アドバンストサーバーアクセスのクライアントを使用する

アドバンストサーバーアクセスのすべてのクライアントコマンドは、次の構文を使用します。

sft [global options] command [command options] [arguments...]

グローバルオプション

どのクライアントコマンドでも、次のオプションを使用できます。

-h、--help：ヘルプを表示します。
-v、--version：バージョンを表示します。

クライアントコマンド

コマンド	説明	オプション
sft config	クライアント構成オプションを取得して設定します。「クライアントを構成する」をご覧ください。	--config-file：指定された構成ファイルを使用します。 --append：指定された値を配列に追加します。
sft dash	ブラウザでチームのダッシュボードを開きます。	--team：指定されたチームを使用します。 --instance：アドバンストサーバーアクセスプラットフォームの指定のインスタンスを使用します。 --account：指定されたアカウントを使用します。 --config-file：指定された構成ファイルを使用します。
sft device-info	クライアントのデバイス情報をJSONとして表示します。	-
sft enroll	アドバンストサーバーアクセスのプラットフォームのクライアントインベントリに新しいクライアントを追加します。	--default：新しいデフォルトチームを設定します。（デフォルト：true） --url：アドバンストサーバーアクセスのインスタンスにアクセスするためのURLを設定します。 --team：指定されたチームを使用します。 --config-file：指定の構成ファイルを使用します。 --force：すでに重複が存在する場合でもクライアントを登録します（デフォルト：false）
sft fleet enroll	フリート内の複数のクライアントにクライアントをサイレント登録します。「アドバンストサーバーアクセスクライアントをサイレント登録する」をご覧ください。	--default：新しいチームをデフォルトとして設定します。（デフォルト：true） --token：指定されたトークンを使ってクライアントを登録します。 --token-file：指定されたファイルに保存されたトークンシークレットを使ってクライアントを登録します。
sft help	コマンドのリストまたは1つのコマンドのヘルプを表示します。	-
sft list-accounts	このクライアントが使用するように構成されているアカウントのリストを表示します。	--config-file：指定の構成ファイルを使用します。 -l, --selector：指定のセレクターによって結果をフィルタリングします（ラベルクエリ）。「セレクター」をご覧ください。 --output, -o：結果の書式を指定の書式に設定します。使用可能なオプションは、default、json、describeです。 --columns：出力内の指定の列名を表示します。列名は小文字で指定する必要があり、複数を指定する場合はカンマ区切りのリストにします。
sft list-projects	チームで利用可能なプロジェクトのリストを表示します。	--team：指定されたチームを使用します。 --instance：アドバンストサーバーアクセスプラットフォームの指定のインスタンスを使用します。 --account：指定されたアカウントを使用します。 --config-file：指定の構成ファイルを使用します。 -l, --selector：指定のセレクターによって結果をフィルタリングします（ラベルクエリ）。「セレクター」をご覧ください。 --output, -o：結果の書式を指定の書式に設定します。使用可能なオプションは、default、json、describeです。 --columns：出力内の指定の列名を表示します。列名は小文字で指定する必要があり、カンマ区切りのリストで収集されます。
sft list-servers	現在のチームで利用可能なサーバーのリストを表示します。	--team：指定されたチームを使用します。 --instance：アドバンストサーバーアクセスプラットフォームの指定のインスタンスを使用します。 --account：指定されたアカウントを使用します。 --config-file：指定の構成ファイルを使用します。 -l, --selector：指定のセレクターによって結果をフィルタリングします（ラベルクエリ）。「セレクター」をご覧ください。 -p, --project：指定のプロジェクト名によって結果をフィルタリングします。 --output, -o：結果を指定の書式に設定します。使用可能なオプションは、default、json、describeです。 --columns：出力内の指定の列名を表示します。列名は小文字で指定する必要があり、複数を指定する場合はカンマ区切りのリストにします。
sft list-servers-rjson	現在のチームで利用可能なサーバーのリストをRJSON形式で表示します。この出力をファイルに保存して、Royal TSXで動的フォルダーの作成に利用できます。「アドバンストサーバーアクセスでRoyal TSXを使用する」をご覧ください。	--team：指定されたチームを使用します。 --instance：アドバンストサーバーアクセスプラットフォームの指定のインスタンスを使用します。 --account：指定されたアカウントを使用します。 --config-file：指定の構成ファイルを使用します。 -l, --selector：指定のセレクターによって結果をフィルタリングします（ラベルクエリ）。「セレクター」をご覧ください。 -p, --project：指定のプロジェクト名によって結果をフィルタリングします。 -f, --filename：ファイル出力の格納パスを指定します。
sft login	クライアントの現在のチームからログアウトした場合、新しいセッションを作成し、チームのIDプロバイダーを認証します。アクティブで承認されたクライアントセッションにより、アドバンストサーバーアクセスのクライアントは、必要に応じてバックグラウンドで認証（資格）情報を要求できるようになります。	--team：指定されたチームを使用します。 --instance：アドバンストサーバーアクセスプラットフォームの指定のインスタンスを使用します。 --account：指定されたアカウントを使用します。 --config-file：指定の構成ファイルを使用します。
