# コマンダー 17.2.16 本リリースでは、 `pam launch` および `pam tunnel start` をウェブボルトのPAMワークフロー制御との動作統一を実施したほか、GovCloudルーター対応と複数の修正を行いました。 ### PAM #### ワークフロー (`pam launch` / `pam tunnel start`) — ウェブボルトとの動作統一 ([#1997](https://github.com/Keeper-Security/Commander/pull/1997)) 起動・トンネル開始時の制御順序を、**エンタープライズの強制設定 → PAM構成の許可項目 → ワークフロー**となり、ウェブボルトと一致しました。 * **利用可能時間帯の制限を適用。**ワークフローのIANAタイムゾーンで設定された `allowedDays` / `timeRanges` の外側での起動はブロックされます。日付をまたぐ時間帯にも対応。 `zoneinfo` が利用できない場合や、タイムゾーン名が不明な場合はローカル時刻を使用します。 * **リース期限到達時に接続を即時切断。**アクティブセッション中に `expiresOn` に達した場合、 `pam launch` (対話シェル/RDP)と `pam tunnel start` は猶予や再接続なしで即座に接続を終了し、ウェブボルトの `ConnectionManager.scheduleWorkflowAccessExpiry` と一致します。ターミナルリセット後に「Access expired — session terminated」の行を出力し、表示が残るようにします。 * **申請理由/チケット入力を対話形式で実行。**ワークフローが `WS_NEEDS_ACTION` 状態で `AC_REASON` または `AC_TICKET` が必要な場合、 `pam workflow request` を別途実行する代わりに、その場で入力・再検証を実施 (理由は複数行、チケットは1行)。非対話実行用に新フラグ `--reason` / `-r` および `--ticket` / `-tk` が同じフローを駆動します。承認のみのワークフローは自動送信されます。 * **チェックアウト確認を対話形式で追加。**ワークフローが承認済みかつ未チェックアウト (`WS_READY_TO_START`) の場合、 `Check out 'RECORD' now? [Y/n]` を表示してその場で続行可能に。非対話実行向けに新フラグ `--auto-checkout` / `-aco` で自動承認します。 * **承認待機用 `--wait` (`-w`) オプションを追加。**ワークフローが `WS_WAITING` 状態の場合、8秒ごとに状態確認を実施し、待機解除まで継続します。 `--wait-timeout` の既定は600秒です。Ctrl+Cで安全にキャンセルできます。 * **セッション終了時の自動チェックインに対応。** `pam launch` によりチェックアウトされたリースは、セッション終了時に `end_workflow(flow_uid)` で自動解放。リース期限切れ後、またはユーザーが `pam workflow start` で事前チェックアウト済みの場合はスキップします。 (`pam tunnel stop` は意図的にリースを**解放しません**。以下の注記をご参照ください。) * **ゲートウェイオフライン時はMFAプロンプトをスキップ。**ウェブボルトの `LaunchButton.tsx` と同様に、コントローラーがオンラインでない場合はワークフローのMFAプロンプトをスキップし、起動側でゲートウェイオフラインエラーを表示します。 * **`pam launch` のコントローラーフォールバック。** `get_controllers` で見つからない場合に `pam/get_configuration_controller` へフォールバックし、ウェブボルトと一致します。 * **ワークフローAPIとの通信エラー時は、接続をブロックせず継続する動作に変更。**ワークフローAPI未対応の本番ルーター環境でも、従来の起動/トンネルが利用可能。 * **`pam tunnel stop` はワークフローリースを解放しない仕様に統一** (意図的、ウェブボルトと一致)。リースとトンネルは切り離され、1回の承認ウィンドウで複数の逐次または同時トンネルをホストできます。解放は `expiresOn` または明示的な `pam workflow end` で行います。 #### ワークフロー構成 (`pam workflow create` / `delete`) * **`pam workflow create`** 実行時に既存設定を事前確認し、上書きせずに案内付きエラーを表示。 * 作成者を承認者へ自動追加しない仕様へ変更。 `approvalsNeeded > 0` の場合は `--approver` 指定が必須。 * `TimeOfDayRange` のエンコード形式を、深夜からの分数からサーバー形式のHHMMに変更。 * **`pam workflow delete`** 実行時、削除対象が存在しない場合は明確なメッセージを表示して終了。 * 初回起動フローを改善。ワークフロー状態が `no_workflow` / `needs_start` の場合、その場でリクエスト送信を案内・実行 (ウェブボルトと同等操作)。 #### ローテーション (`pam action rotate`) ウェブボルトの**今すぐローテーション**ボタンと同じ2つの制御のみ適用するよう変更 (ワークフロー制御、MFA、時間帯制限は適用対象外)。 1. **エンタープライズ制御** — `allow_rotate_credentials` を適用。従来の `allow_pam_rotation` フォールバックは廃止され、明示的な `allow_rotate_credentials: false` が尊重されます。 2. **PAM構成ごとの `allowedSettings.rotation`** — PAM構成DAGで明示的に `false` の場合、「PAM構成により無効」の明確なメッセージとともにローテーションをスキップします。 個人アカウント/非エンタープライズ環境では、設定情報が不正または欠落していてもブロックしないよう改善。 #### PAMプロジェクトのimport / extend ([#1996](https://github.com/Keeper-Security/Commander/pull/1996)) * `--sample-data` の不具合を修正。 * エンタープライズデータを遅延ロードするよう改善し、大規模環境での `pam project import` / `pam project extend` の初期処理負荷を軽減。 #### GovCloud * トンネルおよびローテーションのGovCloud環境向けに**KRouterおよびKRelayのGovCloudホスト名**を追加 (KC-1231)。 ### 修正 * **`sf -e ` 実行時に発生するShareFolderCommandエラーを修正。** `Folder.SharedFolderUpdateUser.manageRecords` にboolean値を送信していた不具合を修正し、 `SetBooleanValue` を使用するよう改善 (`SharedFolderUpdateTeam` および `SharedFolderUpdateRecord` は影響を受けませんでした)。 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/release-notes/jp/developer-tools/commander/commander-17.2.16.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.