# SAML 2.0認証の設定プロパティ {% hint style="info" %} 本ページに記載のプロパティはSAML 2.0認証を使用している場合にのみ適用されます。SAML 2.0認証のサポートは、[kcm-guacamole-auth-saml](https://newdocs.keeper.io/kcm-linux-rpm-method/authentication/authenticating-users-with-saml)パッケージを使用してインストールするか、Dockerインストールで有効化します。[keeper/guacamole](/keeper-connection-manager/jp/authentication/authenticating-users-with-saml.md)のDockerイメージを使用している場合は、環境変数を使用してSAML 2.0認証のサポートを設定します。 {% endhint %} ## SAML 2.0の設定プロパティ | プロパティ名 | 説明 | | ------------------------ | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | `saml-idp-metadata-url` | SAMLアイデンティティプロバイダーからのXMLメタデータファイルのURIで、SAML拡張機能がIdP (IDプロバイダ) との認証方法を知るために必要な情報が含まれています。このURIはリモートサーバー (例: `https://`) またはファイルシステム上のローカルファイル (例: `file://`) のいずれかで指定できます。通常、メタデータファイルにはSAML認証に必要なほとんどのプロパティが含まれており、他のパラメータは必要ないことが多いです。 | | `saml-idp-url` | SAML IdPのベースURL。これは、SAML認証拡張機能がSAML認証を要求する際にリダイレクトに使用するURLです。`saml-idp-metadata-url` プロパティが設定されている場合、このパラメータは無視されます。メタデータファイルが設定されていない場合は、このプロパティが必要です。 | | `saml-entity-id` | KeeperコネクションマネージャーSAMLクライアントのエンティティIDで、通常はKeeperコネクションマネージャーサーバーのURLですが、必ずしもそうである必要はありません。このプロパティは、`saml-idp-metadata-url`プロパティが指定されていない場合、または提供されたメタデータファイルにKeeperコネクションマネージャー クライアントのSAML SPエンティティIDが含まれていない場合に必要です。 | | `saml-callback-url` | 認証が成功した後、IdPがKeeperコネクションマネージャーウェブアプリケーションに戻り、SAML拡張に認証情報を提供するために使用するURLです。SAML拡張は現在、このコールバックURLへのPOST操作としてのみコールバックをサポートしています。このプロパティは必須です。 | | `saml-strict` | SAMLログイン時に厳密なセキュリティチェックを要求します。これにより、SAMLサーバーとのすべての通信に有効な証明書が存在することが保証され、セキュリティ制約に違反した場合にはSAML認証が失敗します。このプロパティはオプションであり、デフォルトは「true」で、厳密なセキュリティチェックが要求されます。このプロパティを「false」に設定するのは、SAML認証をテストする際の本番以外の環境に限定するべきです。 | | `saml-debug` | サポートしているSAMLライブラリ内で詳細ログを有効にして、SAMLログイン時の問題の追跡に役立てることができます。このプロパティはオプションで、デフォルトは「false」 (デバッグなし) です。 | | `saml-compress-request` | SAML IdPに送信されるHTTPリクエストの圧縮を有効にします。このプロパティはオプションで、デフォルトは「true」 (圧縮有効) です。 | | `saml-compress-response` | IdPから返されたSAMLレスポンスの圧縮を要求します。このプロパティはオプションで、デフォルトは「true」 (圧縮を要求) です。 | | `saml-group-attribute` | SAML IdPが提供する属性の名前。ユーザーのグループメンバーシップを含みます。これらのグループは解析され、ユーザーがログインするグループメンバーシップをマッピングするために使用されます。これは、特に他の認証モジュールと階層化されている場合に、Keeperコネクションマネージャークライアント内での権限管理に使用できます。このプロパティはオプションで、デフォルトは「groups」です。 | | `saml-private-key-path` | リクエストに署名があることを想定した設定になっているIDプロバイダへの接続で使用する秘密鍵へのパス | | `saml-x509-cert-path` | リクエストに署名があることを想定した設定になっているIDプロバイダに対する認証で使用する証明書へのパス | ## ログイン動作の制御 Keeperコネクションマネージャーは、認証拡張を優先順位の順に読み込み、認証試行もこの順番で評価します。そのため、SSO拡張が存在する場合のログイン動作に影響があります。 **SSO拡張が優先される場合** まだ認証されていないユーザーは、設定されたIDプロバイダに即座にリダイレクトされます。Keeperコネクションマネージャーのログイン画面は表示されません。 **SSO以外の拡張が優先される場合** まだ認証されていないユーザーには、Keeperコネクションマネージャーのログイン画面が表示されます。また、SSOを使用したログインを希望するユーザーには、設定済みのIDプロバイダへのリンクが表示されます。 拡張機能のデフォルトの優先順位はファイル名のアルファベット順で決まります。この順序は、`guacamole.properties`内の`extension-priority`プロパティを設定することで上書きできます。 **認証されていないユーザーをすべて自動的にリダイレクト** ユーザーを即座に (Keeperコネクションマネージャーのログイン画面を表示せずに) SAML IDプロバイダにリダイレクトするには、SAML拡張機能が他のすべての拡張機能よりも優先されるようにします。 ``` extension-priority: saml ``` **認証されていないユーザーにログイン画面を表示** ユーザーに通常のKeeperコネクションマネージャーのログイン画面を表示し、従来のクレデンシャルでログインするかSAMLでログインするかを選択できるようにするには、SAML拡張機能が優先になっていないようにします。 ``` extension-priority: *, saml ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeper-connection-manager/jp/advanced-configuration/guacamole.properties/saml-2.0-authentication-configuration-properties.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.