SAML 2.0認証の設定プロパティ
SAML 2.0 SSOの詳細設定プロパティ
ここに記載したプロパティは、SAML 2.0認証を使用している場合にのみ適用されます。SAML 2.0認証のサポートは、kcm-guacamole-auth-samlパッケージを使用してインストールするか、またはDockerインストールで有効化します。keeper/guacamoleのDockerイメージを使用する場合、SAML 2.0認証のサポートは、環境変数を使用して設定します。
SAML 2.0の設定プロパティ
プロパティ名 | 説明 |
---|---|
| SAML拡張がIdPで認証する方法を知るために必要な情報をすべて含む、SAML IDプロバイダから取得したXMLメタデータファイルのURI。このURIは、リモートサーバー( |
| SAML IdPのベースURL。これは、SAML認証拡張機能がSAML認証を要求するときに、リダイレクトに使用するURLです。 |
| Keeper Connection Manager SAMLクライアントのエンティティID。通常はKeeper Connection ManagerサーバーのURLですが、そうである必要はありません。このプロパティが必要になるのは、 |
| 認証が成功して、Keeper Connection Managerウェブアプリケーションに戻り、認証の詳細情報をSAML拡張に渡す場合に、IdPが使用するURL。現在、SAML拡張は、このコールバックURLに対するPOST操作としてのコールバックのみをサポートしています。このプロパティは必須です。 |
| SAMLログイン時に厳密なセキュリティチェックを要求します。これにより、SAMLサーバーとのすべての通信に有効な証明書が存在することが保証され、セキュリティ制約に違反した場合にはSAML認証が失敗します。このプロパティはオプションであり、デフォルトは「true」で、厳密なセキュリティチェックが必要です。このプロパティを「false」に設定するのは、SAML認証をテストする際の本番以外の環境に限定するべきです。 |
| サポートしているSAMLライブラリ内で詳細ログを有効にして、SAMLログイン時の問題の追跡に役立てることができます。このプロパティはオプションで、デフォルトは「false(デバッグなし)」です。 |
| SAML IdPに送信されるHTTPリクエストの圧縮を有効にします。このプロパティはオプションで、デフォルトは「true(圧縮有効)」です。 |
| IdPから返されたSAMLレスポンスの圧縮を要求します。このプロパティはオプションで、デフォルトは「true(圧縮を要求)」です。 |
| SAML IdPが提供する属性の名前。ユーザーのグループメンバーシップを含みます。これらのグループは解析され、ユーザーがログインするグループメンバーシップをマッピングするために使用されます。これは、特に他の認証モジュールと階層化されている場合に、Keeper Connection Managerクライアント内での権限管理に使用できます。このプロパティはオプションで、デフォルトは「groups」です。 |
| リクエストに署名があることを想定した設定になっているIDプロバイダへの接続で使用する秘密鍵へのパス |
| リクエストに署名があることを想定した設定になっているIDプロバイダに対する認証で使用する証明書へのパス |
ログイン動作の制御
Keeper Connection Managerは、認証拡張機能を優先度順に読み込み、認証の試行を同じ順序で評価します。これは、SSO拡張が有効な場合のログインプロセスの動作に影響します。
SSO拡張が優先される場合:
まだ認証されていないユーザーは、設定されたIDプロバイダに即座にリダイレクトされます。Keeper Connection Managerのログイン画面は表示されません。
SSO以外の拡張が優先される場合:
まだ認証されていないユーザーには、Keeper Connection Managerのログイン画面が表示されます。また、SSOを使用したログインを希望するユーザーには、設定済みのIDプロバイダへのリンクが表示されます。
拡張機能のデフォルトの優先順位はファイル名によって決まり、アルファベット順で先に来る拡張機能の優先順位が他の拡張機能よりも高くなります。これは、guacamole.properties
内のextension-priority
プロパティを設定することでオーバーライドできます。
認証されていないユーザーをすべて自動的にリダイレクト
ユーザーを即座に(Keeper Connection Managerのログイン画面を表示せずに)SAML IDプロバイダにリダイレクトするには、SAML拡張機能が他のすべての拡張機能よりも優先されるようにします。
認証されていないユーザーにログイン画面を表示
ユーザーに通常のKeeper Connection Managerのログイン画面を表示し、従来のクレデンシャルでログインするか_または_SAMLでログインするかを選択できるようにするには、SAML拡張機能が優先になっていないことを確認します。
Last updated