助您成功使用 Keeper 的资源
了解如何部署 Keeper 管理控制台和最终用户保管库。
资源
这是我们完整文档库的简略版本。如果您需要更多信息,请访问下方链接中的完整 Keeper 文档。
实用链接
KeeperPAM 快速入门:沙盒
为了学习部分 KeeperPam 的基础知识,我们创建了一个向导整合到保管库中。如果选择 Docker 安装方法,此向导将创建所有必要的保管库记录,配置和自定义的 Docker 组合文件,从而在 3 分钟内快速设置一个沙盒环境。
- 激活 KeeperPAM
- 登录至管理控制台
- 在“管理” > “角色”下,为 PAM 创建新角色或修改现有角色
- 转到强制策略,打开“特权访问管理器”部分。
- 启用所有 PAM 强制策略
- 确保您被分配至此角色
-
运行新网关向导
- 登录至 Keeper 保管库版本。 如果策略已激活,您将在左侧看到一个 Secrets Manager 选项卡。
- 点击新建 > 网关
- 输入项目名称,例如 "My Infrastructure Demo"
- 为网关选择 Docker
- 选择 "使用记录示例创建"
- 点击下一步
- 向导完成后,立即下载提供的 docker-compose.yml 和 docker-seccomp.json 文件。
-
运行 Docker 环境
- 设置一台支持 Docker 的虚拟机。 可以是运行 Docker Desktop 的 Linux 实例或 Windows。实例可以安装在于任何地方,甚至在您的本地电脑上。
- 如有必要,根据 Docker 安装说明安装 Docker。
- 将步骤 2 中的 Docker 组合和 Seccomp 文件传输到虚拟机。
- 从保存文件的文件夹中运行 docker compose up -d 命令。
- 根据虚拟机的情况,您可能需要使用一个短横线,例如 docker-compose up -d。
- 测试一些 PAM 功能
- 现在,您可以在记录详细信息视图中点击 "启动"即时连接到任何资源。
- 通过在"Users"文件夹中的记录详情页面点击"Rotate"按钮,可以轮换 MySQL 账号、SSH 密码和 SSH 密钥。
- 注意:远程浏览器隔离不支持某些 ARM 处理器
创建的记录
向导将在您的保管库中创建以下项目:
- 一个包含位于单独共享文件夹中的资源和用户的文件夹
- 一个 MySQL 数据库
- 一台通过 VNC 连接到桌面 UI 的 Linux 机器
- 一台使用 SSH 密钥进行 SSH 连接的 Linux 机器
- 一台使用密码进行 SSH 连接的 Linux 机器
- 一台通过 RDP 连接到桌面 UI 的 Linux 机器
- 与 bing.com 进行的远程浏览器隔离会话
- 启用了所有 PAM 功能的 Secrets Manager 应用和 PAM 配置
- 准备好初始化的 Keeper 网关
快速入门视频
我们制作了一个实用的 Keeper 基础知识视频,帮助您设置沙盒环境。 在此处访问完整 KeeperPAM 文档。
管理员入门
创建您的管理员帐户
如果您仍需进行此项操作,必须先开始 Keeper Business 试用以访问管理控制台。您可以在此处开始试用。
接下来,请按照发送至试用注册表单提供的电子邮件地址的说明,登录至 Keeper 管理控制台。
当您首次登录管理控制台时,您将进入控制面板,其中提供了有关您的用户活动和总体安全状态的概况数据。
控制面板提供以下方面的概览:
- 热门事件和链接至时间线图表
- 安全审核总体评分
- BreachWatch 总体评分
- 用户状态概况
“管理员”选项卡是您进行大部分设置和用户部署的地方。在这里,您可以访问节点、用户、角色、团队和两步验证设置。
添加您的公司徽标
作为第一步,我们建议您将您公司的徽标上传到保管库,并自定义电子邮件邀请,以邀请您的员工创建他们的 Keeper 保管库。强烈推荐进行这些配置,因为它们已被证明有助于用户快速采用 Keeper 的软件。