sft logout	現在のセッションからログアウトします。	--team：指定されたチームを使用します。 --instance：アドバンストサーバーアクセスプラットフォームの指定のインスタンスを使用します。 --account：指定されたアカウントを使用します。 --config-file：指定の構成ファイルを使用します。
sft proxycommand	OpenSSH ProxyCommandと共に使用して、ssh、scp、rsync、ftpなどでsftをトランスペアレントに使用できるようにします。	--team：指定されたチームを使用します。 --instance：アドバンストサーバーアクセスプラットフォームの指定のインスタンスを使用します。 --account：指定されたアカウントを使用します。 --config-file：指定の構成ファイルを使用します。 --via, --bastion：指定のSSH要塞を介してターゲットに接続します。 --config：廃止。代わりにsft ssh-configを使用してください。
sft rdp	引数として渡されたターゲットにRDPを介して接続します。	--via, --bastion：指定のSSH要塞を介してターゲットに接続します。 --team：指定されたチームを使用します。 --instance：アドバンストサーバーアクセスプラットフォームの指定のインスタンスを使用します。 --account：指定されたアカウントを使用します。 --config-file：指定の構成ファイルを使用します。 --share：ターゲットと共有するディレクトリへの絶対パスを指定します。
sft resolve	指定されたホスト名またはインスタンス詳細に一致する単一サーバーを解決します。	--q, --quiet：致命的な警告のみがstderrに出力されるようにします。 --team：指定されたチームを使用します。 --instance：アドバンストサーバーアクセスプラットフォームの指定のインスタンスを使用します。 --account：指定されたアカウントを使用します。 --config-file：指定の構成ファイルを使用します。
sft session-logs verify	アドバンストサーバーアクセスを使って登録されたゲートウェイ署名キーに対する、指定のセッションログの整合性を検証します。有効な署名がないログファイルは、不正確であるか、攻撃者によって破損されている可能性があります。	--stdin：セッションログファイルからではなく、stdinからのセッションデータを返します。
sft session-logs export	セッションログを特定の書式でエクスポートします。デフォルトでは、ログはJSON形式でエクスポートされます。セッションログは、エクスポートプロセスでも検証されます。有効な署名がないログファイルは、不正確であるか、攻撃者によって破損されている可能性があります。	--stdin：セッションログファイルからではなく、stdinからのセッションデータを返します。 --insecure：クライアントによるセッションログファイルの整合性の検証を停止します。 --format：特定の書式でログをエクスポートします。使用可能なオプションは、jsonまたはasciinemaです。 --output：エクスポートされたログを、stdoutではなく指定のファイルに保存します。
sft ssh	引数として渡されたターゲットにSSHを介して接続します。アドバンストサーバーアクセスは一般に、OpenSSH ProxyCommand統合を使ってsshと連動します。sft sshコマンドは、OpenSSHが利用できない環境またはコンテキストでのsshサポートとして、またはアドバンストサーバーアクセス固有のオプション（--viaなど）を明示的に渡したい場合に使用するように提供されています。	--via, --bastion：指定されたSSH要塞ホストを使ってターゲットに接続します。 --team：指定されたチームを使用します。 --instance：アドバンストサーバーアクセスプラットフォームの指定のインスタンスを使用します。 --account：指定されたアカウントを使用します。 --config-file：指定の構成ファイルを使用します。 -L, --local-port-forward：指定されたローカルポートをリモートアドレスに転送します。 -R, --remote-port-forward：指定されたリモートリスナーをローカルアドレスに転送します。 --command：指定されたコマンドをSSHを介して実行します。
sft ssh-config	~/.ssh/configファイルでの使用に適したOpenSSH構成ブロックを出力します。これにより、ユーザーのローカルsshバイナリがアドバンストサーバーアクセス認証を使用できるようになります。このSSH構成は、クライアントに現在アクティブで承認されたセッションがある場合に使用されます。	--team：指定されたチームを使用します。 --instance：アドバンストサーバーアクセスプラットフォームの指定のインスタンスを使用します。 --account：指定されたアカウントを使用します。 --config-file：指定の構成ファイルを使用します。 --via, --bastion：指定のSSH要塞を介してターゲットに接続します。
sft support collect	Oktaサポート用にローカルの診断情報を収集します。	-
sft support submit	Oktaサポート用に診断情報を送信します。	-
sft unenroll	アドバンストサーバーアクセスのプラットフォームのクライアントインベントリーから現在のアクティブクライアントを削除します。	-y, --yes：指定されたチームを使用します。 --team：指定されたチームを使用します。 --instance：アドバンストサーバーアクセスプラットフォームの指定のインスタンスを使用します。 --config-file：指定の構成ファイルを使用します。 --all：すべてのローカルクライアントの登録を解除します。
sft use	登録済みのチームを、現在のセッションで使用する現在のデフォルトとして設定します。	--instance：アドバンストサーバーアクセスプラットフォームの指定のインスタンスを使用します。 --config-file：指定の構成ファイルを使用します。

