KCMユーザーがSAMLやOpenID、PIV/CACなどのSSOシステムから自動的に作成される環境では、管理者はそれらのユーザーにKCMの使用を許可するか否かをより厳密に制御したい場合があります。これを実現するために、管理者が個々のユーザーにSSOメソッドを使用したKCMでの認証を許可するか否かを決定するための承認/拒否ワークフローがKCMに搭載されています。

KCMのユーザー作成ワークフローを設定

ユーザーが特定の認証メソッドを使用してサインインすることの承認を求めるには、require-account-approvalプロパティ (または、Dockerの場合は、REQUIRE_ACCOUNT_APPROVAL環境変数) を使用します。このプロパティは、管理者の承認を必要とするすべての認証メソッドの名前のコンマ区切りのリストを受け入れます。KCMは、以下の認証タイプをサポートしています。

たとえば、SAMLとLDAPの管理者承認を求めるには、以下のように指定してください。

require-account-approval: saml, ldap

以下に、SAML認証方式を有効にしたdocker.yamlファイルの例を示します。

 guacamole:
        image: keeper/guacamole:2
        restart: unless-stopped
        environment:
            ACCEPT_EULA:"Y"
            GUACD_HOSTNAME: "guacd"
            SSL_PRIMARY_URI: "https://kcm.example.net"
            SSL_CLIENT_AUTH_URI: "https://*.kcm.example.net"
            SSL_SUBJECT_BASE_DN: "ou=test department,o=u.s. government,c=us"
            POSTGRESQL_AUTO_CREATE_ACCOUNTS: "true"
            REQUIRE_ACCOUNT_APPROVAL: "saml"

認証メソッドの構成と設定が正常に完了すると、アプリケーションのログイン画面に対応するSSOログイン方式が表示されます。以下の図では、インスタンスがsaml認証メソッドを使用するように設定されています。

承認または拒否を必要とする認証メソッドを1つ以上利用するユーザーは、ユーザー名の隣に「Pending Login Request」 (ログインリクエストを保留) バッジ付きでユーザーリストに表示されます。

管理者は、KCMでユーザーアカウントを編集することで、その認証メソッドを使用してそのユーザーのアクセスを承認または拒否できます。