アカウントの承認/拒否ワークフロー
SSOを使用してKSMで認証するユーザー機能を承認または拒否する
Last updated
SSOを使用してKSMで認証するユーザー機能を承認または拒否する
Last updated
KCMユーザーがSAMLやOpenID、PIV/CACなどのSSOシステムから自動的に作成される環境では、管理者はそれらのユーザーにKCMの使用を許可するか否かをより厳密に制御したい場合があります。これを実現するために、管理者が個々のユーザーにSSOメソッドを使用したKCMでの認証を許可するか否かを決定するための承認/拒否ワークフローがKCMに搭載されています。
ユーザーが特定の認証メソッドを使用してサインインすることの承認を求めるには、require-account-approval
プロパティ (または、Dockerの場合は、REQUIRE_ACCOUNT_APPROVAL
環境変数) を使用します。このプロパティは、管理者の承認を必要とするすべての認証メソッドの名前のコンマ区切りのリストを受け入れます。KCMは、以下の認証タイプをサポートしています。
たとえば、SAMLとLDAPの管理者承認を求めるには、以下のように指定してください。
以下に、SAML認証方式を有効にしたdocker.yaml
ファイルの例を示します。
認証メソッドの構成と設定が正常に完了すると、アプリケーションのログイン画面に対応するSSOログイン方式が表示されます。以下の図では、インスタンスがsaml
認証メソッドを使用するように設定されています。
承認または拒否を必要とする認証メソッドを1つ以上利用するユーザーは、ユーザー名の隣に「Pending Login Request」 (ログインリクエストを保留) バッジ付きでユーザーリストに表示されます。
管理者は、KCMでユーザーアカウントを編集することで、その認証メソッドを使用してそのユーザーのアクセスを承認または拒否できます。
認証メソッド
名前
暗号化JSON
json
LDAP
ldap
OpenID
openid
SAML
saml
SSL/TLSクライアント認証(PIV/CAC)
ssl