セレクター

-l, --selector：フィルタリングするセレクター（ラベルクエリ）。

セレクターをオプションの引数として受け取るコマンドは、任意のセレクタークエリに基づいて結果をフィルタリングできます。

セレクター構文はKubernetesラベルクエリに基づいています。「ラベルおよびセレクター」をご覧ください。

例：

sft list-servers -l os_type=windows,project_name=Demo

この例では、セレクターを使用して、ユーザーがアクセスするサーバーのリストをフィルタリングします。このコマンドは、Demoプロジェクトに登録されているWindowsサーバーを返します。

クライアントを構成する

sft configコマンドを使用すると、構成オプションを表示または設定できます。

アドバンストサーバーアクセスのクライアントのインストール時には構成ファイルは存在しません。最初の構成オプションを設定したときに構成ファイルが作成されます。

ユーザーが構成値を明示的に設定するまで、デフォルトの設定値が使用されます。アドバンストサーバーアクセスのクライアントのデフォルト値は、最大限のセキュリティと最も一般的な状況における使いやすさを提供することを目的としています。rdp.screensizeの設定などの個人的な好みを除いては、いずれのクライアントの構成も全く設定し直す必要はありません。

アドバンストサーバーアクセスのクライアント構成はセクションにグループ化されています。現在、これらのセクションには、rdp、ssh、ssh_agent、service_auth、 updateが含まれます。

構成を表示する

sft config：現在の構成を表示します。
sft config [section.key]：section.keyで示される特定の構成の現在の値を表示します。

構成値を設定する

構成値は次のコマンド構文を使って設定できます。sft config [section.key] [value]

RDP構成オプション

キー	説明	例
rdp.screensize	1024x768など、好みのRDPウィンドウサイズを示す文字列の値に設定します。	sft config rdp.screensize 800x600 sft config rdp.screensize 1024x768
rdp.fullscreen	RDPセッションを全画面モードで開きたい場合は、これを true に設定します。これを trueに設定する場合、rdp.screensizeの値は無視されます。	sft config rdp.fullscreen true sft config rdp.fullscreen false
rdp.client	（macOSのみ）これを希望のRDPクライアント（Royal TSXの場合はroyaltsx、MacFreeRDPの場合はmacfreerdp）に設定します。このオプションが設定されていない場合、アドバンストサーバーアクセスは最初にRoyal TSXの使用を試み、Royal TSXを使用できない場合にMacFreeRDPを使用します。	sft config rdp.client royaltsx sft config rdp.client macfreerdp

