# リモートブラウザ分離

<figure><img src="https://4041518992-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FZ7s6LQJaKa1G17O787JG%2Fuploads%2F4MqH7DwYPAgEEsz0Kv5r%2Fimage.png?alt=media&#x26;token=235cc02b-b766-4468-9eb1-e5a7dffb5c2b" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
この機能を使用するにはKCMバージョン2.19.0以降が必要となります。
{% endhint %}

## Keeperリモートブラウザ分離 <a href="#id-.vncv2.x-overview" id="id-.vncv2.x-overview"></a>

リモートブラウザ分離 (RBI) 接続タイプでは、分離されたブラウザ環境でレンダリングされた画面を通じて、ウェブベースのアプリケーションに安全にアクセスできます。ウェブサイトのコードやDOMはユーザーのデバイス上で実行されないため、さまざまな攻撃ベクトルの影響を受けにくくなります。また、ウェブブラウザーのセッション自体がローカル環境で動作しないため、ローカルデバイスを起点とする攻撃から対象の資産を保護できる点も、この技術の重要なセキュリティ上の利点です。

#### VPN、ZTNAなど暫定的なネットワークソリューションの必要性を排除

Keeperコネクションマネージャーコンテナーを任意のターゲット環境に公開するだけで、ウェブベースのリソースへのアクセスを制限、監視、制御できます。

#### ゼロ知識アーキテクチャ

ユーザーのデバイスと対象となるウェブサイトやアプリケーション間のすべてのネットワーク通信は、顧客自身が完全に制御します。Keeperリモートブラウザ分離は、Chromiumエンジンを基盤として、Keeperコネクションマネージャーのコンテナから最新バージョンのChromiumブラウザを仮想化したインスタンスとしてユーザーのデバイスに投影します。この際、機密データや重要な情報がユーザーのデバイスに送信されることはありません。

#### セッション記録

他のKeeperコネクションマネージャーのプロトコルと同様に、ブラウザー分離セッションは、共有、記録、監視が可能であり、コンプライアンスおよびセキュリティ目的で活用できます。

#### 認証情報の自動入力

Keeperのリモートブラウザ分離プロトコルでは、認証情報をユーザーのデバイスに送信することなく、認証情報の自動入力、フォームの送信、対象となるウェブアプリケーションの操作を行えます。

{% embed url="<https://vimeo.com/993012774>" %}
リモートブラウザ分離 (英語)
{% endembed %}

### パラメータ

Keeperのリモートブラウザ分離は、いくつかのパラメータを使用して制御されます。MySQLやPostgreSQLなどのデータベースがコンテナの展開に使用される場合、これらのパラメータはデータベースに格納され、ウェブインターフェースで表示されます。[暗号化されたJSON](https://docs.keeper.io/kcm-linux-rpm-method/using-keeper-connection-manager/dynamic-connections)や[LDAPスキーマの変更](/jp/keeper-connection-manager/authentication/authenticating-users-with-ldap/storing-connection-data-within-ldap.md)など、別の方法で接続を定義する場合は、内部パラメータ名を使用してパラメータを指定します。

本ページでは、サポート対象パラメータをウェブインターフェース内と同じ方法でグループ化して網羅することを意図しています。ウェブインターフェースに表示されるフィールド見出しは、パラメータごとに表示され、各パラメータの内部名、そのパラメータの動作の詳細な説明と適正値も一緒に記載しています。

* [Keeperシークレットマネージャー用パラメータ](#id-.rdpv2.x-networkparameters)
* [ブラウザ設定用パラメータ](#id-.vncv2.x-networkparameters)
* [URLのパターン](#url-patterns)
* [ブラウザ自動入力用パラメータ](#browser-autofill-parameters)
* [シークレット自動入力の構成](#secrets-autofill-configuration)
* [オーディオ設定用パラメータ](#dioparamta)
* [画面録画用パラメータ](#screen-recording-parameters)
* [自己署名またはカスタムCA証明書](#matahakasutamuca)

### Keeperシークレットマネージャー用パラメータ <a href="#id-.rdpv2.x-networkparameters" id="id-.rdpv2.x-networkparameters"></a>

この設定により、認証情報の自動入力のためにKeeperシークレットマネージャーアプリケーションを統合できます。

<figure><img src="https://4041518992-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FZ7s6LQJaKa1G17O787JG%2Fuploads%2F6EFLvCuRt4JYgbbFa0nd%2Fimage.png?alt=media&#x26;token=6f1e58b7-8624-421a-b209-b130c784f704" alt=""><figcaption></figcaption></figure>

<table><thead><tr><th width="256.3333333333333">フィールドヘッダ</th><th width="163">パラメータ名</th><th>説明</th></tr></thead><tbody><tr><td>Allow user-provided KSM configuration: (ユーザー提供のKSM構成を許可)</td><td><code>ksm-user-config-enabled</code></td><td>設定が「<code>true</code>」の場合、どの接続に対しても各KeeperコネクションマネージャーユーザープロファイルをKeeperシークレットマネージャー構成に割り当てられます。詳細については、「<a href="https://github.com/Keeper-Security/gitbook-jp-kcm/blob/main/vault-integration/multiple-vaults-integration/README.md">複数のボルト連携</a>」ページをご参照ください。</td></tr></tbody></table>

