SAML 2.0認証の設定プロパティ

SAML 2.0 SSOの詳細設定プロパティ

ここに記載したプロパティは、SAML 2.0認証を使用している場合にのみ適用されます。SAML 2.0認証のサポートは、kcm-guacamole-auth-samlパッケージを使用してインストールするか、またはDockerインストールで有効化します。keeper/guacamoleのDockerイメージを使用する場合、SAML 2.0認証のサポートは、環境変数を使用して設定します。

SAML 2.0の設定プロパティ

プロパティ名説明

プロパティ名	説明
`saml-idp-metadata-url`	SAML拡張がIdPで認証する方法を知るために必要な情報をすべて含む、SAML IDプロバイダから取得したXMLメタデータファイルのURI。このURIは、リモートサーバー（`https://`など）またはファイルシステム上のローカルファイル（`file://`など）の場合もあります。メタデータファイルには、SAML認証に必要なプロパティがほとんど含まれている場合が多く、他のパラメータは必要ありません。
`saml-idp-url`	SAML IdPのベースURL。これは、SAML認証拡張機能がSAML認証を要求するときに、リダイレクトに使用するURLです。`saml-idp-metadata-url` プロパティが設定されている場合、このパラメータは無視されます。メタデータファイルが設定されていない場合は、このプロパティが必要です。
`saml-entity-id`	Keeper Connection Manager SAMLクライアントのエンティティID。通常はKeeper Connection ManagerサーバーのURLですが、そうである必要はありません。このプロパティが必要になるのは、`saml-idp-metadata-url`プロパティが指定されていない場合、または設定されたメタデータファイルにKeeper Connection ManagerクライアントのSAML SPエンティティIDが含まれていない場合です。
`saml-callback-url`	認証が成功して、Keeper Connection Managerウェブアプリケーションに戻り、認証の詳細情報をSAML拡張に渡す場合に、IdPが使用するURL。現在、SAML拡張は、このコールバックURLに対するPOST操作としてのコールバックのみをサポートしています。このプロパティは必須です。
`saml-strict`	SAMLログイン時に厳密なセキュリティチェックを要求します。これにより、SAMLサーバーとのすべての通信に有効な証明書が存在することが保証され、セキュリティ制約に違反した場合にはSAML認証が失敗します。このプロパティはオプションであり、デフォルトは「true」で、厳密なセキュリティチェックが必要です。このプロパティを「false」に設定するのは、SAML認証をテストする際の本番以外の環境に限定するべきです。
`saml-debug`	サポートしているSAMLライブラリ内で詳細ログを有効にして、SAMLログイン時の問題の追跡に役立てることができます。このプロパティはオプションで、デフォルトは「false（デバッグなし）」です。
`saml-compress-request`	SAML IdPに送信されるHTTPリクエストの圧縮を有効にします。このプロパティはオプションで、デフォルトは「true（圧縮有効）」です。
`saml-compress-response`	IdPから返されたSAMLレスポンスの圧縮を要求します。このプロパティはオプションで、デフォルトは「true（圧縮を要求）」です。
`saml-group-attribute`	SAML IdPが提供する属性の名前。ユーザーのグループメンバーシップを含みます。これらのグループは解析され、ユーザーがログインするグループメンバーシップをマッピングするために使用されます。これは、特に他の認証モジュールと階層化されている場合に、Keeper Connection Managerクライアント内での権限管理に使用できます。このプロパティはオプションで、デフォルトは「groups」です。
`saml-private-key-path`	リクエストに署名があることを想定した設定になっているIDプロバイダへの接続で使用する秘密鍵へのパス
`saml-x509-cert-path`	リクエストに署名があることを想定した設定になっているIDプロバイダに対する認証で使用する証明書へのパス

saml-idp-metadata-url

SAML拡張がIdPで認証する方法を知るために必要な情報をすべて含む、SAML IDプロバイダから取得したXMLメタデータファイルのURI。このURIは、リモートサーバー（https://など）またはファイルシステム上のローカルファイル（file://など）の場合もあります。メタデータファイルには、SAML認証に必要なプロパティがほとんど含まれている場合が多く、他のパラメータは必要ありません。