点击“配置”,然后点击“公司徽标”旁边的“编辑”以上传您的图像文件。
点击“配置”,接着点击“电子邮件邀请”旁边的“编辑”,然后开启“发送自定义电子邮件邀请”。
预配
手动预配 - 若要通过用户界面手动添加少量用户,请按照以下步骤操作。
- 点击管理部分
- 默认将选中顶级根节点。
- 从“用户”选项卡中,选择“+ 添加用户”按钮。
- 输入用户名和电子邮件地址,然后点击“添加”。
- 用户将收到一封电子邮件,以使用主密码或 SSO 创建保管库,具体取决于其所在的节点。
通过 CSV 进行批量预配 - 您还可以通过逗号分隔的文本文件 (.csv) 一次性导入多个用户。
上传的 CSV 文件文件格式有 3 列:电子邮件地址、姓名、角色。
角色字段为可选项。Keeper 建议您创建一个默认的“普通员工”角色,所有导入的用户将自动分配到该角色,例如:
- 在管理控制台中,选择“管理员 > 用户”。
- 选择“+ 添加用户”。
- 拖放准备好的 CSV 文件,其中包含 3 列:姓名、电子邮件地址和可选角色。
高级预配 - Keeper 支持以下高级预配选项。如果您希望在您的 POC 中测试这些方法之一,请联系您的 Keeper 代表。
- 使用 Keeper Bridge 服务进行 Active Directory 预配
- 单点登录 (SAML 2.0) 与即时 (JIT) 预配
- SCIM 自动预配
- 电子邮箱预配
- Keeper Commander API / SDK 预配
高级加密选项
Keeper 原生使用 AES 256 位加密来保护数据免受网络威胁。
对于需要增强加密或托管解决方案(例如 AWS GovCloud(美国))的组织,请联系您的销售代表。
搜索和编辑用户
在管理控制台 - 点击“搜索”字段将打开一个动态搜索工具,可以跨节点、角色、团队和用户进行搜索。
- 点击标题(节点、角色、团队、用户)以筛选结果。
- 从“用户”选项卡中选择要修改的用户。
- 选择“编辑用户”对话框。
添加角色
您可以通过管理控制台手动添加角色,通过 SCIM 自动映射,或者通过 Keeper Bridge 直接从 Active Directory / LDAP 分配。
- 若要手动添加角色,请选择“角色”选项卡。
- 找到您希望角色被分配到的具体节点。
- 选择 + 按钮以添加角色。
- 验证或选择组织树中的适当节点(或者选择根节点)。
- 输入您正在创建的角色的名称,然后点击“添加”。
(较小的组织可能会选择以单一层级管理 Keeper。在这种情况下,所有预配的用户、角色和团队都是从默认的根节点进行访问。)
创建角色强制策略
点击强制策略按钮。为以下每个选项添加标准:
- Login Settings
- 两步验证 (2FA)
- Platform Restriction
- 保管库功能
- Sharing & Uploading
- KeeperFill
- Account Settings
- Allow IP List
- Keeper Secrets Manager
- Transfer Account
创建团队
- 找到“团队”选项卡并选择“+ 添加团队”按钮。(如果连接 SCIM 或 Keeper Bridge,不应在管理控制台中手动创建团队。)
- 输入团队名称并点击“添加团队”以保存。
- 可以为团队配置一些限制,这些限制将覆盖任何文件夹级别的权限设置。
- 勾选“禁用记录再次共享”对话框。
- 勾选“禁用记录编辑”对话框。
- 勾选“启用隐私屏幕”对话框。
点击“+”将用户添加至团队。
为您的团队分配角色强制策略
在管理控制台中找到团队。选择一个团队,然后点击角色旁边的加号以添加团队角色。团队将出现在角色部分,从而启用相应的强制策略。
最终用户入门
帐户创建
若要创建您的 Keeper 帐户,首先请输入您的电子邮件地址,然后系统会要求您创建一个主密码并进行确认,这将是您唯一需要记住的密码。
- 我们建议您选择一个仅用于 Keeper 的高强度主密码。
- 切勿忘记您的主密码!