### ブラウザ設定用パラメータ <a href="#id-.vncv2.x-networkparameters" id="id-.vncv2.x-networkparameters"></a>

HTTP/HTTPS接続はレンダリングされたChromiumブラウザを通じて確立されます。一般的に、各接続は特定のウェブアプリケーションに関連付けられていますが、広範なウェブブラウジングも許可するように構成することもできます。

<figure><img src="https://4041518992-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FZ7s6LQJaKa1G17O787JG%2Fuploads%2FVsr1ihtrqPGjzGxR6L7D%2Fimage.png?alt=media&#x26;token=a053765c-99a1-4c7f-a4fb-dbc0875540d4" alt=""><figcaption></figcaption></figure>

| フィールドヘッダ                      | パラメーター名                         | 説明                                                                                                                                                                           |
| ----------------------------- | ------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| URLの直接操作によるナビゲーションを許可         | `allow-url-manipulation`        | 従来のブラウザと同様に、現在のURLの編集、戻る/進む操作などをユーザーに許可するかどうかを指定します。有効 (`true`) にすると、接続時にナビゲーションバーが表示されます。既定では、ユーザーはURLを手動で編集できず、現在のページ上での操作によってのみナビゲーションが可能です。                              |
| URL                           | `url`                           | ユーザーが接続した際に最初に読み込まれるページのURLを指定します。                                                                                                                                           |
| 許可されたURLパターン                  | `allowed-url-patterns`          | ユーザーがアクセスを許可されるURLのパターンを指定します。URLバーによる手動操作、またはページ上の操作のいずれによるアクセスも対象となります。複数のパターンを指定する場合は、改行で区切ります。指定した場合、一覧内のパターンに一致するページのみが許可されます。既定では、すべてのURLが許可されます。                      |
| 許可されたリソースURLパターン              | `allowed-resource-url-patterns` | ページが読み込みを許可されるリソース (画像、スクリプト、スタイルシート、フォントなど) のURLパターンを指定します。複数のパターンを指定する場合は、改行で区切ります。指定した場合、一覧内のパターンに一致するリソースのみが読み込まれます。既定では、ページが読み込むリソースに制限はありません。                          |
| ブラウザープロファイル保存ディレクトリ (セッション保持) | `profile-storage-directory`     | ブラウザーセッションのデータを保持する、guacamoleコンテナ内の保存先ディレクトリを指定します。                                                                                                                          |
| プロファイルディレクトリの自動作成 (セッション保持)   | `create-profile-directory`      | <p>プロファイルディレクトリの自動作成方法を指定します。</p><p>指定可能な値は <code>false</code> (既定)、<code>true</code>、<code>recursive</code> です。</p>                                                         |
| 言語コードの指定                      | `accept-language`               | HTTPの「Accept-Language」ヘッダーを指定し、対象のウェブサイトに対して表示言語を通知します。形式の詳細については、[こちらのウェブサイト](https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Accept-Language)をご参照ください。 |
| JavaScriptダイアログの抑止            | `suppress-js-dialogs`           | <p>プロンプトやアラートなどの、ネイティブJavaScriptダイアログを無効化します。<br><br>指定可能な値は <code>false</code> (既定) と <code>true</code> です。</p>                                                             |
| ファイルアップロードを許可                 | `allow-file-uploads`            | <p>RBIを通じたウェブサイトへのファイルアップロードを許可します。<br></p><p>指定可能な値は <code>false</code> (既定) と <code>true</code> です。</p>                                                                    |

<figure><img src="https://4041518992-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FZ7s6LQJaKa1G17O787JG%2Fuploads%2Fl9i8mQfMKixWII4mbSL5%2Fimage.png?alt=media&#x26;token=888d25e9-699c-4cb3-a172-21331c923539" alt=""><figcaption></figcaption></figure>

### セッションの保持

デフォルトでは、新規のリモートブラウザ分離セッションはローカルストレージがクリアされた状態の「シークレットウィンドウ」と同等です。これにより、データの保持せずに複数のユーザーが同時にリモートブラウザ分離セッションを実行できます。

「Browser Profile Storage Directory」(ブラウザプロファイルストレージディレクトリ) 値を指定すると、ブラウザセッションデータがKCM guacamoleコンテナ内に保持されます。例えば、以下のように構築されたパスを使用すると、ユーザーごとにブラウザセッションが保持されます:

```
/var/lib/guacamole/rbi-profiles/some-website-${GUAC_USERNAME}
```

