is ignored
init, view, edit, delete, reset, start, stop, log, clear:
these commands require 'target' parameter:Automator Name or ID
Option Commands
==================================================================
--node create
--name create, edit
--url edit :Webhook URL
--skill edit : "device" and/or "team"
--set edit :KEY=VALUE
例:
「Cloud SSO Device Approval」という名前のオートメーターを作成します。
My Vault> automator create --name="Cloud SSO Device Approval"
Automator ID:888888888888
Name:Cloud SSO Device Approval
URL:
Enabled:No
Initialized:No
Skills:Device Approvalオートメーターを編集してWebhook URLを設定します。Webhook URLはAutomatorアプリケーションで設定します。
My Vault> automator edit --url="https://automator.company.com:8089" 888888888888
Automator ID: 888888888888
Name: Cloud SSO Device Approval
URL: https://automator.company.com:8089
Enabled: No
Initialized: No
Skills: Device Approval スキル (チーム承認、チームユーザー承認、デバイス承認) は、以下のように「skill」引数で設定できます。
My Vault> automator edit --url https://<application URL> --skill=team --skill=team_for_user --skill=device "My Automator"「setup」、「init」、「enable」コマンドを使用して、オートメーターインスタンスを初期化します。バックエンドでオートメーターが設定され、リクエストを処理する準備ができていることが確認されます。
My Vault> automator setup 888888888888
My Vault> automator init 888888888888
My Vault> automator enable 888888888888 SSOデバイス承認用のKeeperオートメーターの詳細については、オートメーターサービスのページをご参照ください。
scimコマンド
コマンド: scim
詳細: SCIMエンドポイントを設定します。
パラメータを指定せずにscimコマンドを実行すると、利用可能なSCIMエンドポイントのリストとコマンドヘルプが表示されます。
scim command [target] [--options]
Command Description
=================================================================
list Displays the list of SCIM endpoints
create Creates SCIM endpoint
view Prints SCIM endpoint details
edit Changes SCIM endpoint configuration
delete Deletes SCIM endpoint
push Pushes data to SCIM endpoint
list, create
'target' parameter is ignored
view, edit, delete
these commands require 'target' parameter:SCIM endpoint ID
Option Commands
=================================================================
--reload all :Reloads SCIM configuration
--node create :Node ID or Name
--prefix create, edit :Role prefix
--unique-groups create, edit :Unique groups
--force delete :Do not ask for delete confirmation
例:
ノードSCIM NodeのSCIMエンドポイントを作成します。
My Vault> scim create --node="SCIM Node"
SCIM ID:888888888888
SCIM URL: https://keepersecurity.com/api/rest/scim/v2/7777777777777
Provisioning Token: yIiq6Y4FnWtOPtqatUzZH7BI4FaUNhIbwEtDT5esL-g
SCIMエンドポイントの設定を編集します。SCIMエンドポイントを編集すると、新しいプロビジョニングトークンが生成されます。
My Vault> scim edit 888888888888 --prefix="Group_"
SCIM ID:888888888888
SCIM URL: https://keepersecurity.com/api/rest/scim/v2/7777777777777
Provisioning Token:6oykLqC2-d20Sy3N2d-HKZtGzOt63U60rJz8CLagszY
SCIMエンドポイントを削除します。
My Vault> scim delete 820338837203
ALERT!