要完成您的帐户设置并继续访问您的保管库,系统会要求您输入发送至您电子邮箱的安全验证码。
* 使用 SSO 登录的企业用户无需选择主密码。
主密码重置
如果您想在 Web 保管库和桌面应用更改您的当前主密码,请从帐户下拉菜单(您的电子邮件地址)中选择“设置”,然后在“主密码”旁边点击“立即重置”。然后,系统会提示您输入当前的主密码,接着创建并确认新的主密码。
帐户恢复设置
首次登录保管库时,新用户将被提示设置帐户恢复方法。
-点击“生成恢复短语”以开始。
请务必将生成的恢复短语存放在安全的地方。为方便起见,系统提供了拷贝或下载选项。勾选复选框以确认您已将其存放在安全的地方,然后点击设置恢复短语以完成设置。
* 请注意,如果您忘记了主密码并丢失了恢复短语,您将无法登录至您的保管库,Keeper 支持团队亦无法帮助您重新获得访问权限。
除了启用帐户恢复短语外,我们亦建议您在帐户“设置”菜单中开启 Keeper 的两步验证功能。
* 如果您知道您的主密码并且只想设置帐户恢复,请从帐户下拉菜单(您的电子邮件地址)中选择设置 > 恢复短语。
创建个人保管库(通过 Business 或 Enterprise 帐户)
所有 Keeper Enterprise 用户都可以创建一个免费的 Keeper Family 方案,最多可供 5 位家庭成员使用,并支持数量不限的设备。
* 此保管库仅供个人使用。所有与业务相关的凭据都必须存储在公司提供的保管库中。
创建您的个人保管库:
- 登录至 Keeper Web 保管库或桌面应用。
- 点击帐户下拉菜单(您的电子邮件地址)。
- 选择帐户。
-
在“供个人使用的 Keeper Family 许可证”部分输入您的个人电子邮件地址,然后点击发送电子邮件。
- 在浏览器中点击帐户下拉菜单 > 退出,从企业保管库中退出。
关于您的关联个人帐户的重要说明
- 您的关联个人帐户被许可成为 Keeper Family 方案帐户,拥有 10GB 的安全文件存储空间和 BreachWatch 暗网监视功能。
- 管理您的 Business 保管库的公司没有任何访问权限或能力解密存储在您的个人保管库中的信息。
- 只要企业帐户处于生效状态,您的关联个人帐户将保持免费,并且可以在数量不限的设备上使用。
- 如果您从公司离职,或者公司未续订 Keeper 订阅,您的 Family 许可证将转换为 Keeper 免费订阅。您可以继续在一个设备上使用您的个人许可证,或者购买 Family 或 Unlimited 订阅以获取所有高级功能。
- 您的企业管理员可能会取消从企业保管库共享记录到关联的个人保管库的功能。
下载桌面应用
访问下载 Keeper 桌面版页面以下载适用于 Windows、Mac 或 Linux 的 Keeper。
安装 KeeperFill 浏览器扩展
KeeperFill 浏览器扩展可以由用户直接安装,亦可由 Keeper 管理员推送给用户。
导入您的密码
- 请登录至 Keeper 的 Web 保管库(网址为 https://keepersecurity.com/vault/),或者直接登录至 Keeper 桌面应用(可从 https://keepersecurity.com/download 下载)。
- 点击右上角您的帐户电子邮件地址。
- 点击“设置 > 导入”,然后选择屏幕顶部的“导入”按钮。
- 如果您是使用 Web 保管库,Keeper 会提示您下载 Keeper 导入工具。这是一个小应用,可在您的电脑上运行以导入任何找到的密码。导入工具将下载到您的默认下载文件夹中。请下载、解压缩并运行此应用以继续。
- 点击“拷贝”按钮,将提供的代码拷贝到剪贴板。
- 如果是使用 Web 保管库,请在下载文件夹中解压 Keeper 导入应用。
- 如果是使用 Web 保管库,请从下载文件夹启动导入工具。
创建记录
点击 + 新建 > 记录。
- 从下拉菜单中选择一个记录类型(默认类型是“登录信息”)
- 输入记录的名称,然后点击下一步
- 输入登录名称(用户名或电子邮件地址)
- 输入密码或点击骰子图标生成一个密码(更多信息请点击此处)
- 输入网址
- 输入备注,添加文件和照片、两步验证码和自定义字段
- 点击保存以完成操作
生成密码
在创建或编辑记录时,点击骰子图标以生成一个唯一的密码。如果需要,您可以调整字符长度和特殊字符设置,然后点击保存以完成操作。
共享单个记录
查看记录时,点击共享。