<figure><img src="https://4041518992-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FZ7s6LQJaKa1G17O787JG%2Fuploads%2Ft4bBtzBvY6Ol0eWxMMuX%2Fimage.png?alt=media&#x26;token=fc37ab9d-9961-49ec-993c-35adb4ca1835" alt=""><figcaption></figcaption></figure>

注: 複数のセッションで同じブラウザプロファイルストレージディレクトリを同時に使用することはできません。

### URLのパターン <a href="#url-patterns" id="url-patterns"></a>

「Allowed URL Patterns」 (許可されたURLのパターン) と「Allowed Resource URL Patterns」 (許可されたリソースURLのパターン) の各パラメータが受け入れるURLパターンの形式はURLと同一で、どのURLが許可されるかを正確に指定します。パラメータは以下の基準に従って適用されます。

* URLパターンから省略されたURL要素は無視されます (要件として適用されません)。ただし、標準ポート番号は、スキームが指定されている場合に指定されたものと見なされます。
* ドメイン名には、「特定ドメインの任意のサブドメイン」を示すためのワイルドカード接頭辞 (`*.`) が使用できます。
* パスの代わりにワイルドカード (`*`) を使用することで、どの値も許可されていることをより明示的に示すことができます。
* ワイルドカード (`*`) をパスの末尾に使用することで、そのパスのサブパスがどれも許可されていることを示すことができます。
* ワイルドカード (`*`) をポート番号の代わりに使用することで、どのポートも許可されていることを示すことができます。

以下は例となります。

| パターン                        | 意味                                                                                                      |
| --------------------------- | ------------------------------------------------------------------------------------------------------- |
| `accounts.google.com`       | あらゆるプロトコルとパスを含むドメイン `accounts.google.com` へのリクエストを許可します。リクエストは、関係するプロトコルに関係なく、標準ポートに対して行う必要があります。       |
| `*.youtube.com`             | あらゆるプロトコルとパスを含む `youtube.com` のあらゆるサブドメインへのリクエストを許可します。リクエストは、関係するプロトコルに関係なく、標準ポートに対して行う必要があります。        |
| `http://10.10.10.10:8080`   | 厳密にHTTP (HTTPS ではない) と任意のパスを使用して、ポート 8080の `10.10.10.10` へのリクエストを許可します。                                 |
| `10.10.10.10:*`             | 任意のプロトコルと任意のパスを使用して、任意のポートで `10.10.10.10` へのリクエストを許可します。                                                |
| `https://example.net/foo`   | 厳密にHTTPS (HTTP ではない) とパス「/foo」を使用した `example.net` へのリクエストを許可します。リクエストはHTTPSの標準ポートに対して行う必要があります。         |
| `https://example.net/foo/*` | 厳密にHTTPS (HTTP ではない) と「/foo」の下の任意のパスを使用した `example.net` へのリクエストを許可します。リクエストは HTTPS の標準ポートに対して行う必要があります。 |
| `google.com`                | `google.com` ルートドメインからのあらゆるプロトコルまたはパスが許可されますが、サブドメインは許可されません。                                           |

### ブラウザ自動入力用パラメータ <a href="#browser-autofill-parameters" id="browser-autofill-parameters"></a>

Keeperコネクションマネージャーには、ユーザー名とパスワードを対象のウェブサイトのログイン画面に自動入力する機能が備わっています。ユーザーインターフェースで直接ユーザー名とパスワードを入力するか、Keeperボルト (保管庫) 内のレコードへの参照を使用します。

<figure><img src="https://4041518992-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FZ7s6LQJaKa1G17O787JG%2Fuploads%2FKGytZTBZwDa6MbB69CAZ%2Fimage.png?alt=media&#x26;token=dac6973c-d896-4e96-abb1-9e85ee5cf5de" alt=""><figcaption><p>ブラウザ自動入力用パラメータ</p></figcaption></figure>

### シークレット自動入力構成 <a href="#secrets-autofill-configuration" id="secrets-autofill-configuration"></a>

Keeperコネクションマネージャーで使用される自動入力ルールは、JSON/YAML形式のオブジェクトの配列であり、各オブジェクトで少なくとも以下のプロパティを指定します。

* `page` - 自動入力ルールが適用されるページのURLパターンです。ここで利用できるパターンは、ナビゲーション/リソースルールで受け入れられるパターンと同一となります。

加えて以下のプロパティのどれか、または両方を指定します。

* `username-field` - 自動入力するユーザー名が入るフィールドを一致させるCSSセレクタです。接続の`username`パラメーターの値が入力されます。
* `password-field` - 自動入力するパスワードが入るフィールドを一致させるCSSセレクタです。接続の`password`パラメーターの値が入力されます。
* `totp-code-field` - 現在のTOTPコードを入力するフィールドのユニークなDOM要素を特定するCSSセレクタまたはXPath式です。XPathを使用する場合、CSSセレクタと区別するために、必ずスラッシュ (/) から始める必要があります。
* `submit` - 該当するすべてのユーザー名/パスワードフィールドが入力された後、クリックを必要とする要素向けのCSSセレクタです。ログインページで適切なHTML `<form>` タグが使用されていない場合など、必要な場合にのみ指定します。省略すると、ユーザーが「Enter」を押したかのようにログインフォームを送信しようとします。
* `cannot-submit` は、KCM (Keeperコネクションマネージャー) がフォームを自動的に送信しないようにするためのCSSセレクタで、指定した要素が存在する限りフォームの送信をブロックします。

