LastPassデータのインポート
LastPassボルトと共有フォルダの自動移行
概要
このドキュメントでは、LastPassデータをKeeperに自動的かつシームレスに移行する手順を説明します。Keeperは、マスターパスワード、Okta/Azure/Googleとの連携SSO、MFAを含むLastPassボルトの自動インポートに対応しています。
LastPassからKeeperに転送可能なデータ:
パスワードの転送
フォルダの転送
共有フォルダの転送
共有フォルダ権限 (ユーザーとチーム) の転送
カスタムフィールド、TOTPシードの転送
ファイル添付の転送
概要
LastPassからKeeperに組織全体をインポートする推奨手順は、以下のとおりです。
管理者が、共有フォルダとチームのデータのメンバーシップをjsonファイルにダウンロードします。
管理者が、共有フォルダと非共有パスワードをインポートします。
管理者が、Keeperにすでに存在するユーザーに共有フォルダのメンバーシップ (アクセス権限を含む) を適用します。
Keeperに参加するユーザーの数が増えるにつれて、管理者は定期的にメンバーシップの適用を継続します。
手順 1. チームと共有フォルダのメンバーシップをダウンロードします
Keeper CommanderでKeeper/LastPassの管理者として、次のコマンドを実行します。
これにより、以下の3つの機能が実行されます。
すべての共有フォルダ情報のダウンロード
チームメンバーシップのダウンロード
共有フォルダのアクセス権限のダウンロード
この手順によって、チームと共有フォルダの構造を含む「shared_folder_membership.json」というファイルがローカルにダウンロードされます。Windowsでのこのファイルの場所は通常、C:\Users\username\shared_folder_membership.jsonです。Linux/Macでは、Commanderを実行する場所にあります。
download-membershipコマンドは、基本的に共有関係を含むローカルファイルを生成します。テキストエディタでこのファイルを編集するだけで、次の手順に進む前に必要なアクセス権限の変更を行うことができます。
手順 2. 共有フォルダをインポートします
Keeper Commanderで、管理者は次のコマンドを実行して、共有フォルダとデータのインポートを実行します。
インポートコマンドを初めて実行すると、LastPassが接続元のデバイスの確認を求めているという以下の通知が表示される場合があります。
LastPassアカウントに関連付けられたメールアドレスを調べて、「確認(verify)」をクリックし、KeeperがLastPassアカウントの記録にアクセスできるようにします。
importコマンドで、通常のフォルダ、共有フォルダ、およびフォルダ内の記録を移行して読み込みます。これにより、LastPass内の_他の_ユーザーの個人用フォルダがインポートされることは「ありません」。この手順では、管理者がアクセスできる情報のみがインポートされます。
記録タイプのマッピング
ご利用のEnterprise環境で記録タイプが有効になっている場合、入力されたLastPassの項目は、記録タイプが一致するKeeperの記録として自動的にインポートされます。
LastPassの項目のタイプとそれに対応するKeeperの記録タイプは下記の表をご参照ください。
| LastPassの項目のタイプ | Keeperの記録タイプ |
|---|---|
Bank Account (銀行口座) | Bank Account (銀行口座) |
Credit Card (クレジットカード) | Bank Card (銀行カード) |
Address (住所) | Address (住所) |
Driver's License (運転免許) | Driver's License (運転免許) |
Passport (パスポート) | Passport (パスポート) |
Social Security (社会保障) | SSN Card (SSNカード) |
Health Insurance (健康保険) | Health Insurance (健康保険) |
Insurance (保険) | Health Insurance (健康保険) |
Membership (メンバーシップ) | Membership (メンバーシップ) |
Email Account (メールアカウント) | Login (ログイン) |
Instant Messenger (インスタントメッセンジャー) | Login (ログイン) |
Database (データベース) | Database Credentials (データベースクレデンシャル) |
Server (サーバー) | Server Credentials (サーバーのクレデンシャル) |
SSH Key (SSH鍵) | SSH Keys (SSH鍵) |
Software License (ソフトウェアライセンス) | Software License (ソフトウェアライセンス) |
Keeperの記録タイプの詳細については、記録タイプをご参照ください。
共有権限
LastPassでフォルダが別のユーザーまたはチームと共有されている場合、インポートによって、名前の同じKeeperチームとメールアドレスの同じKeeperユーザーに同じ共有アクセス権限が適用されます。
共有フォルダのアクセス権限は、最初のインポート後に新しいKeeperユーザーまたはチームが追加された場合に、再適用/適用できます。
手順 3. 共有フォルダとチームのメンバーシップを適用します
LastPassからインポートしたパスワードに共有アクセス権限を割り当てるには、apply-membershipコマンドを使用します。
これにより、手順1の「shared_folder_membership.json」というファイルが読み込まれ、Keeper Enterprise環境に存在するすべてのユーザーとチームに共有フォルダへのアクセス権限が適用されます。このコマンドを繰り返し実行しても問題はなく、重複が生じることはありません。
