KCM バージョン 2.19.2
2024年12月7日リリース
RBIのTOTP自動入力サポート
ユーザー名とパスワードの自動入力サポートに加えて、RBIはTOTPコードの自動入力もできるようになりました。TOTPコードを受け取るフィールドは、自動入力ルールでtotp-code-fieldプロパティを使用して宣言する必要があります。
totp-code-field
現在のTOTPコードを受け取るべき入力フィールドのユニークなDOM要素に一致するCSSセレクタやXPath式。
XPathを使用する場合、CSSとXPathを明確に区別するために、式は先頭にスラッシュを付ける必要があります。
RBIがTOTPコードを生成できるようにするには、ハッシュアルゴリズムや生成される各コードの桁数などの必要な詳細情報とともに、TOTPシークレットを事前に設定する必要があります。
Two-Factor Code Algorithm (二要素コードアルゴリズム)
totp-algorithm
SHA1
TOTPコードを生成するために使用されるハッシュアルゴリズム。使用できる値は、SHA1、SHA256、
SHA512。
Digits in Two-Factor Code (二要素コードの桁数)
totp-digits
6
生成されるTOTPコードに含まれる桁数です。許容される値は6、7、8です。
Two-Factor Code Period (Seconds) (二要素コードの有効期間 (秒数))
totp-period
30
生成されたTOTPコードが有効である時間 (秒単位)。
Two-Factor Code Secret (二要素コードのシークレット)
totp-secret
該当なし
TOTPコードの生成に使用されるシークレットキーです。このキーは、対象のウェブサイトの各ユーザーに固有であり、パラメータートークンを使用してKSMからその都度取得できます (詳細については以下をご参照ください)。
追加の${*_TOTP_SECRET}トークンを使用することで、KSMを通じてTOTPシークレットをKeeperボルトからその都度取得できます。例えば、RBI接続に関連付けられたユーザーアカウントのTOTPコードを取得するには、${KEEPER_USER_TOTP_SECRET}パラメータトークンを使用します。
${KEEPER_SERVER_TOTP_SECRET}
取得: 指定されたレコードに関連付けられたTOTPシークレットを取得します。
一致: 「url」接続パラメーターに指定された値と一致するホスト名またはIPアドレスを持つレコード。
${KEEPER_USER_TOTP_SECRET}
取得: 指定されたレコードに関連付けられたTOTPシークレットを取得します。
一致: 「username」接続パラメーターに指定された値と一致するログインを持つレコード。
以下のトークンは定義されてはいますが、現在はRDPではTOTPコード生成が必要ないため実際的な用途がなく、使用されません。
${KEEPER_GATEWAY_TOTP_SECRET}
取得: レコードに関連付けられたTOTPシークレット。。
一致: 「gateway-hostname」接続パラメータの値と一致するホスト名またはIPアドレスのレコード
${KEEPER_GATEWAY_USER_TOTP_SECRET}
取得: レコードに関連付けられたTOTPシークレット。
一致: 「gateway-username」接続パラメータと一致するログイン情報を持つレコード
Duo v2からv4への移行
Duo Web SDK v4への移行はv2と互換性がありません。Duoがそのバージョンのサポートを終了したにもかかわらず (Duoに許可を依頼して)、お客様がv2でKCMを使用している場合は、以下の対応が必要です
Duoの設定を更新し、v2 (「レガシー」) ではなくv4 (「ユニバーサルプロンプト」) を使用するようにする。
KCMの設定を編集し、Duoアカウントから取得した新しいプロパティ/変数とそれに対応する値を使用する (下記参照)。
v2を使用していて、v4への移行のために設定を変更できないお客様は、移行が完了するまでKCM 2.19.0またはそれ以前のバージョンを引き続き使用する必要があります。
Duoは、Web SDKのv2のサポートを終了し、v4 (Duoの「ユニバーサルプロンプト」としても知られるバージョン) を推奨しています。v2はこれを必要とする顧客のみが使用できるように維持されています。現在、KCMはこの新しいバージョンに対応するように更新されています。DuoのWeb SDK v4はv2とは互換性がなく、異なる設定オプションを使用します。
duo-api-hostname
DUO_API_HOSTNAME
必須。ユーザーの認証情報を確認するために使用されるDuo APIエンドポイントのホスト名。Guacamoleが「Web SDK」アプリケーションとして追加された際にDuoによって割り当てられます。この値はDuoの「Admin」パネル内のアプリケーション詳細に記載されています。
duo-auth-timeout
DUO_AUTH_TIMEOUT
進行中のDuo認証試行のタイムアウト (分単位)。この期間を超える認証試行は無効になります。デフォルトでは、Duo認証試行は5分後にタイムアウトします。
duo-client-id
DUO_CLIENT_ID
必須。KCMが「Web SDK」アプリケーションとして追加された際にDuoから提供されたクライアントID。この値はDuoの「Admin」パネル内のアプリケーション詳細に記載されています。
duo-client-secret
DUO_CLIENT_SECRET
必須。KCMが「Web SDK」アプリケーションとして追加された際にDuoから提供されたクライアントシークレット。この値は、Duoの「Admin」パネル内のアプリケーション詳細に記載されています。
duo-redirect-uri
DUO_REDIRECT_URI
必須。認証されたユーザーのブラウザをKCMにリダイレクトするためにDuoサービスが使用できるユーザー向けのURI。
duo-application-key、duo-integration-key、duo-secret-keyプロパティ (およびDUO_APPLICATION_KEY、DUO_INTEGRATION_KEY、DUO_SECRET_KEY環境変数) は、DuoのWeb SDK v2特有のものであり、現在は機能しません。
KCMインストールスクリプト (kcm-setup.run) の詳細モード
kcm-setup.run) の詳細モードKCMインストールスクリプトの新しいデバッグ/詳細モードは、主にKCM開発チームが顧客の問題をトラブルシュートするために使用するデバッグ情報を取得するために役立ちます。この変数は、その文脈外で顧客に役立つ可能性は低く、使用することで得られる膨大な詳細情報が混乱を招く可能性があります。
kcm-setup.runスクリプトは、KCM_SETUP_DEBUG環境変数をサポートするようになり、この変数を設定するとスクリプトは詳細モードで実行され、実行されるすべてのコマンドとその出力が表示されます。このデバッグ出力は、KCM_SETUP_DEBUGの値に応じて、ターミナルやファイルに直接送信することができます。
Last updated