以下は、ユーザー名とパスワードの各フィールドがある単一ページのウェブアプリケーションの例となります。

```
- page: "http://172.31.8.134:8080/login"
  username-field: "input[name='j_username']"
  password-field: "input[name='j_password']"
```

<figure><img src="https://4041518992-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FZ7s6LQJaKa1G17O787JG%2Fuploads%2F4Euynso2nF9lfC8epIqR%2Fimage.png?alt=media&#x26;token=0d140f5a-ba92-49a8-a7a3-46514e8115fb" alt=""><figcaption><p>自動入力パラメータの例</p></figcaption></figure>

Microsoft Azure Portalのログインフローなど、一部のログインフローでは複数のルールが必要になる場合があります。

以下は、Microsoft Azureに必要な自動入力ルールのYAMLの例です。

```
- page: "login.microsoftonline.com"
  username-field: "input[autocomplete='username webauthn']"

- page: "login.live.com"
  password-field: "input[autocomplete='current-password']"
```

以下はJSON形式での例です。

```
[
    {
        "page": "login.microsoftonline.com",
        "username-field: "input[autocomplete='username webauthn']"

    },
    {
        "page": "login.live.com",
        "password-field": "input[autocomplete='current-password']"
    }
]
```

Keeperによる自動送信を望まない場合の一般的な例としては、ページにキャプチャがある際が挙げられます。以下はその例となります。

```
- page: "https://dash.cloudflare.com/login"
  username-field: "input[id='email']"
  password-field: "input[id='password']"
  cannot-submit: "div[data-testid=challenge-widget-container]"
```

CSSでは不十分な、非常に複雑なページでは、代わりにXPath式を使用できます。このような XPath式は、先頭に`/`を付けて作成します。

### フィールドの識別

リモートブラウザ分離は、JSONまたはYAMLコードで定義された特定のフィールド要素に基づいて認証情報を入力します。フォームフィールドセレクタは、ページのコンテンツを調べて特定のフィールド要素を特定することで発見できます。

1. **ページを検証**: ウェブページを右クリックして\[検証]を選択してデベロッパーツールを開きます。
2. **フィールドを選択**: 要素セレクター ツールを使用して、識別するフォームフィールドをクリックします。
3. **属性を読み取る**: 強調表示されたHTMLコードを見て、`autocomplete`、`type`、`name`、`id` などの識別子の属性を見つけます。

**例 1: `autocomplete`を使用**

* **HTMLコード**: `<input type="password" autocomplete="current-password" ...>`
* **説明**: パスワードフィールドは、`autocomplete` 属性を `current-password` に設定することで識別できます。

**例 2: `type`を使用**

* **HTML コード**: `<input type="password" ...>`
* **説明**: パスワードフィールドは、`type` 属性を `password` に設定することで識別できます。

**例 3: `name`を使用**

* **HTML コード**: `<input type="password" name="some_name_xyz" ...>`
* **説明**: パスワードフィールドは、`name` 属性を `some_name_xyz` に設定することで識別できます。

**例 4: `id`を使用**

* **HTMLコード**: `<input type="password" id="some_id_1234" ...>`
* **説明**: パスワードフィールドは、`id` 属性を `some_id_1234` に設定することで識別できます。

#### フィールド識別のテスト

Chromeブラウザからデベロッパーツールを開き、**\[コンソール]** タブに移動します。

フォームフィールドの識別をテストするには、document.querySelector() javascriptコマンドを使用します。

たとえば、以下を入力して「Enter」キーを押します。

```
document.querySelector("input[type='password']")
```

フィールドが見つかった場合は、DOM要素が表示されます。見つからない場合は、エラーが表示されます。

### TOTPコードの自動入力

RBIでTOTPコードを生成するためには、TOTPシークレットが事前に提供されている必要があります。また、ハッシュアルゴリズムや生成されるコードの桁数などの必要な詳細も合わせて指定する必要があります。

<figure><img src="https://4041518992-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FZ7s6LQJaKa1G17O787JG%2Fuploads%2FN6HPWizo4CncoqjvigHe%2Fimage.png?alt=media&#x26;token=0411e8dc-51eb-45ac-95b7-52df0d7e64f5" alt=""><figcaption><p>リモートブラウザ分離でのTOTPコード自動入力</p></figcaption></figure>