You are about to delete SCIM endpoint 888888888888
Do you want to proceed with deletion? [y/n]: y
SCIM endpoint "888888888888" at node "7777777777777" deleted
グループおよびユーザーデータをSCIMエンドポイントにプッシュ配信します。
My Vault> scim push 820338837203 --source=google --record=AW6XZoJr8VM3rlFoxW_6rgスイッチ
--source SCIMデータのソース。設定可能な値: google,ad
--record SCIMが設定されたレコードUID。
プッシュ配信用SCIMソースの設定
audit-alertコマンド
コマンド: audit-alert
詳細: 監査アラートを管理します。
パラメータを指定せずにaudit-alertを実行すると、利用可能なアラートのリストとコマンドヘルプが表示されます。
audit-alert command [--options]
Command Description
=================================================================
list Display alert list
view View alert configuration
history View alert history
delete Delete audit alert
add Add audit alert
edit Edit audit alert
reset-counts Reset alert counts
recipient Modify alert recipients コマンド実行に関するヘルプを表示します。
My Vault> audit-alert <command> -hlistオプション
--format {table,csv,json}
format of output
--output OUTPUT path to resulting output file (ignored for "table" format)
--reload reload alert information
My Vault> audit-alert list --reload
My Vault> aa lviewオプション
ALERT Alert ID or Name.My Vault> audit-alert view "Failed Login"
My Vault> aa v 1
Alert ID 1
Alert name Failed Login
Status Enabled
Frequency Every Occurrence
Recipients:
Send To Originator (*) False
Recipient ID 1
Name Administrator
Status Enabled
Email To admin@company.comhistoryオプション
ALERT Alert ID or Name.My Vault> aa h 1
Alert Sent At Occurrences
--------------- -------------
2023-02-10 18:55:00 1deleteオプション
ALERT Alert ID or Name.My Vault> audit-alert delete "Failed Login" addオプション
--name NAME Alert Name.
--frequency FREQUENCY
Alert Frequency. "[N:]event|minute|hour|day"
--audit-event EVENT Audit Event.Can be repeated.
--user USER Username.Can be repeated.
--record-uid RECORD_UID
Record UID.Can be repeated.
--shared-folder-uid SHARED_FOLDER_UID
Shared Folder UID.Can be repeated.My Vault> audit-alert add --name="Failed Login" --frequency=event --audit-event=login_failureeditオプション
ALERT Alert ID or Name.
--name NAME Alert Name.
--frequency FREQUENCY
Alert Frequency. "[N:]event|minute|hour|day"
--audit-event EVENT Audit Event.Can be repeated.
--user USER Username.Can be repeated.
--record-uid RECORD_UID
Record UID.Can be repeated.
--shared-folder-uid SHARED_FOLDER_UID
Shared Folder UID.Can be repeated.My Vault> audit-alert edit --frequency=2:hour reset-countsオプション
ALERT Alert ID or Name.My Vault> audit-alert reset-counts 1 recipientオプション
ALERT Alert ID or Name.
recipient actions:
{enable,disable,delete,add,edit}
enable enables recipient
disable disables recipient
delete deletes recipient
add adds recipient
edit edit recipient
recipient enable、disable、deleteオプション
RECIPIENT Recipient ID or Name.Use "*" for "User who generated event"My Vault> audit-alert recipient 1 enable *
# 「イベントを生成したユーザー」を有効にします
My Vault> audit-alert recipient 1 disable Administrator
# 名前で受信者を無効にします
My Vault> audit-alert recipient 1 delete 1recipient addまたはeditオプション
RECIPIENT Recipient ID or Name. # 編集のみ
--name NAME recipient name
--email EMAIL email address
--phone PHONE phone number. +1 (555) 555-1234
--webhook URL Webhook URL.See https://docs.keeper.io/enterprise-guide/webhooks
--http-body BODY Webhook HTTP Body. @filename to load body from a file
--cert-errors {ignore,enforce}
Webhook SSL Certificate errors
--generate-token Generate new access tokenMy Vault> audit-alert recipient "Failed Login" add --name="Administrator" --email=admin@company.com
# メールの受信者を追加し、「Administrator」という名前を割り当てます
My Vault> aa r 1 edit 1 --name="Admin"
# アラート#1の受信者#1の名前を変更します
My Vault> aa r 1 edit 1 --email= --phone="+1(555)555-1234"
# アラート#1の受信者#1をメールからSMS通知に変更します最終更新