saml-idp-url

SAML IdPのベースURL。これは、SAML認証拡張機能がSAML認証を要求するときに、リダイレクトに使用するURLです。saml-idp-metadata-url プロパティが設定されている場合、このパラメータは無視されます。メタデータファイルが設定されていない場合は、このプロパティが必要です。

saml-entity-id

Keeper Connection Manager SAMLクライアントのエンティティID。通常はKeeper Connection ManagerサーバーのURLですが、そうである必要はありません。このプロパティが必要になるのは、saml-idp-metadata-urlプロパティが指定されていない場合、または設定されたメタデータファイルにKeeper Connection ManagerクライアントのSAML SPエンティティIDが含まれていない場合です。

saml-callback-url

認証が成功して、Keeper Connection Managerウェブアプリケーションに戻り、認証の詳細情報をSAML拡張に渡す場合に、IdPが使用するURL。現在、SAML拡張は、このコールバックURLに対するPOST操作としてのコールバックのみをサポートしています。このプロパティは必須です。

saml-strict

SAMLログイン時に厳密なセキュリティチェックを要求します。これにより、SAMLサーバーとのすべての通信に有効な証明書が存在することが保証され、セキュリティ制約に違反した場合にはSAML認証が失敗します。このプロパティはオプションであり、デフォルトは「true」で、厳密なセキュリティチェックが必要です。このプロパティを「false」に設定するのは、SAML認証をテストする際の本番以外の環境に限定するべきです。

saml-debug

サポートしているSAMLライブラリ内で詳細ログを有効にして、SAMLログイン時の問題の追跡に役立てることができます。このプロパティはオプションで、デフォルトは「false（デバッグなし）」です。

saml-compress-request

SAML IdPに送信されるHTTPリクエストの圧縮を有効にします。このプロパティはオプションで、デフォルトは「true（圧縮有効）」です。

saml-compress-response

IdPから返されたSAMLレスポンスの圧縮を要求します。このプロパティはオプションで、デフォルトは「true（圧縮を要求）」です。

saml-group-attribute

SAML IdPが提供する属性の名前。ユーザーのグループメンバーシップを含みます。これらのグループは解析され、ユーザーがログインするグループメンバーシップをマッピングするために使用されます。これは、特に他の認証モジュールと階層化されている場合に、Keeper Connection Managerクライアント内での権限管理に使用できます。このプロパティはオプションで、デフォルトは「groups」です。

saml-private-key-path

リクエストに署名があることを想定した設定になっているIDプロバイダへの接続で使用する秘密鍵へのパス

saml-x509-cert-path

リクエストに署名があることを想定した設定になっているIDプロバイダに対する認証で使用する証明書へのパス

ログイン動作の制御

Keeper Connection Managerは、認証拡張機能を優先度順に読み込み、認証の試行を同じ順序で評価します。これは、SSO拡張が有効な場合のログインプロセスの動作に影響します。

SSO拡張が優先される場合:

まだ認証されていないユーザーは、設定されたIDプロバイダに即座にリダイレクトされます。Keeper Connection Managerのログイン画面は表示されません。

SSO以外の拡張が優先される場合:

まだ認証されていないユーザーには、Keeper Connection Managerのログイン画面が表示されます。また、SSOを使用したログインを希望するユーザーには、設定済みのIDプロバイダへのリンクが表示されます。

拡張機能のデフォルトの優先順位はファイル名によって決まり、アルファベット順で先に来る拡張機能の優先順位が他の拡張機能よりも高くなります。これは、guacamole.properties内のextension-priorityプロパティを設定することでオーバーライドできます。

認証されていないユーザーをすべて自動的にリダイレクト

ユーザーを即座に（Keeper Connection Managerのログイン画面を表示せずに）SAML IDプロバイダにリダイレクトするには、SAML拡張機能が他のすべての拡張機能よりも優先されるようにします。

extension-priority: saml

認証されていないユーザーにログイン画面を表示

ユーザーに通常のKeeper Connection Managerのログイン画面を表示し、従来のクレデンシャルでログインするか_または_SAMLでログインするかを選択できるようにするには、SAML拡張機能が優先になっていないことを確認します。

extension-priority: *, saml

Previousguacamole.properties NextDuo二要素認証の設定プロパティ

Last updated 9 months ago