以下は、TOTP自動入力に関するパラメーターの詳細情報です。

| フィールドヘッダ                                            | パラメータ名           | デフォルト値 | 説明                                                                                                         |
| --------------------------------------------------- | ---------------- | ------ | ---------------------------------------------------------------------------------------------------------- |
| Two-Factor Code Algorithm (二要素コードアルゴリズム)            | `totp-algorithm` | `SHA1` | <p>TOTPコードを生成するために使用されるハッシュアルゴリズム。使用できる値は、SHA1、SHA256、</p><p>SHA512。</p>                                   |
| Digits in Two-Factor Code (二要素コードの桁数)               | `totp-digits`    | 6      | 生成されるTOTPコードに含まれる桁数です。許容される値は6、7、8です。                                                                      |
| Two-Factor Code Period (Seconds) (二要素コードの有効期間 (秒数)) | `totp-period`    | 30     | 生成されたTOTPコードが有効である時間 (秒単位)。                                                                                |
| Two-Factor Code Secret (二要素コードのシークレット)              | `totp-secret`    | N/A    | TOTPコードの生成に使用されるシークレットキーです。このキーは、対象のウェブサイトの各ユーザーに固有であり、パラメータートークンを使用してKSMからその都度取得できます (詳細については以下をご参照ください)。 |

追加の`${*_TOTP_SECRET}`トークンを使用することで、KSMを通じてKeeperボルトからTOTPシークレットをその都度取得できます。たとえば、RBI接続に関連付けられたユーザーアカウントのTOTPコードを取得する場合、`${KEEPER_USER_TOTP_SECRET}`パメータートークンを使用します。

| パラメータトークン                      | 説明                                                                                                                                    |
| ------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------- |
| `${KEEPER_SERVER_TOTP_SECRET}` | <p><strong>取得:</strong> 指定されたレコードに関連付けられたTOTPシークレットを取得します。<br><strong>一致:</strong> 「url」接続パラメーターに指定された値と一致するホスト名またはIPアドレスを持つレコード。</p> |
| `${KEEPER_USER_TOTP_SECRET}`   | <p><strong>取得:</strong> 指定されたレコードに関連付けられたTOTPシークレットを取得します。<br><strong>一致:</strong> 「username」接続パラメーターに指定された値と一致するログインを持つレコード。</p>     |

以下のトークンは定義されてはいますが、現在はRDPではTOTPコード生成が必要ないため実際的な用途がなく、使用されません。

<table><thead><tr><th width="395">パラメータトークン</th><th>説明</th></tr></thead><tbody><tr><td><code>${KEEPER_GATEWAY_TOTP_SECRET}</code></td><td><p><strong>取得</strong>: レコードに関連付けられたTOTPシークレット</p><p><strong>一致</strong>: 「gateway-hostname」接続パラメータの値と一致するホスト名またはIPアドレスのレコード</p></td></tr><tr><td><code>${KEEPER_GATEWAY_USER_TOTP_SECRET}</code></td><td><p><strong>取得</strong>: レコードに関連付けられたTOTPシークレット</p><p><strong>一致</strong>: 「gateway-username」接続パラメータと一致するログイン情報を持つレコード</p></td></tr></tbody></table>

### グローバル自動入力ルールの一括読み込み <a href="#bulk-loading-of-global-autofill-rules" id="bulk-loading-of-global-autofill-rules"></a>

`guacd` コンテナは、自動入力ルールを含むファイルを含むように変更できます。このファイルを使用すると、すべての接続に同じルールをロードする必要がなくなります。ルールは、特定の接続に表示されるルールに追加されます。

* 以下のように `docker-compose.yml` ファイルを変更して `autofill-rules.yml` マッピングを含めます。

```
    guacd:
        image: keeper/guacd:2
        restart: unless-stopped
        shm_size: 2000822k
        security_opt:
            - "seccomp:/etc/kcm-setup/guacd-docker-seccomp.json"
        environment:
            ACCEPT_EULA: "Y"
        volumes:
            - "common-storage:/var/lib/guacamole:rw"
            - "/etc/kcm-setup/autofill-rules.yml:/etc/guacamole/autofill-rules.yml:ro"
```

サンプル`autofill-rules.yml`ファイル

```
- page: "https://dash.cloudflare.com/login"
  username-field: "input[id='email']"
  password-field: "input[id='password']"
  cannot-submit: "div[data-testid=challenge-widget-container]"
- page: "login.microsoftonline.com"
  username-field: "input[autocomplete='username']"
- page: "login.live.com"
  password-field: "input[autocomplete='current-password']"
- page: "http://172.31.8.134:8080/login"
  username-field: "input[name='j_username']"
  password-field: "input[name='j_password']"
```

### Keeperシークレットマネージャーとの統合

[Keeperシークレットマネージャーとの統合機能](https://docs.keeper.io/kcm-linux-rpm-method/vault-integration/installation)を使用すると、ユーザー名とパスワード情報をKeepeボルト (保管庫) から直接取得することもできます。たとえば、Keeperボルトからユーザー名とパスワードを使用してJenkinsにログインする際には、「Hostname」というカスタムフィールドに基づいて検索を行います。

