# 認証方式

## 概要

Keeperの接続は、以下のいずれかの方法で認証できます。

[**接続用認証情報**](#jie-xu-yong-ren-zheng-qing-bao)\
PAMマシン、PAMデータベース、またはPAMディレクトリのレコードタイプに直接設定された「接続用認証情報」を使用して、ターゲットへのセッションが認証されます。ユーザーは接続のためにこの認証情報にアクセスする必要はありません。

[**個人用認証情報**](#ge-ren-yong-ren-zheng-qing-bao)\
「ユーザーがボルトから認証情報を選択できるようにする」が有効な場合、ユーザーは自分のKeeperボルトに安全に保存されている個人あるいはプライベート認証情報を使って、ターゲットへのセッションを認証できます。

[**一時的アカウント**](#akaunto)\
PAMマシンまたはPAMデータベースのリソースで一時的アカウント機能が有効になっている場合、セッション専用の、システムが生成する時間制限付きの特権アカウントが作成されます。このアカウントはセッション終了後に自動的に削除され、常設の特権が排除されます。この方式は、対象のシステムに永続的なアカウントを残さず、ジャストインタイムアクセスを実現するために使用されます。

## 接続用認証情報

PAMマシン、PAMデータベース、またはPAMディレクトリのレコードタイプで接続用認証情報を設定すると、対象システムへのセッションは設定された接続用認証情報を使用して認証されます。

**接続用認証情報の構成手順**

1. PAMマシン、PAMデータベース、またはPAMディレクトリのいずれかのレコードタイプを開き、**\[PAM設定]** に移動します。
2. **\[接続]** タブを開きます。
3. **\[接続用認証情報]** ドロップダウンで、接続に使用するPAMユーザーレコードを選択します。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FIC3D6nDtM3aR5umbC2Si%2Fimage.png?alt=media&#x26;token=327eb7f3-76a3-409e-b2b7-2373ff47b926" alt=""><figcaption></figcaption></figure>

4. 接続用認証情報を設定したら、**\[更新]** をクリックしてPAM設定を閉じ、レコードを保存します。
5. 「**セッション終了時に接続用認証情報をローテーションする**」のチェックボックスを有効にすると、各セッションの終了後に接続用認証情報が自動でローテーションされます。

接続用認証情報を設定すると、該当のPAMレコードタイプには使用中の接続用認証情報が表示されます。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FWDBqWGGYvINRuQJ2EulY%2Fimage.png?alt=media&#x26;token=326136ae-fc76-4151-b7cc-1c5506ef2392" alt=""><figcaption></figcaption></figure>

## 個人用認証情報

PAMマシン、PAMデータベース、およびPAMディレクトリの各レコードタイプでは、ユーザーが自身のKeeperボルトに保存された個人用またはプライベートな認証情報を使用してセッションを認証できるように設定できます。これを有効にすると、ユーザーはセッション開始時に自身のKeeperボルトから認証情報を選択できるようになります。

ユーザーによる自身の認証情報の使用を許可するには、以下の手順に従います。

1. PAMマシン、PAMデータベース、またはPAMディレクトリのレコードタイプでPAM設定を開きます。
2. **\[接続]**&#x30BF;ブに移動します。
3. 「**ボルトから認証情報を選択できるようにする**」のチェックボックスを有効にします。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FLp8ndFvpEmjjFhe6UFTY%2Fimage.png?alt=media&#x26;token=6edb25e9-b598-41c9-aaa8-57e037f01cce" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
接続用認証情報が設定されている場合、ユーザーは接続時に、接続用認証情報と自身の個人用認証情報のどちらを使用するか選択できます。

「セッション終了時に接続用認証情報をローテーションする」が有効になっている場合、ローテーションされるのは設定された接続用認証情報のみであり、個人用／プライベート認証情報はローテーションされません。
{% endhint %}

4. 手順3を有効にしたら、**\[更新]** をクリックしてPAM設定を閉じ、レコードを保存します。

ユーザーが起動ボタンをクリックすると、自身のKeeperボルトから認証情報を選択するオプションが表示されます。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FfKTraz1JIpCSrbnvg2Lg%2Fimage.png?alt=media&#x26;token=63f8407f-f5bb-43e5-8d5c-a569fd35d08a" alt=""><figcaption></figcaption></figure>

## 一時的アカウント

PAMマシン、PAMデータベース、PAMディレクトリの各レコードタイプは、一時的アカウントを使用してセッションを認証できるように設定できます。

一時的アカウントとは、セッション専用に作成されるシステム生成の一時的な特権アカウントであり、セッション終了後に自動的に削除されます。この方法は、対象システム上に永続的なアカウントを残さずに利用できる、ジャストインタイムアクセスに使用されます。

一時的アカウントを有効にする手順

1. PAMマシン、PAMデータベース、またはPAMディレクトリレコードタイプでPAM設定を開きます。
2. **\[JIT]** タブに移動します。
3. **\[接続用に一時的アカウントを作成する]** を有効にします。\
   ※マシンの場合、ユーザーを生成する対象システムのタイプ (例: Linux) を指定する必要があります。Linux用の一時的アカウントはLinuxユーザーになります。
4. (任意) **\[接続中にアカウントを昇格させる]** を有効にすると、認証に使用されるアカウントを指定のグループやロールに昇格できます。グループまたはロールは有効なものである必要があります。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FXB29a3vhi2n20tw8LZq4%2Fimage.png?alt=media&#x26;token=2a79e9ce-65a3-4fd4-9fbc-655353c09309" alt=""><figcaption></figcaption></figure>

5. 上記の設定を有効にしたら、**\[更新]** をクリックしてPAM設定を閉じ、レコードを保存します。レコードは以下のように表示されるはずです。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FJYeBb75vuRDN2GIh3ykR%2Fimage.png?alt=media&#x26;token=4e4d8901-e748-48d5-b3d0-ccb3961ff7f6" alt=""><figcaption></figcaption></figure>

## プロトコル構成

使用しているプロトコルに関する追加の設定詳細については、[こちらのページ](https://docs.keeper.io/keeperpam/privileged-access-manager/connections/session-protocols)をご覧ください。