> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/keeper-connection-manager/jp/vault-integration/dynamic-tokens.md). # 動的トークン
## 動的トークン ボルト連携を使用する場合、特定のトークンはKeeperのレコードの対応する値に置き換えられます。 トークンには、動的トークンと静的トークンがあります。**動的トークン**では、Keeperボルト内の一致するレコードから必要なシークレットフィールドが取得されます。**静的トークン**は、特定のKeeperのレコードおよびフィールドを明示的に参照するように作成できます。 ### ホスト名の照合 Keeperのレコードは、接続の「Hostname」 (ホスト名) フィールドとボルトのレコードの「ホスト名またはIPアドレス」フィールドを使用して接続に割り当てることができます。 これら2つの値が一致した場合、コネクションマネージャーが接続の他のフィールドのトークンを取得して、レコードのユーザー名、パスワード、ドメインなどの値に置き換えます。

Linuxの接続照合の例

SSH接続のシークレットマネージャーとの連携

Windowsログインの例

### ユーザーのマッチング Keeperのレコードは、接続の「Username」 (ユーザー名) フィールドとボルトのレコードの「ログイン」フィールドによって接続に割り当てます。 これら2つの値が一致した場合、コネクションマネージャーは、接続の他のフィールドのトークンを取得して、レコードのシークレットに置き換えます。 この機能は、例えば1つのSSH鍵を複数のサーバーにマッピングする場合に便利で、ホストごとに1つのレコードをボルトに保存する必要はありません。1つのKeeperボルトのレコードを使用して、接続をいくつでも認証できます。以下は、ユーザー名でマッチングするように設定された接続となります。

ユーザー照合による接続例

対応するボルトのレコードを以下に示します。ボルトのレコードにホスト名が指定されていないため、ログインフィールドを使用して照合されます。

ユーザーでボルトのレコードを照合

{% hint style="info" %} ユーザーベースの照合では、Keeperのレコードにホスト名/ポートがないことを確かにします。ユーザー名とパスワード (または秘密鍵) の指定するだけで問題ありません。 {% endhint %} ### ドメイン照合 Keeperのレコードは、接続の「ドメイン」フィールドとボルトのレコードの「ドメイン」という名前のカスタムフィールドによって接続に割り当てることができます。 これら2つの値が一致した場合、コネクションマネージャーは、接続の他のフィールドのトークンを取得して、レコードのユーザー名、パスワードなどの値に置き換えます。

ドメイン照合

ドメインをユーザー名フィールドの一部 (LUREY\Administratorなど) として保存したい場合は、[keeper/guacamole](https://docs.keeper.io/keeper-connection-manager/jp/vault-integration/pages/PrGlvnEjhFxQkUuBMC4I#id-.glyptodon-guacamolev2.x-environmentvariables)イメージのDockerコンテナ環境変数の `KSM_STRIP_WINDOWS_DOMAINS` フラグを「True」に切り替えて有効にします。 別の例として、Active Directoryの認証情報を使用してLinuxマシンにSSH接続を行う場合、`username@domain` 形式の値をログインフィールドに保存することができます。 ### リンクされたレコードへの対応 Keeperシークレットマネージャーとの連携により、リンクされたレコードを含むシークレットも読み取れるようになりました。具体的には、ボルト内のKeeperPAMレコードに関連付けられている「admin」および「launch」の認証情報が対象です。従来の `${KEEPER_SERVER_*}` や `${KEEPER_GATEWAY_*}` トークンと同様に、リンクされたレコードからシークレットを取得する動的トークンも利用できます。 ### **使用可能なトークン** 内臓のトークンはそれぞれがレコードのフィールドに対応しています。以下は、各トークンとそれに対応するレコードのフィールドの一覧示します。これらのトークンは、すべての接続タイプに適用できます。 | パラメータトークン | 説明 | | ------------------------------ | ---------------------------------------------------------------------------------------------------------------------------------------------------------------- | | `${KEEPER_SERVER_USERNAME}` |

取得: 一致した個々のレコードの「Login」フィールド

一致: 「hostname」接続パラメータの値と一致するホスト名/IPアドレスを持つレコード

| | `${KEEPER_SERVER_KEY}` |

取得: 一致した個々のレコードの「Private Key」フィールド (または個々の.pemファイル添付)

一致: 「hostname」接続パラメータの値と一致するホスト名/IPアドレスを持つレコード

| | `${KEEPER_SERVER_PASSPHRASE}` |

取得: 一致した個々のレコードの「Passphrase」フィールド (Passphraseがない場合は「Password」)

