SAML 2.0認証の設定プロパティ
SAML 2.0 SSOの詳細設定プロパティ
本ページに記載のプロパティはSAML 2.0認証を使用している場合にのみ適用されます。SAML 2.0認証のサポートは、kcm-guacamole-auth-samlパッケージを使用してインストールするか、Dockerインストールで有効化します。keeper/guacamoleのDockerイメージを使用している場合は、環境変数を使用してSAML 2.0認証のサポートを設定します。
SAML 2.0の設定プロパティ
saml-idp-metadata-url
SAMLアイデンティティプロバイダーからのXMLメタデータファイルのURIで、SAML拡張機能がIdP (IDプロバイダ) との認証方法を知るために必要な情報が含まれています。このURIはリモートサーバー (例: https://
) またはファイルシステム上のローカルファイル (例: file://
) のいずれかで指定できます。通常、メタデータファイルにはSAML認証に必要なほとんどのプロパティが含まれており、他のパラメータは必要ないことが多いです。
saml-idp-url
SAML IdPのベースURL。これは、SAML認証拡張機能がSAML認証を要求する際にリダイレクトに使用するURLです。saml-idp-metadata-url
プロパティが設定されている場合、このパラメータは無視されます。メタデータファイルが設定されていない場合は、このプロパティが必要です。
saml-entity-id
KeeperコネクションマネージャーSAMLクライアントのエンティティIDで、通常はKeeperコネクションマネージャーサーバーのURLですが、必ずしもそうである必要はありません。このプロパティは、saml-idp-metadata-url
プロパティが指定されていない場合、または提供されたメタデータファイルにKeeperコネクションマネージャー クライアントのSAML SPエンティティIDが含まれていない場合に必要です。
saml-callback-url
認証が成功した後、IdPがKeeperコネクションマネージャーウェブアプリケーションに戻り、SAML拡張に認証情報を提供するために使用するURLです。SAML拡張は現在、このコールバックURLへのPOST操作としてのみコールバックをサポートしています。このプロパティは必須です。
saml-strict
SAMLログイン時に厳密なセキュリティチェックを要求します。これにより、SAMLサーバーとのすべての通信に有効な証明書が存在することが保証され、セキュリティ制約に違反した場合にはSAML認証が失敗します。このプロパティはオプションであり、デフォルトは「true」で、厳密なセキュリティチェックが要求されます。このプロパティを「false」に設定するのは、SAML認証をテストする際の本番以外の環境に限定するべきです。
saml-debug
サポートしているSAMLライブラリ内で詳細ログを有効にして、SAMLログイン時の問題の追跡に役立てることができます。このプロパティはオプションで、デフォルトは「false」 (デバッグなし) です。
saml-compress-request
SAML IdPに送信されるHTTPリクエストの圧縮を有効にします。このプロパティはオプションで、デフォルトは「true」 (圧縮有効) です。
saml-compress-response
IdPから返されたSAMLレスポンスの圧縮を要求します。このプロパティはオプションで、デフォルトは「true」 (圧縮を要求) です。
saml-group-attribute
SAML IdPが提供する属性の名前。ユーザーのグループメンバーシップを含みます。これらのグループは解析され、ユーザーがログインするグループメンバーシップをマッピングするために使用されます。これは、特に他の認証モジュールと階層化されている場合に、Keeperコネクションマネージャークライアント内での権限管理に使用できます。このプロパティはオプションで、デフォルトは「groups」です。
saml-private-key-path
リクエストに署名があることを想定した設定になっているIDプロバイダへの接続で使用する秘密鍵へのパス
saml-x509-cert-path
リクエストに署名があることを想定した設定になっているIDプロバイダに対する認証で使用する証明書へのパス
ログイン動作の制御
Keeperコネクションマネージャーは、認証拡張を優先順位の順に読み込み、認証試行もこの順番で評価します。そのため、SSO拡張が存在する場合のログイン動作に影響があります。
SSO拡張が優先される場合
まだ認証されていないユーザーは、設定されたIDプロバイダに即座にリダイレクトされます。Keeperコネクションマネージャーのログイン画面は表示されません。
SSO以外の拡張が優先される場合
まだ認証されていないユーザーには、Keeperコネクションマネージャーのログイン画面が表示されます。また、SSOを使用したログインを希望するユーザーには、設定済みのIDプロバイダへのリンクが表示されます。
拡張機能のデフォルトの優先順位はファイル名のアルファベット順で決まります。この順序は、guacamole.properties
内のextension-priority
プロパティを設定することで上書きできます。
認証されていないユーザーをすべて自動的にリダイレクト
ユーザーを即座に (Keeperコネクションマネージャーのログイン画面を表示せずに) SAML IDプロバイダにリダイレクトするには、SAML拡張機能が他のすべての拡張機能よりも優先されるようにします。
認証されていないユーザーにログイン画面を表示
ユーザーに通常のKeeperコネクションマネージャーのログイン画面を表示し、従来のクレデンシャルでログインするかSAMLでログインするかを選択できるようにするには、SAML拡張機能が優先になっていないようにします。
Last updated