キー

説明

例

rdp.screensize

1024x768など、好みのRDPウィンドウサイズを示す文字列の値に設定します。

sft config rdp.screensize 800x600

sft config rdp.screensize 1024x768

rdp.fullscreen

RDPセッションを全画面モードで開きたい場合は、これを true に設定します。これを trueに設定する場合、rdp.screensizeの値は無視されます。

sft config rdp.fullscreen true

sft config rdp.fullscreen false

rdp.client

（macOSのみ）これを希望のRDPクライアント（Royal TSXの場合はroyaltsx、MacFreeRDPの場合はmacfreerdp）に設定します。このオプションが設定されていない場合、アドバンストサーバーアクセスは最初にRoyal TSXの使用を試み、Royal TSXを使用できない場合にMacFreeRDPを使用します。

sft config rdp.client royaltsx

sft config rdp.client macfreerdp

SSH構成オプション

キー	説明	例
ssh.save_privatekey_passwords	trueに設定すると、アドバンストサーバーアクセスのクライアントはユーザーが入力したパスフレーズをワークステーションのローカル暗号化ストアに保存します。	sft config ssh.save_privatekey_passwords true sft config ssh.save_privatekey_passwords false
ssh.port_forward_method	これをnetcatに設定すると、アドバンストサーバーアクセスは、デフォルトのネイティブSSHポート転送を使用する代わりに、ポート転送の手段としてnetcat (nc)をリモートで実行します。	sft config ssh.port_forward_method netcat sft config ssh.port_forward_method native
ssh.insecure_forward_agent	SSHコマンドの実行時にForwardAgentを設定する場合、これをホストに設定します。アドバンストサーバーアクセスが発行した資格情報はssh-agentに追加されないため、このオプションは、アドバンストサーバーアクセスによって管理されていない外部管理資格情報（SSH公開鍵など）を受け入れるように構成されたホストで使用するためのものです。このオプションを設定しない、または値をnoneに設定すると、アドバンストサーバーアクセスはSSHエージェントを転送しなくなります。	sft config ssh.insecure_forward_agent host sft config ssh.insecure_forward_agent none

キー

説明

例

ssh.save_privatekey_passwords

trueに設定すると、アドバンストサーバーアクセスのクライアントはユーザーが入力したパスフレーズをワークステーションのローカル暗号化ストアに保存します。

sft config ssh.save_privatekey_passwords true

sft config ssh.save_privatekey_passwords false

ssh.port_forward_method

これをnetcatに設定すると、アドバンストサーバーアクセスは、デフォルトのネイティブSSHポート転送を使用する代わりに、ポート転送の手段としてnetcat (nc)をリモートで実行します。

sft config ssh.port_forward_method netcat

sft config ssh.port_forward_method native

ssh.insecure_forward_agent

SSHコマンドの実行時にForwardAgentを設定する場合、これをホストに設定します。アドバンストサーバーアクセスが発行した資格情報はssh-agentに追加されないため、このオプションは、アドバンストサーバーアクセスによって管理されていない外部管理資格情報（SSH公開鍵など）を受け入れるように構成されたホストで使用するためのものです。

このオプションを設定しない、または値をnoneに設定すると、アドバンストサーバーアクセスはSSHエージェントを転送しなくなります。

sft config ssh.insecure_forward_agent host

sft config ssh.insecure_forward_agent none

SSHエージェントの構成オプション

キー	説明	例
ssh_agent.enable	trueに設定すると、アドバンストサーバーアクセスのクライアントは認証時にSSHエージェントを使用します。	sft config ssh_agent.enable true sft config ssh_agent.enable false
ssh_agent.keys	この値をSSHエージェントにロードするSSHプライベートキーへの単一パスまたは複数のパスのJSON配列に設定します。--append フラグを使用して、このリストに値を追加します。ヒント： Windows PowerShellでJSONリテラルを書き込む場合、内部引用符をエスケープします。例えば： sft config ssh_agent.keys '[\"C:\\Users\\alice\\.ssh\\id_rsa\"]'	sft config ssh_agent.keys '["/Users/alice/.ssh/id_rsa"]' sft config ssh_agent.keys --append /Users/alice.ssh/id_rsa sft config ssh_agent.keys '[]'

キー

説明

例

ssh_agent.enable

trueに設定すると、アドバンストサーバーアクセスのクライアントは認証時にSSHエージェントを使用します。

sft config ssh_agent.enable true

sft config ssh_agent.enable false

ssh_agent.keys

この値をSSHエージェントにロードするSSHプライベートキーへの単一パスまたは複数のパスのJSON配列に設定します。--append フラグを使用して、このリストに値を追加します。

