<h2 id="1.-%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" data-line="0" class="code-line">
<a class="header-anchor-link" href="#1.-%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> 1. はじめに</h2>
<p data-line="2" class="code-line">Keeperは、セキュリティを理由に新規デバイスの場合等で管理者による承認が必要となります。<br>
本記事では、Keeperオートメーターサービスを使わずに、X秒ごとに承認を実行するKeeper Commander CLIの自動化モードを使ってみたという記事です。</p>
<blockquote data-line="5" class="code-line">
<h3 id="5.-sso%E3%83%97%E3%83%AD%E3%83%90%E3%82%A4%E3%83%80%E3%82%92%E4%BF%9D%E8%AD%B7%E3%81%99%E3%82%8B" data-line="5" class="code-line">
<a class="header-anchor-link" href="#5.-sso%E3%83%97%E3%83%AD%E3%83%90%E3%82%A4%E3%83%80%E3%82%92%E4%BF%9D%E8%AD%B7%E3%81%99%E3%82%8B" aria-hidden="true"></a> 5. SSOプロバイダを保護する</h3>
<p data-line="7" class="code-line">KeeperをSSO IDプロバイダと連携させる場合は、IDプロバイダに多要素認証ポリシーが設定され、権限が制限されているようにしてください。IDプロバイダからの指示と最善の対応策に従い、管理者アカウントには必要最低限の特権のみ付与されているようにします。</p>
<p data-line="9" class="code-line">Keeperオートメイターサービスを使用すると、クラウドSSOを使用するユーザーが新しいデバイスまたは未承認のデバイスでボルトにアクセスする際の処理がスムーズになります。これにより利便性は向上しますが、SSO IDプロバイダを不正アクセスから保護する必要もあります。Keeperオートメーターサービスを有効にすると、IDプロバイダによる認証とユーザープロビジョニング処理を完全に信頼することになりますので、セキュリティを強化するために自動デバイス承認を特定のIP範囲に制限したり、無効の状態にしてユーザーに新しいデバイスを手動で承認させることもできます。</p>
</blockquote>
<p data-line="11" class="code-line"><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__c2db21ac4aefd" src="https://embed.zenn.studio/card#zenn-embedded__c2db21ac4aefd" data-content="https%3A%2F%2Fdocs.keeper.io%2Fjp%2Fenterprise-guide-jp%2Frecommended-security-settings%23id-5-ssopurobaidawosuru" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.keeper.io/jp/enterprise-guide-jp/recommended-security-settings#id-5-ssopurobaidawosuru" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.keeper.io/jp/enterprise-guide-jp/recommended-security-settings#id-5-ssopurobaidawosuru</a></p>
<h3 id="1.1.-keeper%E3%82%AA%E3%83%BC%E3%83%88%E3%83%A1%E3%83%BC%E3%82%BF%E3%83%BC%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%81%AF%E6%A7%8B%E7%AF%89%E3%81%8C%E6%89%8B%E9%96%93" data-line="13" class="code-line">
<a class="header-anchor-link" href="#1.1.-keeper%E3%82%AA%E3%83%BC%E3%83%88%E3%83%A1%E3%83%BC%E3%82%BF%E3%83%BC%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%81%AF%E6%A7%8B%E7%AF%89%E3%81%8C%E6%89%8B%E9%96%93" aria-hidden="true"></a> 1.1. Keeperオートメーターサービスは構築が手間</h3>
<p data-line="15" class="code-line">上記引用にもあるようにKeeperオートメーターサービスを用いれば管理者承認をバイパスできます。しかし、GCPのCloud Run等で環境を構築する必要があるため、環境構築と維持に一定の工数が必要となります。</p>
<p data-line="17" class="code-line"><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__220bc3f08591d" src="https://embed.zenn.studio/card#zenn-embedded__220bc3f08591d" data-content="https%3A%2F%2Fdocs.keeper.io%2Fjp%2Fkeeper-sso-connect-cloud-jp%2Fdevice-approvals%2Fautomator" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.keeper.io/jp/keeper-sso-connect-cloud-jp/device-approvals/automator" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.keeper.io/jp/keeper-sso-connect-cloud-jp/device-approvals/automator</a></p>
