# アカウントの承認/拒否ワークフロー

KCMユーザーがSAMLやOpenID、PIV/CACなどのSSOシステムから自動的に作成される環境では、管理者はそれらのユーザーにKCMの使用を許可するか否かをより厳密に制御したい場合があります。これを実現するために、管理者が個々のユーザーにSSOメソッドを使用したKCMでの認証を許可するか否かを決定するための承認/拒否ワークフローがKCMに搭載されています。

## KCMのユーザー作成ワークフローを設定

ユーザーが特定の認証メソッドを使用してサインインすることの承認を求めるには、`require-account-approval`プロパティ (または、Dockerの場合は、`REQUIRE_ACCOUNT_APPROVAL`環境変数) を使用します。このプロパティは、管理者の承認を必要とするすべての認証メソッドの名前のコンマ区切りのリストを受け入れます。KCMは、以下の認証タイプをサポートしています。

| **認証メソッド**               | **名前**   |
| ------------------------ | -------- |
| 暗号化JSON                  | `json`   |
| LDAP                     | `ldap`   |
| OpenID                   | `openid` |
| SAML                     | `saml`   |
| SSL/TLSクライアント認証（PIV/CAC） | `ssl`    |

たとえば、SAMLとLDAPの管理者承認を求めるには、以下のように指定してください。

```
require-account-approval: saml, ldap
```

以下に、SAML認証方式を有効にした`docker.yaml`ファイルの例を示します。

```yaml
 guacamole:
        image: keeper/guacamole:2
        restart: unless-stopped
        environment:
            ACCEPT_EULA:"Y"
            GUACD_HOSTNAME: "guacd"
            SSL_PRIMARY_URI: "https://kcm.example.net"
            SSL_CLIENT_AUTH_URI: "https://*.kcm.example.net"
            SSL_SUBJECT_BASE_DN: "ou=test department,o=u.s. government,c=us"
            POSTGRESQL_AUTO_CREATE_ACCOUNTS: "true"
            REQUIRE_ACCOUNT_APPROVAL: "saml"
```

認証メソッドの構成と設定が正常に完了すると、アプリケーションのログイン画面に対応するSSOログイン方式が表示されます。以下の図では、インスタンスが`saml`認証メソッドを使用するように設定されています。

<figure><img src="/files/8bgwUA0F0AgFWFGx4YV2" alt=""><figcaption><p>SAML認証のログイン画面</p></figcaption></figure>

承認または拒否を必要とする認証メソッドを1つ以上利用するユーザーは、ユーザー名の隣に「Pending Login Request」 (ログインリクエストを保留) バッジ付きでユーザーリストに表示されます。

<figure><img src="/files/pqbI9hJe1jUgXSrQy1D1" alt=""><figcaption></figcaption></figure>

管理者は、KCMでユーザーアカウントを編集することで、その認証メソッドを使用してそのユーザーのアクセスを承認または拒否できます。

<figure><img src="/files/fAYHk8387MlOW4G3PXQd" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeper-connection-manager/jp/authentication/account-approve-deny-workflow.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.