输入您想与之共享记录的用户的电子邮箱,然后从下拉菜单中选择他们的权限类型(如果他们还不是 Keeper 用户,则会被邀请通过电子邮箱创建帐户)。
| 权限名称 | 权限级别 |
|---|---|
| 可以编辑 | 文件夹中的用户可以编辑此记录 |
| 可以共享 | 文件夹中的用户可以共享此记录 |
| 可以编辑和共享 | 文件夹中的用户可以编辑和共享此记录 |
| 仅查看 | 用户仅可查看记录 |
创建私人文件夹
私人文件夹仅对创建该文件夹的用户可见,并且可以包含子文件夹和记录。文件夹内还可以包含其他共享文件夹和共享记录。若要创建私人文件夹,请点击新建 > 文件夹。使用下拉菜单选择您想要将文件夹嵌套的位置。您可以选择父文件夹或选择我的保管库以在根级别添加文件夹。
创建子文件夹
在查看共享文件夹中的记录时,点击“编辑”,然后在“记录”选项卡中勾选“显示子文件夹记录”旁边的复选框,以将这些记录包含在视图中,如果不勾选,则将其在视图中折叠。
私人和共享文件夹都可以嵌套,并且可以包含数量不限的记录或子文件夹。每个子文件夹均继承与父文件夹相同的权限结构。
如果父文件夹是共享文件夹,而您将一个私人文件夹移至其中,那么私人文件夹将继承共享文件夹设置的权限,包括有权查看和编辑该文件夹及其记录的用户。
创建共享文件夹
共享文件夹允许您一次共享多条记录,并且可以根据需要将新记录添加到该文件夹。
若要创建共享文件夹,请点击新建 > 共享文件夹。
使用下拉菜单选择您想要将文件夹嵌套的位置,并输入文件夹的名称。设置用户和文件夹权限,然后点击“创建”。
共享文件夹
您可以通过简单的拖放将记录添加到文件夹中,也可以点击“编辑”并使用记录搜索栏来添加记录。
记录权限用于管理文件夹成员(用户)与文件夹中每个单独记录的交互。您可以在“记录”选项卡中点击编辑,然后点击每条记录名称旁边的下拉图标来访问这些权限。
编辑您的共享文件夹设置
配置共享文件夹设置可以让您轻松地为文件夹中的所有用户设置文件夹权限。这些是在首次创建共享文件夹时选择的,但您可以随时通过点击“编辑 > 设置”来进行更改。点击下拉箭头以设置文件夹的记录和用户权限。
请注意,将用户或记录添加至共享文件夹时,新创建的记录将继承这些权限。
若要显示“子文件夹”复选框,您必须首先点击位于“记录”选项卡中的“显示子文件夹记录”复选框。
* 如果默认文件夹设置未正确配置,当用户将记录添加到共享文件夹时,共享文件夹的其他成员“仅可查看”这些记录,即使这些用户具有“可以管理记录”权限。如果您希望所有文件夹成员对添加到文件夹中的所有记录具有编辑权限,请将默认文件夹设置配置为可以编辑记录。可以管理记录设置仅允许用户添加或移除记录,并不授予他们记录权限。
创建单次共享
若要创建单次共享,请点击您拥有的或有权限再次共享的记录中的菜单图标。然后选择“创建单次共享”以生成链接。
接下来,从下拉菜单中选择记录访问权限过期时间,然后点击“生成”。
您可以拷贝链接的 URL,或拷贝整个邀请正文(用于向接收者发送额外的相关信息)。如果您向下滚动对话框,还可看到一个可以发送给接收者的二维码。
当共享链接的接收者打开记录时,该记录将在其网络浏览器中打开,并绑定至其设备。记录访问权限将在设定的时间后自动过期。
记录过期后,链接将不再有效,现有设备将无法再加载信息。
添加两步验证码至记录
您可以使用 Web 保管库、桌面应用或移动应用添加两步验证码。
在桌面应用中,点击“添加两步验证码”。输入验证码有三种方法:
- 扫描(仅限桌面应用)
- 上传二维码图像(.jpg、.png 等)
- 手动输入(高级)
Keeper 桌面应用的“扫描”功能允许您将一个扫描小窗口拖到目标二维码上。在桌面电脑上设置应用时这个功能很有用。
在 iOS 或 Android 上使用 Keeper 移动应用添加两步验证码也非常简单而直观。点按记录编辑屏幕上的“添加两步验证码”并使用设备相机。
运行 BreachWatch 扫描
若要开始 BreachWatch 扫描,请在管理控制台的左侧导航菜单中点击 BreachWatch,然后点击开始 > 扫描。
- 扫描(仅限桌面应用)
- 上传二维码图像(.jpg、.png 等)
- 手动输入(高级)
创建通行密钥
若要为网站创建和保存通行密钥,您通常需要访问网站的“安全”或“帐户设置”页面。在下面的示例中,我们来看一下 Best Buy 的情况。
点击“创建通行密钥”按钮时,Keeper 将拦截请求并要求您将通行密钥保存到您的保管库中。