<h2 id="2.-%E3%81%9D%E3%81%86%E3%81%A0%E3%80%81keeper-commander%E3%81%8C%E3%81%82%E3%82%8B%E3%81%98%E3%82%83%E3%81%AA%E3%81%84" data-line="19" class="code-line">
<a class="header-anchor-link" href="#2.-%E3%81%9D%E3%81%86%E3%81%A0%E3%80%81keeper-commander%E3%81%8C%E3%81%82%E3%82%8B%E3%81%98%E3%82%83%E3%81%AA%E3%81%84" aria-hidden="true"></a> 2. そうだ、Keeper Commanderがあるじゃない</h2>
<p data-line="21" class="code-line">Keeper CommanderはKeeperに対するコマンドラインおよびSDKのインターフェースです。Keeper Vaultへのアクセスと制御、管理機能 (エンドユーザーのオンボーディングやデータのインポート/エクスポートなど) の実行等に利用できます。</p>
<p data-line="23" class="code-line">Keeper CommanderはX秒ごとに承認を実行する自動化モードがサポートされています。<br>
この機能により、ローカル環境で自動承認を実行できるため必要なときだけ、自動承認ができるようになります。</p>
<p data-line="27" class="code-line">オンボーディングや、Keeper導入時など多くのユーザーのデバイスを承認しなければならない場合に効果的です。</p>
<p data-line="29" class="code-line"><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__c0a89a40f010f" src="https://embed.zenn.studio/card#zenn-embedded__c0a89a40f010f" data-content="https%3A%2F%2Fdocs.keeper.io%2Fjp%2Fkeeper-sso-connect-cloud-jp%2Fdevice-approvals%2Fcommander-cli" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.keeper.io/jp/keeper-sso-connect-cloud-jp/device-approvals/commander-cli" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.keeper.io/jp/keeper-sso-connect-cloud-jp/device-approvals/commander-cli</a></p>
<h2 id="3.-%E5%B0%8E%E5%85%A5%E6%89%8B%E9%A0%86" data-line="31" class="code-line">
<a class="header-anchor-link" href="#3.-%E5%B0%8E%E5%85%A5%E6%89%8B%E9%A0%86" aria-hidden="true"></a> 3. 導入手順</h2>
<p data-line="33" class="code-line">本章では、macOSを例にKeeper Commanderの導入手順を記します。<br>
大まかに次の工程で説明します。</p>
<ul data-line="36" class="code-line">
<li data-line="36" class="code-line">Keeper Commander CLIのインストールとログイン</li>
<li data-line="37" class="code-line">自動承認のconfig.jsonを構築</li>
</ul>
<h3 id="3.1.-%E5%89%8D%E6%8F%90%E6%9D%A1%E4%BB%B6" data-line="39" class="code-line">
<a class="header-anchor-link" href="#3.1.-%E5%89%8D%E6%8F%90%E6%9D%A1%E4%BB%B6" aria-hidden="true"></a> 3.1. 前提条件</h3>
<p data-line="41" class="code-line">macOSでKeeper Commander CLIを利用するには、以下の環境が必要です：</p>
<ul data-line="43" class="code-line">
<li data-line="43" class="code-line">macOS 10.15以降</li>
<li data-line="44" class="code-line">Python</li>
<li data-line="45" class="code-line">pip3</li>
</ul>
<p data-line="47" class="code-line">ご利用する環境ごとに必要な要件が記載されていますので、次の記事を参照して要件とインストール方法をを確認してください。</p>
<p data-line="49" class="code-line"><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__5c388f7d374f5" src="https://embed.zenn.studio/card#zenn-embedded__5c388f7d374f5" data-content="https%3A%2F%2Fdocs.keeper.io%2Fjp%2Fsecrets-manager-jp%2Fcommander-cli%2Fcommander-installation-setup" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.keeper.io/jp/secrets-manager-jp/commander-cli/commander-installation-setup" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.keeper.io/jp/secrets-manager-jp/commander-cli/commander-installation-setup</a></p>