<figure><img src="https://4041518992-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FZ7s6LQJaKa1G17O787JG%2Fuploads%2FNbGroSF6WWMnXxO45AVo%2Fimage.png?alt=media&#x26;token=75d68cc4-438b-4331-b2b8-27883344c03b" alt=""><figcaption><p>Keeperシークレットマネージャーとの統合を使用したブラウザ自動入力パラメータ</p></figcaption></figure>

以下は、Keeperボルトのレコードの形式となります。

<figure><img src="https://4041518992-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FZ7s6LQJaKa1G17O787JG%2Fuploads%2FHPtIufv24FLdldE1Sf1A%2Fimage.png?alt=media&#x26;token=5b1b12c8-a7da-423f-91bc-c916e36584a5" alt=""><figcaption><p>Keeperボルトの構成</p></figcaption></figure>

### オーディオ設定用パラメータ

<figure><img src="https://4041518992-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FZ7s6LQJaKa1G17O787JG%2Fuploads%2FiKDL68TbnykYtbseFcop%2Fimage.png?alt=media&#x26;token=598083b9-e333-4f6e-9aab-899cd79178de" alt=""><figcaption><p>オーディオ設定</p></figcaption></figure>

| フィールドヘッダ (ウェブインターフェース)      | パラメータ名              | デフォルト値  | 説明                                                                                                                                    |
| --------------------------- | ------------------- | ------- | ------------------------------------------------------------------------------------------------------------------------------------- |
| Disable Audio (オーディオを無効にする) | `disable-audio`     | `false` | チェックされている場合 (`true`に設定されている場合)、リモートブラウザ分離セッション内でオーディオが転送されません。ページはオーディオを再生しますが、オーディオは無視されます。                                          |
| Channels (チャンネル)            | `audio-channels`    | `2`     | KCMを介して送信されるオーディオデータに使用されるオーディオチャンネルの数。有効な値は、 `1`（センターチャンネルのみのモノラルオーディオ、一般的には「モノ」と呼ばれる) と`2` (左右のチャンネルを持つステレオオーディオ、一般的には「ステレオ」と呼ばれる)。 |
| Bit Depth (ビット深度)           | `audio-bps`         | `16`    | 有効な値は、`8` (8ビットオーディオ、比較的低品質) と`16` (16ビットオーディオ、標準的な品質レベル)                                                                             |
| Sample Rate (サンプルレート)       | `audio-sample-rate` | `44100` | KCMを介して送信されるオーディオデータのサンプルレート (Hz単位)。                                                                                                  |

### 画面録画用パラメータ <a href="#screen-recording-parameters" id="screen-recording-parameters"></a>

リモートブラウザ分離セッションは録画できます。これらの録画は Guacamoleプロトコルのダンプ形式をとり、指定されたディレクトリに自動的に保存されます。録画はコネクションマネージャーの ユーザーインターフェイスで再生することも、オープンソースプレーヤーでファイルを再生することもできます。

プレーヤーは静的なウェブアプリケーションであり、録画の再生にJavaScriptのみを使用します。この機能は厳密にローカルで実装されており、**録画ファイルが処理のためにリモートサービスにアップロードされることはありません**。このアプリケーションを独自に展開する場合やソースコードを調査したい場合は、Keeperコネクションマネージャー セッション録画プレーヤーの完全なソースコードが[GitHub](https://github.com/glyptodon/glyptodon-enterprise-player)で公開されており、ローカル展開の手順も記載されています。

{% hint style="info" %}
Keeperコネクションマネージャーの最新バージョンでは、記録したセッションを画面上で再生できます。詳しくは、[セッションレコーディング](https://docs.keeper.io/kcm-linux-rpm-method/using-keeper-connection-manager/session-recording)のページをご参照ください。
{% endhint %}

<figure><img src="https://4041518992-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FZ7s6LQJaKa1G17O787JG%2Fuploads%2F9Y7kQfOX3rSzOfrvs7iO%2Fimage.png?alt=media&#x26;token=f91eaeeb-add3-4865-9bf8-83f5fa2559f3" alt=""><figcaption></figcaption></figure>

