LogoLogo
Keeperコネクションマネージャー
Keeperコネクションマネージャー
  • 概要
  • セキュリティアーキテクチャ
  • インストール
    • ライセンスキー
    • システム要件
    • インストールの準備
    • Dockerの自動インストール
      • サービス管理
      • アップグレード
      • パッケージの追加
    • Docker Composeインストール
      • keeper/guacamole
      • keeper/guacd
      • データベースイメージ
        • keeper/guacamole-db-mysql
        • keeper/guacamole-db-postgres
      • SSLターミネーション
        • keeper/guacamole-ssl-nginx
        • カスタムSSL証明書の使用
      • アップグレード
    • バックアップと復元
  • 認証オプション
    • SAML SSO認証
      • Microsoft Azure
      • Okta
      • Google Workspace
      • OneLogin
      • Oracle
      • PingIdentity
    • TOTPを使用した2FA
    • Duoを使用した2FA
    • SSL/TLSクライアント認証
    • 複数のホスト名
    • PIV/CAC/スマートカード
    • アカウントの承認/拒否ワークフロー
    • OpenID Connect認証
    • LDAP認証
      • 複数のLDAPサーバーの使用
      • LDAP内の接続データを格納
      • LDAPとデータベースの併用
  • 接続プロトコル
    • RDP
    • SSH
    • VNC
    • Telnet
    • リモートブラウザ分離
    • Kubernetes
    • MySQL
      • インポートとエクスポート
      • キーボードショートカット
    • PostgreSQL
      • インポートとエクスポート
      • キーボードショートカット
    • Microsoft SQL Server
      • インポートとエクスポート
      • キーボードショートカット
    • ホストインスタンスへの接続
    • 永続的リバースSSHトンネル
      • WindowsサービスとしてのAutoSSH
      • Linux - AutoSSH
      • Windows - OpenSSH
  • KCMの使用方法
    • ログイン画面
    • ホーム画面
    • 接続の作成
      • 接続の一括インポート
    • KCMの使用方法
    • ファイル転送設定
    • 接続の共有
    • セッションのレコーディングと再生
    • AWS EC2ディスカバリ
    • クレデンシャルパススルー
    • 動的接続
    • カスタムブランディング
      • ロゴを追加する
  • ボルト連携
    • KCMをボルトに接続
    • 動的トークン
    • 静的トークン
    • 複数ボルトの連携
    • EC2 Cloud Connector
    • 高度な機能
    • KeeperPAM
  • カスタム拡張機能
  • ゲストモード
  • 高可用性
  • 詳細設定
    • guacamole.properties
      • SAML 2.0認証の設定プロパティ
      • Duo二要素認証の設定プロパティ
      • 暗号化されたJSONの設定プロパティ
      • LDAP設定のプロパティ
      • MySQL/MariaDBの設定プロパティ
      • PostgreSQL設定のプロパティ
      • SQL Serverの設定プロパティ
      • ログイン試行のプロパティ
  • トラブルシューティング
  • 接続のインポート
  • 接続のエクスポート
  • リリース前テスト
  • 変更記録
  • ライセンス供与とオープンソース
  • サポート範囲
  • セキュリティアドバイザリ
  • アクセシビリティ適合性
Powered by GitBook
On this page
  1. 認証オプション

アカウントの承認/拒否ワークフロー

SSOを使用してKSMで認証するユーザー機能を承認または拒否する

KCMユーザーがSAMLやOpenID、PIV/CACなどのSSOシステムから自動的に作成される環境では、管理者はそれらのユーザーにKCMの使用を許可するか否かをより厳密に制御したい場合があります。これを実現するために、管理者が個々のユーザーにSSOメソッドを使用したKCMでの認証を許可するか否かを決定するための承認/拒否ワークフローがKCMに搭載されています。

KCMのユーザー作成ワークフローを設定

ユーザーが特定の認証メソッドを使用してサインインすることの承認を求めるには、require-account-approvalプロパティ (または、Dockerの場合は、REQUIRE_ACCOUNT_APPROVAL環境変数) を使用します。このプロパティは、管理者の承認を必要とするすべての認証メソッドの名前のコンマ区切りのリストを受け入れます。KCMは、以下の認証タイプをサポートしています。

認証メソッド

名前

暗号化JSON

json

LDAP

ldap

OpenID

openid

SAML

saml

SSL/TLSクライアント認証(PIV/CAC)

ssl

たとえば、SAMLとLDAPの管理者承認を求めるには、以下のように指定してください。

require-account-approval: saml, ldap

以下に、SAML認証方式を有効にしたdocker.yamlファイルの例を示します。

 guacamole:
        image: keeper/guacamole:2
        restart: unless-stopped
        environment:
            ACCEPT_EULA:"Y"
            GUACD_HOSTNAME: "guacd"
            SSL_PRIMARY_URI: "https://kcm.example.net"
            SSL_CLIENT_AUTH_URI: "https://*.kcm.example.net"
            SSL_SUBJECT_BASE_DN: "ou=test department,o=u.s. government,c=us"
            POSTGRESQL_AUTO_CREATE_ACCOUNTS: "true"
            REQUIRE_ACCOUNT_APPROVAL: "saml"

認証メソッドの構成と設定が正常に完了すると、アプリケーションのログイン画面に対応するSSOログイン方式が表示されます。以下の図では、インスタンスがsaml認証メソッドを使用するように設定されています。

承認または拒否を必要とする認証メソッドを1つ以上利用するユーザーは、ユーザー名の隣に「Pending Login Request」 (ログインリクエストを保留) バッジ付きでユーザーリストに表示されます。

管理者は、KCMでユーザーアカウントを編集することで、その認証メソッドを使用してそのユーザーのアクセスを承認または拒否できます。

PreviousPIV/CAC/スマートカードNextOpenID Connect認証

Last updated 1 year ago

SAML認証のログイン画面