<h3 id="3.2.-keeper-commander-cli%E3%81%AB%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%99%E3%82%8B" data-line="51" class="code-line">
<a class="header-anchor-link" href="#3.2.-keeper-commander-cli%E3%81%AB%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%99%E3%82%8B" aria-hidden="true"></a> 3.2. Keeper Commander CLIにログインする</h3>
<ol data-line="53" class="code-line">
<li data-line="53" class="code-line">ターミナルで、<code>keeper shell</code>と実行すると、ログインユーザーを聞かれます。</li>
<li data-line="54" class="code-line">SSOしている場合は、URLが発行されます。
<ol data-line="55" class="code-line">
<li data-line="55" class="code-line">URLをブラウザにコピーペーストして、表示されるトークンをコピーしたら、ターミナルに戻り<code>selection</code> にペーストするとログインできます</li>
</ol>
</li>
<li data-line="56" class="code-line">管理者承認のため、<code>2</code> , <code>r</code> を入力</li>
<li data-line="57" class="code-line">ログインに成功すると、<code>Not logged in&gt;</code> が <code>[My Vault&gt;</code> に変わります</li>
</ol>
<p data-line="59" class="code-line">一連の流れ</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell code-line" data-line="61">Not logged in<span class="token operator">&gt;</span> login
<span class="token punctuation">..</span>.      User<span class="token punctuation">(</span>Email<span class="token punctuation">)</span>: test@exapmle.com
Logging <span class="token keyword">in</span> to Keeper Commander
SSO Login URL:
https://keepersecurity.jp/api/rest/sso/saml/login/xxxxxxxxxxxxxxxxxxx
Navigate to SSO Login URL with your browser and complete login.
Copy a returned SSO Token into clipboard.
Paste that token into Commander
NOTE: To copy SSO Token please click <span class="token string">"Copy login token"</span> button on <span class="token string">"SSO Connect"</span> page.
  a. SSO User with a Master Password
  c. Copy SSO Login URL to clipboard
  o. Navigate to SSO Login URL with the default web browser
  p. Paste SSO Token from clipboard
  q. Quit SSO login attempt and <span class="token builtin class-name">return</span> to Commander prompt
Selection: <span class="token punctuation">{</span>ここにトークンをペーストする<span class="token punctuation">}</span>
Approve this device by selecting a method below:
  <span class="token number">1</span>. Keeper Push. Send a push notification to your device.
  <span class="token number">2</span>. Admin Approval. Request your admin to approve this device.
  r. Resume SSO login after device is approved.
  q. Quit SSO login attempt and <span class="token builtin class-name">return</span> to Commander prompt.
Selection: <span class="token number">2</span>
Selection: r
Successfully authenticated with SSO Login
Syncing<span class="token punctuation">..</span>.