ヒント： Windows PowerShellでJSONリテラルを書き込む場合、内部引用符をエスケープします。例えば：

sft config ssh_agent.keys '[\"C:\\Users\\alice\\.ssh\\id_rsa\"]'

sft config ssh_agent.keys '["/Users/alice/.ssh/id_rsa"]'

sft config ssh_agent.keys --append /Users/alice.ssh/id_rsa

sft config ssh_agent.keys '[]'

ネットワーク構成オプション

キー	説明	例
network.forward_proxy	このオプションを構成すると、アドバンストサーバーアクセスのクライアントは指定されたHTTPまたはHTTPS URLをHTTPトンネルとして使用します。	sft config network.forward_proxy https://your-proxy.example.com:3141
network.tls_use_bundled_cas	trueに設定すると、アドバンストサーバーアクセスのクライアントはTLS認証にバンドルされたCA証明書を使用します。falseに設定すると、クライアントはOSのCAリストを使用します。注：このオプションはデフォルトでtrueに設定されています。falseに設定すると、特定のオペレーティングシステムではCAリストに問題が発生する可能性があり、バンドルCA証明書リストを使用するよりもパフォーマンスが大幅に低下する可能性があるため、このオプションをfalseに設定しないことを強くお勧めします。	sft config network.tls_use_bundled_cas true sft config network.tls_use_bundled_cas false

キー

説明

例

network.forward_proxy

このオプションを構成すると、アドバンストサーバーアクセスのクライアントは指定されたHTTPまたはHTTPS URLをHTTPトンネルとして使用します。

sft config network.forward_proxy https://your-proxy.example.com:3141

network.tls_use_bundled_cas

trueに設定すると、アドバンストサーバーアクセスのクライアントはTLS認証にバンドルされたCA証明書を使用します。falseに設定すると、クライアントはOSのCAリストを使用します。

注：このオプションはデフォルトでtrueに設定されています。falseに設定すると、特定のオペレーティングシステムではCAリストに問題が発生する可能性があり、バンドルCA証明書リストを使用するよりもパフォーマンスが大幅に低下する可能性があるため、このオプションをfalseに設定しないことを強くお勧めします。

sft config network.tls_use_bundled_cas true

sft config network.tls_use_bundled_cas false

その他の構成オプション

キー	説明	例
service_auth.enable	trueに設定すると、アドバンストサーバーアクセスクライアントはサービスユーザーの認証をサポートします。「サービスユーザー」をご覧ください。	sft config service_auth.enable true sft config service_auth.enable false
update.release_channel	アドバンストサーバーアクセスのクライアントは、デフォルトでは安定した更新チャンネルですが、テスト用更新チャンネルを使用するようにオプションを設定することで、より頻繁なリリースの受信を選択することもできます。	sft config update.release_channel test sft config update.release_channel stable
client.timeout_seconds	クライアントがサーバーからの応答を待機する最大時間を定義します（この時間に達すると要求を再送信します）。このオプションを設定しない、または値を0に設定すると、クライアントはデフォルト値の300秒を使用します。このオプションに負の値を設定すると、タイムアウトは無効化されます。	sft config client.timeout_seconds 60 sft config client.timeout_seconds -1

キー

説明

例

service_auth.enable

trueに設定すると、アドバンストサーバーアクセスクライアントはサービスユーザーの認証をサポートします。「サービスユーザー」をご覧ください。

sft config service_auth.enable true

sft config service_auth.enable false

update.release_channel

アドバンストサーバーアクセスのクライアントは、デフォルトでは安定した更新チャンネルですが、テスト用更新チャンネルを使用するようにオプションを設定することで、より頻繁なリリースの受信を選択することもできます。

sft config update.release_channel test

sft config update.release_channel stable

client.timeout_seconds

クライアントがサーバーからの応答を待機する最大時間を定義します（この時間に達すると要求を再送信します）。

このオプションを設定しない、または値を0に設定すると、クライアントはデフォルト値の300秒を使用します。
このオプションに負の値を設定すると、タイムアウトは無効化されます。

sft config client.timeout_seconds 60

sft config client.timeout_seconds -1

環境変数

変数	説明	例
SFT_DEBUG	設定した場合、コマンドの実行時に内部ログとタイミングメッセージは`stderr`に出力されます。	SFT_DEBUG=1 sft list-servers
SFT_ALLOW_INSECURE_USERNAMES	設定した場合、標準外の文字が含まれるユーザー名を使った接続が許可されます。	SFT_ALLOW_INSECURE_USERNAMES=1 sft ssh ...