機能: 自動化コマンド

認証情報のプロビジョニングを自動化

アカウント作成、パスワードローテーション、認証情報の配布までを単一のコマンドで実行できます。設定は一度行うだけで、手動実行にも既存のHRシステムやIGAプラットフォームとの連携による自動実行にも対応します。

無料トライアルを始める

Keeperのターミナル出力に、PAM認証情報のプロビジョニング、ADグループへの割り当て、パスワードローテーション、レコードの共有が正常に完了したことが表示されている。

自動化コマンドの仕組み

設定

ユーザー情報、対象アカウント、ボルトフォルダ、ローテーションスケジュール、認証情報の配布方法などを含むプロビジョニング設定をYAMLファイルで定義。

作成

Keeperは、Active DirectoryまたはMicrosoft Entra IDにユーザーアカウントを作成。適切なグループに割り当てたうえで、認証情報をボルト内のPAMユーザーレコードとして保存します。

ローテーション

複雑性要件を満たす安全なパスワードを生成し、対象アカウントに即座に適用。以降は、設定したスケジュールに従って自動的にローテーションされます。

配布

認証情報は、ボルトからの直接共有や一度限り有効なメールリンク、あるいはその両方を利用して受信者に配布可能。有効期限やアクセス権限も柔軟に設定できます。

統合

REST APIを利用したワークフロー全体の自動実行と、HRシステムやIGAプラットフォームとのシームレスな連携。新しい従業員が追加されると、新規アカウントが自動的に作成されるため、手作業は不要です。

プロビジョニングを単一のコマンドで実現

認証情報プロビジョニングコマンドにより、これまで複数の手順を必要としていた作業を自動化できます。人的ミスを防止し、オンボーディングを常に一貫した形で実施できます。

Keeper PAM user record for John Smith showing AD login, masked password, daily rotation schedule, and distinguished name

ADおよびEntra IDでのアイデンティティ作成

Keeperゲートウェイを介して、Active DirectoryやMicrosoft Entra IDにユーザーアカウントを直接作成。Keeperゲートウェイは、受信側ファイアウォールの変更を必要とせずにディレクトリへのアクセスを仲介するアウトバウンド専用の接続コンポーネントであり、グループへの割り当ても自動的に実行されます。

パスワードの自動ローテーション

新しい認証情報に対するパスワードローテーションを設定し、即座に実行可能。CRON式、毎週、毎日など、運用要件に応じたスケジュールで自動実行できます。

Keeperのパスワードローテーション設定画面に、マスクされた強力なパスワード、毎日午前2時 (CDT) のローテーションスケジュール、および3時間前の最終ローテーション時刻が表示されている。

Keeperボルトのフォルダに、ドメイン管理者、MySQL管理者、ローテーションユーザー、ジョン・スミスのアカウントなど、ADユーザーアカウントのレコードが表示されている。

PAMユーザーレコードの作成

指定したフォルダーパスにPAMユーザーレコードを作成してボルトに保存。部門、チーム、その他任意のフォルダー構成に応じて整理できます。

認証情報の安全な配布

認証情報は、メールで送信されるワンタイム共有リンク、Keeperボルトへの直接共有、またはその両方を通じて受信者に配布可能。特権アカウントや機密性の高いアカウントには、ボルトへの直接共有を推奨します。

Keeper one-time share dialog with a 1-hour expiration, single-device access notice, edit permission option, and Create Link button

インスタンスサイズ、AWSリージョン、レプリカ数、オートスケーリング設定、REST API配信設定を定義したYAMLプロビジョニング設定が表示されている。

YAMLによる設定

すべてのプロビジョニング設定を単一のYAMLファイルで定義。ファイルパス、Base64文字列、REST API経由で指定できるため、自動化されたワークフローにも柔軟に組み込めます。

REST API対応

はい。自動化コマンドは、Active Directory、Microsoft Entra ID、AWS、GCPに対応しています。Microsoft Entra IDやクラウド環境を利用している場合は、Active Directory固有の設定項目を省略できます。また、KeeperコマンダーのService Mode REST APIを利用することで、Workday、SailPoint、ConductorOne、Aqueraなどのアイデンティティガバナンスプラットフォームからプロビジョニングを実行できます。

KeeperがAPIサービス、ngrok、クラウドサービスと連携している構成を示すAPI統合図。

代表的な利用シーン

新入社員のオンボーディング

新しい従業員が登録されると、HRシステムからプロビジョニングが自動的に実行。認証情報は初出社前に配布されます。

管理者アカウントの作成

グループ割り当て、パスワードローテーション、適切なボルトへの配布を含む特権ADサービスアカウントを、手作業なしで作成。

セルフサービスによるパスワードリセット

パスワードローテーション、ワンタイム共有リンクの生成、ユーザーへのメール送信まで、パスワードリセットの一連のプロセスを自動化。

クラウドIAMのプロビジョニング

オンプレミスのADに加え、AWS IAM、Microsoft Entra ID、GCPにも対応。同じコマンドと設定構造で一貫した運用を実現できます。

よくある質問

自動化コマンドはActive Directoryなしでも利用できますか？

はい。自動化コマンドは、Active Directory、Microsoft Entra ID、AWS、GCPに対応しています。Microsoft Entra IDを単独のIDプロバイダとして利用している場合は、Active Directory固有のフェデレーション設定を省略できます。

ディレクトリ内にユーザーが既に存在する場合はどうなりますか？

自動化コマンドは、処理を実行する前に既存アカウントとの重複を確認します。一致するユーザーが見つかった場合は、重複アカウントを作成せずに処理を停止し、競合があることを通知します。

本番実行前に設定内容をテストできますか？

はい。--dry-run フラグを使用すると、アカウントやレコードの作成、メールの送信を行うことなく、YAMLファイルの内容を検証し、設定に問題がないかを確認できます。

メール配信とボルトへの直接共有の違いは何ですか？

ボルトへの直接共有では、レコードが受信者の既存のKeeperボルト内に保存され、認証済みの対象ユーザーのみがアクセスできます。一方、メール配信では、Keeperアカウントがなくても認証情報を復号できるワンタイム共有リンクが送信されるため、外部の受信者や、まだKeeperボルトを設定していないユーザーへの配布に適しています。ワンタイム共有リンクには有効期限が設定されており、期限が過ぎると自動的に無効になります。特権アカウントについては、より安全性の高いボルトへの直接共有を推奨します。なお、両方の配布方法を同じYAMLファイル内で設定でき、それぞれ独立して実行されます。

プロビジョニングワークフローの一部が失敗した場合はどうなりますか？

ゲートウェイに接続できない場合やパスワードローテーションが完了しない場合など、処理のいずれかのステップでエラーが発生すると、構造化された出力ログに失敗したステップとその原因が記録されます。ワークフローが一部のみ完了した場合でも、そのまま成功として扱われることはありません。各ステップの実行結果が個別に報告されるため、問題箇所を迅速に特定して対処できます。

コマンド実行後に処理内容を確認できますか？

はい。実行のたびに構造化された出力が生成され、アカウント作成、グループ割り当て、ローテーションの実行状況、認証情報の配布結果など、各ステップの内容が記録されます。出力形式はプレーンテキストまたはJSONから選択でき、結果の利用方法に応じて使い分けられます。