一致: 「hostname」接続パラメータの値と一致するホスト名/IPアドレスを持つレコード

| | `${KEEPER_SERVER_PASSWORD}` |

取得: 一致した個々のレコードの「Password」フィールド

一致: 「hostname」接続パラメータの値と一致するホスト名/IPアドレスを持つレコード

| | `${KEEPER_SERVER_DOMAIN}` |

取得: 一致した個々のレコードの「Domain」カスタムフィールド

一致: 「hostname」接続パラメータの値と一致するホスト名/IPアドレスを持つレコード

| | `${KEEPER_SERVER_TOTP_SECRET}` | レコードに関連付けられたTOTPシークレットを取得します | | `${KEEPER_USER_KEY}` |

取得: 一致した個々のレコードの「Private Key」フィールド (または個々の.pemファイル添付)

一致: 「username」接続パラメータに一致するログインを持つレコード

| | `${KEEPER_USER_PASSPHRASE}` |

取得: 一致した個々のレコードの「Passphrase」フィールド (Passphraseがない場合はPassword)

一致: 「username」接続パラメータに一致するログインを持つレコード

| | `${KEEPER_USER_PASSWORD}` |

取得: 一致した個々のレコードの「Password」フィールド

一致: 「username」接続パラメータに一致するログインを持つレコード

| | `${KEEPER_USER_DOMAIN}` |

取得: 一致した個々のレコードの「Domain」カスタムフィールド

一致: 「username」接続パラメータに一致するログインを持つレコード

| | `${KEEPER_USER_TOTP_SECRET}` |

取得: レコードに関連付けられたTOTPシークレット

一致: 「username」接続パラメータと一致するログインのレコード

| | `${KEEPER_DOMAIN_USERNAME}` |

取得: 一致した個々のレコードの「Login」フィールド


一致: 「domain」接続パラメータの値と一致するカスタム「Domain」フィールドを持つレコード

| | `${KEEPER_DOMAIN_PASSWORD}` |

取得: 一致した個々のレコードの「Password」フィールド


一致: 「domain」接続パラメータに一致するログインを持つレコード

| | `${KEEPER_SERVER_ADMIN_*}` | リモートデスクトップサーバーのホスト名に一致するKeeperレコードにリンクされた**管理者**認証情報(例: `${KEEPER_SERVER_ADMIN_PASSWORD}`) が取得されます。一致の判定は、`${KEEPER_SERVER_*}` トークンと同じ仕組みで行われます。 | | `${KEEPER_SERVER_LAUNCH_*}` | リモートデスクトップサーバーのホスト名に一致するKeeperレコードにリンクされた起動用の認証情報 (例: `${KEEPER_SERVER_LAUNCH_PASSWORD}`) が取得されます。一致の判定は、`${KEEPER_SERVER_*}` トークンと同じ仕組みで行われます。 | #### ゲートウェイトークン 以下のトークンは、ゲートウェイサポート (RDP) が利用できる接続タイプにのみ適用されます。 | パラメータトークン | 説明 | | ----------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | `${KEEPER_GATEWAY_USERNAME}` |

取得: 一致した個々のレコードの「Login」フィールド

一致: 「gateway-hostname」接続パラメータの値と一致するホスト名/IPアドレスを持つレコード。

| | `${KEEPER_GATEWAY_KEY}` |

取得: 一致した個々のレコードの「Private Key」フィールド (または個々の.pemファイル添付)

一致: 「gateway-hostname」接続パラメータの値と一致するホスト名/IPアドレスを持つレコード。

| | `${KEEPER_GATEWAY_PASSPHRASE}` |

取得: 一致した個々のレコードの「Passphrase」フィールド (パスフレーズがない場合は「Password」)

一致: 「gateway-hostname」接続パラメータの値と一致するホスト名/IPアドレスを持つレコード。

| | `${KEEPER_GATEWAY_PASSWORD}` |

取得: 一致した個々のレコードの「Password」フィールド


一致: 「gateway-hostname」接続パラメータの値と一致するホスト名/IPアドレスを持つレコード。

| | `${KEEPER_GATEWAY_USER_KEY}` |

取得: 一致した個々のレコードの「Private Key」フィールド (または個々の.pemファイル添付)


一致: 「gateway-username」接続パラメータに一致するログインを持つレコード。

| | `${KEEPER_GATEWAY_USER_PASSPHRASE}` |

取得: 一致した個々のレコードの「Passphrase」フィールド (Passphraseがない場合は「Password」)