説明: SSOまたは招待プロセスによってユーザーが招待/作成されると、公開鍵が作成されます。そのため、Keeperによってメンバーシップが適用されるのは、ユーザーが存在するようになってからとなります。
このため、Keeper管理者は、毎日、毎時、またはKeeperでユーザーを作成した際は必要に応じて「apply-membership」コマンドを実行する必要があります。
ユーザーがKeeperに移行するとすぐに通知を受け取りたい場合は、Keeper管理コンソールの高度なレポートとアラートモジュールを使用して、ユーザー作成時のアラートを設定します。
手順 4. Keeper Desktopを使用してエンドユーザーを移行します
Keeper管理者は、以下のいずれかの方法でユーザーを招待します。
SSOログインによるジャストインタイムプロビジョニング
管理コンソールを使用した招待
SCIM
ユーザーを登録してボルトを作成すると、公開鍵と秘密鍵のペアが生成されます。この時点で、次の手順で説明するように、共有フォルダにアクセスできるようになります。
LastPassのユーザー個人のフォルダと記録を転送するには、Keeper Desktopアプリケーションをインストールするようにユーザーに指示することをお勧めします。
公開/最新バージョンへのリンクは以下のとおりです。
共有フォルダへのアクセス
ユーザーが自分のKeeperボルトを作成すると、チームやフォルダに追加できます。次回管理者がapply-membershipコマンドを実行すると、新しいKeeperユーザーは自分の共有フォルダにアクセスできるようになります。
Keeperに登録されるユーザー数が増えるにつれて、apply-membershipを繰り返し実行できます。これにより、Keeperに存在するユーザーにメンバーシップが適用されます。
手順が多いため、組織全体に展開する前に、少数のユーザーでパイロットテストを実行することをお勧めします。
ご不明な点がございましたら、Keeperセールスエンジニアまたはcommander@keepersecurity.comまでメールでお問い合わせください。
高度な機能
共有用のメールドメインの変換
LastPassのメールドメインが変更されたため、共有アクセス権限を転送する際に新しいメールドメインに移行したい場合は、--old-domainおよび--new-domainオプションパラメータが使用できます。 以下に例を示します。
インポートされた共有フォルダのアクセス権限の上書き
LastPassのdownload-membershipは、LastPassユーザーの共有フォルダのアクセス権限をKeeperの共有フォルダに適用しますが、このアクセス権限の設定はメンバーシップのダウンロード中に上書きできます。
インポートされたすべての共有フォルダのすべてのユーザーの「記録管理」権限および「ユーザー管理」権限を上書きするには、--permissionsまたは--restrictionsのオプションを使用します。
--permissionsは、インポートされたすべての共有フォルダのすべてのユーザーのアクセス権限を許可します。
--restrictionsは、インポートされたすべての共有フォルダのすべてのユーザーのアクセス権限を拒否します。
「記録管理」の設定には、rを、「ユーザー管理」の設定には、uを、両方の設定には、ruを指定します。
最上位フォルダを共有フォルダとしてインポート
オプションで、--sharedフラグと--permissions=<PERMISSIONS>フラグを渡すことにより、すべての最上位フォルダを指定したアクセス権限を持つ共有フォルダにできます。
使用可能なアクセス権限のオプションは以下のとおりです。
U - ユーザー管理権限を付与
R - 記録管理権限を付与
E - 記録編集権限を付与
S - 共有権限を付与
A - すべてのアクセス権限を付与
N - アクセス権限を付与しない
付与したいアクセス権限に対応する文字を間にスペースや文字を入れずに指定します。
添付ファイルのキャッシュ
添付ファイルはインポート中にキャッシュできるため、別のインポートを実行する場合に再度ダウンロードする必要はありません。
ファイルキャッシュを使用してインポートを実行するには、--file-cache <DIR>フラグを追加します。 キャッシュとして使用するディレクトリを指定します。
次のインポートでキャッシュを使用するには、同じディレクトリで--file-cacheフラグを適用します。
キャッシュされた添付ファイルは暗号化されます
記録のサイズ制限
Keeperの記録のサイズ制限は5MBです(添付ファイルを除く)。LastPassの記録がこの制限より大きい場合、記録が制限より小さくなるまで、まず最大のフィールドからテキストファイルに変換されます。
作成された添付ファイルには、次の形式で名前が付けられます。
<title of field>_<type of field>_field.txt
たとえば、「Instructions」というタイトルの「notes」フィールドは、次のタイトルの添付ファイルに変換されます。
Instructions_notes_field.txt
指定したフォルダにインポート
LastPassボルトの内容は、Keeperボルトの指定したフォルダにインポートできます。 インポートするには、--folderオプションを使用します。
指定したLastPassフォルダからインポート
--filter-folderオプションを使用して、LastPassボルトのインポートをLastPassの特定のフォルダに制限できます。これにより、LastPassのデータがLastPass側の特定のフォルダのデータのみに選別されます。
重複の検索
インポート後にボルト内の記録が重複している可能性がある場合は、Commanderのfind-duplicate機能を使用して重複記録を検索できます。
たとえば、タイトル、ログイン、パスワードに基づいて重複を検索する場合は、次のようになります。
このレポートの出力から、「rm」コマンドを使用して削除するUID記録のリストを収集できます。
最終更新