<table><thead><tr><th>フィールドヘッダ (ウェブインターフェイス)</th><th width="249.33333333333331">パラメータ名</th><th>説明</th></tr></thead><tbody><tr><td>Recording path: (録画パス)</td><td><code>recording-path</code></td><td>画面録画ファイルを作成するディレクトリを指定します。グラフィカルな録画を作成する必要がある場合、このパラメータは必須です。このパラメータを指定することで、グラフィカルな画面録画が有効になります。もしこのパラメータを省略した場合、グラフィカルな録画は作成されません。</td></tr><tr><td>Recording name: (録画名)</td><td><code>recording-name</code></td><td><p>作成される録画ファイルのファイル名を指定します。このパラメータを省略すると、録画ファイルの名前は単純に「recording」となります。</p><p><strong>Guacamoleは既存の録画ファイルを上書きすることはありません。</strong>必要に応じて、既存の録画ファイルと名前が重複しないように、「.1」、「.2」、「.3」などの数値の接尾辞がファイル名に追加されます。数値接尾辞を追加しても効果がない場合、セッションは録画されず、エラーがログに記録されます。</p><p>このパラメータは、グラフィカル録画が有効になっている場合にのみ効果を発揮します。録画パスを指定することでグラフィカル録画が有効になりますが、録画パスが指定されていない場合、グラフィカルセッションの録画は無効となり、このパラメータは無視されます。</p></td></tr><tr><td>Exclude graphics/streams: (グラフィックとストリーミングを除外)</td><td><code>recording-exclude-output</code></td><td><p>「true」に設定すると、通常サーバーからクライアントにストリーミングされるグラフィカル出力およびその他のデータが録画から除外され、ユーザー入力イベントのみを含む録画が生成されます。デフォルトでは録画にはグラフィカル出力が含まれます。</p><p>このパラメータは、グラフィカル録画が有効になっている場合にのみ効果を発揮します。録画パスを指定することでグラフィカル録画が有効になりますが、録画パスが指定されていない場合、グラフィカルセッションの録画は無効となり、このパラメータは無視されます。</p></td></tr><tr><td>Exclude mouse: (マウスを除外)</td><td><code>recording-exclude-mouse</code></td><td><p>このパラメータを「true」に設定すると、ユーザーのマウスイベントが録画から除外され、マウスカーソルが表示されない録画が生成されます。デフォルトでは、録画にはマウスイベントが含まれます。</p><p>このパラメータは、グラフィカル録画が有効になっている場合にのみ効果を発揮します。録画パスを指定することでグラフィカル録画が有効になりますが、録画パスが指定されていない場合、グラフィカルセッションの録画は無効となり、このパラメータは無視されます。</p></td></tr><tr><td>Exclude touch events: (タッチイベントを除外)</td><td><code>recording-exclude-touch</code></td><td><p>このパラメータを「true」に設定すると、ユーザーのタッチイベントが録画から除外され、タッチ操作の詳細が記録されない録画が生成されます。<strong>ただし、リモートデスクトップサーバーがタッチ操作を独自にレンダリングする場合、タッチイベントが完全に非表示になるわけではありません。</strong>デフォルトでは、録画にはタッチイベントが含まれます。</p><p>このパラメータは、グラフィカル録画が有効になっている場合にのみ適用されます。録画パスを指定することでグラフィカル録画が有効になりますが、録画パスが指定されていない場合、グラフィカルセッションの録画は無効となり、このパラメータは無視されます。</p></td></tr><tr><td>Include key events: (キーイベントを除外)</td><td><code>recording-include-keys</code></td><td><p>このパラメータを「true」に設定すると、ユーザーのキーボード入力イベントが録画に含まれるようになります。その後、録画データを<code>guaclog</code>ユーティリティに通すことで、セッション中に押されたキーの内容を人間が読み取れる形式で解釈することが可能になります。<strong>デフォルトでは、プライバシー保護の観点から、キー入力イベントは録画に含まれません。</strong></p><p>このパラメータは、グラフィカル録画が有効になっている場合にのみ適用されます。録画パスを指定することでグラフィカル録画が有効になりますが、録画パスが指定されていない場合、グラフィカルセッションの録画は無効となり、このパラメータは無視されます。</p></td></tr><tr><td>Automatically create recording path: (自動的に録画パスを作成)</td><td><code>create-recording-path</code></td><td><p>このパラメータを「true」に設定すると、指定された録画パス内の最終ディレクトリが存在しない場合に自動で作成されます。デフォルトでは、録画パスのいかなる部分も自動作成されず、存在しないディレクトリを使用しようとすると、セッションは録画されず、エラーが記録されます。</p><p><strong>注意点として、自動作成されるのはパス内の最終ディレクトリのみです。</strong>パス内の他のディレクトリが存在しない場合、セッションは録画されず、エラーが記録されます。</p><p>このパラメータは、グラフィカル録画が有効になっている場合にのみ適用されます。録画パスを指定することでグラフィカル録画が有効になりますが、録画パスが指定されていない場合、グラフィカルセッションの録画は無効となり、このパラメータは無視されます。</p></td></tr></tbody></table>

### SFTPパラメータ (ファイル転送)

### 自己署名またはカスタムCA証明書

対象のウェブアプリケーションで自己署名またはカスタムCA証明書が使用されている場合は、Docker ComposeでCA\_CERTIFICATES環境変数を設定して証明書を許可します。例については、[guacdパラメータのページ](/jp/keeper-connection-manager/installation/docker-compose-install/keeper-guacd.md)をご参照ください。