一致: 「gateway-username」接続パラメータに一致するログインを持つレコード

| | `${KEEPER_GATEWAY_USER_PASSWORD}` |

取得: 一致した個々のレコードの「Password」フィールド


一致: 「gateway-username」接続パラメータに一致するログインを持つレコード

| | `${KEEPER_GATEWAY_ADMIN_*}` | Microsoft RD Gatewayを使用するRDP接続において、リモートデスクトップサーバーの「gateway-hostname」パラメーターに一致するKeeperレコードにリンクされた**管理者**認証情報(例: `${KEEPER_GATEWAY_ADMIN_PASSWORD}`) が取得されます。一致の判定は、`${KEEPER_GATEWAY_*}` トークンと同じ仕組みで行われます。この機能はMicrosoft RD Gatewayを利用する場合に固有のもので、RDP接続にのみ適用されます。 | | `${KEEPER_GATEWAY_LAUNCH_*}` | Microsoft RD Gatewayを使用するRDP接続において、リモートデスクトップサーバーの「gateway-hostname」パラメーターに一致するKeeperレコードにリンクされた起動用の認証情報 (例: `${KEEPER_GATEWAY_LAUNCH_PASSWORD}`) が取得されます。一致の判定は、`${KEEPER_GATEWAY_*}` トークンと同じ仕組みで行われます。この機能はMicrosoft RD Gatewayを利用する場合に固有のもので、RDP接続にのみ適用されます。 | 以下のトークンは定義されてはいますが、現在はRDPではTOTPコード生成が必要ないため実際的な用途がなく、使用されません。
パラメータトークン説明
${KEEPER_GATEWAY_TOTP_SECRET}

取得: レコードに関連付けられたTOTPシークレット

一致: 「gateway-hostname」接続パラメータの値と一致するホスト名またはIPアドレスのレコード

${KEEPER_GATEWAY_USER_TOTP_SECRET}

取得: レコードに関連付けられたTOTPシークレット

一致: 「gateway-username」接続パラメータと一致するログイン情報を持つレコード

### Active Directoryユーザー名/ドメインの解析 KCMは、対応する名前のフィールドがある限り、以下のようにKeeperボルトのレコードからドメイン、ユーザー名、パスワードの各フィールドを識別します。

カスタムフィールドでのドメイン照合

### ログインフィールドからドメインを自動解析 Keeperボルトのログインフィールドの値が `DOMAIN\Username` または `Username@Domain` の形式で供給されている場合、Active Directoryの「ドメイン」フィールドおよび「ユーザー名」フィールドを解析できます。 自動解析を有効にするには、環境変数 `KSM_STRIP_WINDOWS_DOMAINS` をDocker Configファイルに追加する必要があります。これにより、ユーザー名がドメインと結合されている場合に照合が機能するようになります。 `KSM_MATCH_DOMAINS_FOR_USERS` と呼ばれる別のプロパティは、ユーザー名とドメインの両方が正確に一致する場合にのみ、マッチングを強制します。 以下は例です。 {% code title="docker-compose.yml" %} ``` .... MYSQL_DATABASE: "guacamole_db" MYSQL_USERNAME: "guacamole_user" KSM_CONFIG: "XXX" .... .... KSM_STRIP_WINDOWS_DOMAINS: "true" KSM_MATCH_DOMAINS_FOR_USERS: "true" .... ``` {% endcode %} これで、レコードの「ログイン」フィールドに以下のように指定できます。

ログインフィールドからドメインを自動解析

### トラブルシューティング 認証情報を直接設定した接続は成功するのに、動的トークンを使用すると失敗する場合 (`login failed` エラー) は、通常、レコードが一致していないか、KSMアプリケーションで複数のレコードが一致していることが原因です。 * 親 `KSM_CONFIG` のKSMアプリケーションで複数のレコードが一致: 接続に失敗 * 親 `KSM_CONFIG` と親接続グループの両方のKSMアプリケーションでレコードが一致: 接続に失敗 * 親接続グループのKSMアプリケーションで複数のレコードが一致: 接続に失敗 * 複数の親接続グループのKSMアプリケーションで1件のレコードが一致: ツリー内の最下位の親グループが適用 KSMアプリケーションで一致するレコードは、以下のKSMコマンドで確認できます。 ホスト名の照合 {% code overflow="wrap" %} ``` ksm secret list --query="$.custom_fields[?(@.label=='Hostname' & @.value[0]=='TARGET_HOSTNAME')]" ``` {% endcode %} ユーザーのマッチング {% code overflow="wrap" %} ``` ksm secret list --query="$.fields[?(@.label=='login' & @.value[0]=='TARGET_USERNAME')]" ``` {% endcode %} ドメイン照合 {% code overflow="wrap" %} ``` ksm secret list --query="$.custom_fields[?(@.label=='Domain' & @.value[0]=='TARGET_DOMAIN')]" ``` {% endcode %} PAMリソースの照合 {% code overflow="wrap" %} ``` ksm secret list --query="$.fields[?(@.label=='pamHostname' & @.value[0].hostName=='TARGET_HOSTNAME')]" ``` {% endcode %} --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeper-connection-manager/jp/vault-integration/dynamic-tokens.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.