</code></pre></div><h3 id="3.3.-%E8%87%AA%E5%8B%95%E6%89%BF%E8%AA%8D%E7%94%A8%E3%81%AE-config.json-%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B" data-line="88" class="code-line">
<a class="header-anchor-link" href="#3.3.-%E8%87%AA%E5%8B%95%E6%89%BF%E8%AA%8D%E7%94%A8%E3%81%AE-config.json-%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B" aria-hidden="true"></a> 3.3. 自動承認用の <code>config.json</code> ファイルを設定する</h3>
<p data-line="90" class="code-line">公式のドキュメント通り、30秒ごとの自動承認を組みます。<br>
<code>config.json</code> を開き次の記述を追記します。</p>
<div class="code-block-container"><pre class="language-json"><code class="language-json code-line" data-line="93"><span class="token property">"commands"</span><span class="token operator">:</span><span class="token punctuation">[</span><span class="token string">"device-approve --reload"</span><span class="token punctuation">,</span><span class="token string">"device-approve --approve"</span><span class="token punctuation">]</span><span class="token punctuation">,</span>
<span class="token property">"timedelay"</span><span class="token operator">:</span><span class="token number">30</span>
</code></pre></div><aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p data-line="99" class="code-line"><code>config.json</code> の設置箇所</p>
<ul data-line="100" class="code-line">
<li data-line="100" class="code-line">macOS: <code>~/.keeper/config.json</code>
</li>
<li data-line="101" class="code-line">Windows: <code>C:\Users\Administrator.keeper\config.json</code>
</li>
</ul>
</div></aside>
<p data-line="104" class="code-line"><code>config.json</code> は次のようになります。</p>
<div class="code-block-container"><pre class="language-json"><code class="language-json code-line" data-line="106"><span class="token punctuation">{</span>
  <span class="token property">"user"</span><span class="token operator">:</span> <span class="token string">"test@exapmle.com"</span><span class="token punctuation">,</span>
  <span class="token property">"server"</span><span class="token operator">:</span> <span class="token string">"keepersecurity.jp"</span><span class="token punctuation">,</span>
  <span class="token property">"device_token"</span><span class="token operator">:</span> <span class="token string">"xxxxxxxxxxxxx"</span><span class="token punctuation">,</span>
  <span class="token property">"private_key"</span><span class="token operator">:</span> <span class="token string">"xxxxxxxxxxxxx"</span><span class="token punctuation">,</span>
  <span class="token property">"clone_code"</span><span class="token operator">:</span> <span class="token string">"xxxxxxxxxxxxx"</span><span class="token punctuation">,</span>
  <span class="token property">"commands"</span><span class="token operator">:</span> <span class="token punctuation">[</span>
    <span class="token string">"device-approve --reload"</span><span class="token punctuation">,</span>
    <span class="token string">"device-approve --approve"</span>
  <span class="token punctuation">]</span><span class="token punctuation">,</span>
  <span class="token property">"timedelay"</span><span class="token operator">:</span> <span class="token number">30</span>
<span class="token punctuation">}</span>
</code></pre></div><p data-line="121" class="code-line"><code>device-approve --approve --trusted-ip</code>オプションを使用することで、過去に正常なログインが認識されたIPからのデバイスをすべて承認することも可能です。</p>
<h3 id="3.4.-%E8%BA%93%E3%81%84%E3%81%9F%E3%81%A8%E3%81%93%E3%82%8D" data-line="123" class="code-line">
<a class="header-anchor-link" href="#3.4.-%E8%BA%93%E3%81%84%E3%81%9F%E3%81%A8%E3%81%93%E3%82%8D" aria-hidden="true"></a> 3.4. 躓いたところ</h3>
<p data-line="125" class="code-line"><code>"メールアドレス" have no accepted account transfers or did not share encryption key</code><br>
と表示されて、管理画面からも承認・拒否できない場合がありました。<br>
明確な原因はわからないのですが、移管の同意を設定していてアカウント招待からしばらくサインアップがなかった場合に再現しやすいようです。</p>
<p data-line="129" class="code-line">本件が発生したら、対象アカウントを削除して再招待が必要です。</p>
<h2 id="4.-%E7%B5%82%E3%82%8F%E3%82%8A%E3%81%AB" data-line="131" class="code-line">
<a class="header-anchor-link" href="#4.-%E7%B5%82%E3%82%8F%E3%82%8A%E3%81%AB" aria-hidden="true"></a> 4. 終わりに</h2>
<p data-line="133" class="code-line">Keeperのデバイス承認により、仮にIdPが不正アクセスされてもKeeperは不正アクセスされずに済みます。オンボーディングや、Keeper導入時等の限定的なシチュエーションで自動承認を用いることは、業務効率の向上に有効な手段となるはずです。</p>


Keeper Commanderの管理者承認を自動化する機能を使ってみた

1.1. Keeperオートメーターサービスは構築が手間

2. そうだ、Keeper Commanderがあるじゃない

3.2. Keeper Commander CLIにログインする

3.3. 自動承認用の config.json ファイルを設定する

Discussion