次のバージョンのKeeperコネクションマネージャーでは、自己署名証明書を無視するオプションが使用できるようになります。

### ブラウザ分離に関するよくある質問

#### リモートブラウザ分離機能はKeeperコネクションマネージャー専用ですか?

はい、リモートブラウザ分離はKeeperコネクションマネージャーのアドオンとなります。

#### Keeperコネクションマネージャーの一部であるということは、リモートブラウザ分離機能は一般ユーザーを対象としていないということですか?

いいえ、リモートブラウザ分離機能はさまざまな使用例が考慮されています。エンドユーザーは、VPNやZTNA製品を必要とせずに、社内のウェブベースアプリケーションにアクセスできるようになります。リモートブラウザ分離はデバイス上のローカルエージェントも必要としません。

#### リモートブラウザ分離機能はLinux 専用ですか?

いいえ、リモートブラウザ分離機能はWindows、Mac、Linux、Android、iOSで動作します。

#### リモートブラウザ分離機能はDockerコンテナでのみ動作しますか、あるいはKubernetesでも​​動作しますか?

KeeperコネクションマネージャーはDockerコンテナとしてデプロイされ、Kubernetesデプロイメントでのランタイムとして使用できます。

#### RDP (リモートデスクトッププロトコル) は1つの画面に制限されていますか?

Keeperコネクションマネージャーは複数の画面にまたがって拡張でき、ユーザーが各モニターで個別のウィンドウを使用したい場合は、KCMを開いた状態で追加のブラウザを使用できます。

#### リモートブラウザ分離機能はCentrifyなどのPAMソリューションで動作しますか?

はい、ユーザーはリモートブラウザ分離機能を介して任意のウェブアプリケーションやウェブサイトにログインして、安全にセッションを実行、録画できます。

#### ローカルデバイスからブラウザコネクションにコピーアンドペーストできますか?

はい、管理者によって無効にされていない限り可能です。一部ブラウザではクリップボード統合がサポートされていない場合があります。

#### リモートブラウザ分離機能により、米国外のリモートチームメンバーがVPNを使う必要性がなくなりますか?

はい、Keeperコネクションマネージャーのリモートブラウザ分離機能により、VPNを使用して内部ウェブアプリケーションや特定のクラウドベースのアプリケーションにアクセスする必要がなくなります。

#### コネクションマネージャーからスキャナなどのローカルUSBデバイスにアクセスできますか?

現在はアクセスできません。この機能については検討中です。

#### リモートブラウザ分離機能により、フィッシングや悪意のあるウェブサイトからローカルデバイスに何かを挿入するのを防止できますか?

はい、すべてのアクティビティはリモートブラウザ分離サンドボックス内で行われるため、フィッシングや悪意のある行為者がローカルデバイスを攻撃するのを防止できます。

#### プロキシ経由でトラフィックをルーティングすることは可能ですか?

リモートブラウザ分離セッションでは、KeeperコネクションマネージャーコンテナをホストしているマシンがDNSを照会し、対象のウェブサイトやアプリケーションにウェブリクエストを送信できることが要件となります。Keeperコネクションマネージャーインスタンスからターゲットにアクセスできない場合は、サポートチームにお問い合わせの上構成をご確認ください。

#### 録画は通常どのくらいのストレージを占有しますか? また、録画に関連するストレージに対してコストは発生しますか?

録画はKeeperコネクションマネージャーコンテナに保存されるため、Keeper側からのコストは発生しません。録画のサイズはUI操作の長さと量によって異なります。

#### リモートブラウザ分離機能はローカルマシンへのダウンロードにどのような影響を与えますか?

現時点ではファイルのダウンロードとアップロードはブロックされています。Keeperコネクションマネージャーの今後のアップデートで、ファイルのアップロードとファイルのダウンロードの両方を制御する機能が接続設定で利用できるようになる予定です。

#### リモートブラウザ分離機能はCyber​​Arkの代替品になり得ますか?

はい、KeeperPAM (特権アクセスマネージャー) ではパスワードとパスキーの管理、シークレットの管理、接続の管理が可能となり、特権アクセスの管理に完全なゼロトラストアプローチをご利用になれます。KeeperとCyber​​Arkなどの競合他社製品との比較に関しては、[こちらのページ](https://www.keepersecurity.com/vs/competitors/)をご覧ください。

#### リモートブラウザ分離機能はFIPS認定を受けているため、CUIにアクセスできますか?

Keeperでは、厳格な政府および公共部門のセキュリティ要件に対応するために、FIPS 140-2検証済みの暗号化モジュールを使用しています。 Keeperの暗号化技術は、NIST暗号化モジュール検証プログラム (CMVP) によって認定されており、認定されたサードパーティの研究機関によってFIPS 140 標準を満たすことが検証されています。Keeperへは、NIST CMVPから[証明書#3976](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/3976)が発行されています。Keeper のセキュリティ、暗号化、コンプライアンスの詳細については、[こちらのページ](https://www.keepersecurity.com/security)をご覧ください。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/jp/keeper-connection-manager/supported-protocols/remote-browser-isolation.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.