Advanced Server Accessクライアントを使用する
販売終了のお知らせ
2026年5月1日をもってOktaはAdvanced Server Accessの販売・更新を終了します。既存のお客様はサービスを維持するために、次回の更新予定日から1年以内にOkta Privileged Accessに移行していただく必要があります。
Okta Privileged Accessについて詳しくは、よくある質問をご覧ください。
Advanced Server Accessクライアントのすべてのコマンドは、次の構文を使用します。
sft [global options] command [command options] [arguments...]
グローバルオプション
どのクライアントコマンドでも、次のオプションを使用できます。
-
-h、--help:ヘルプを表示します。 -
-v、--version:バージョンを表示します。
クライアントコマンド
| コマンド | 説明 | オプション |
|---|---|---|
sft config |
クライアント構成オプションを取得して設定します。クライアントを構成するをご覧ください。 |
|
sft dash |
ブラウザーでチームのダッシュボードを開きます。 |
|
sft device-info |
クライアントのデバイス情報をJSONとして表示します。 | |
sft enroll |
Advanced Server Accessプラットフォームのクライアントインベントリに新しいクライアントを追加します。 |
|
sft fleet enroll |
フリート内の複数のクライアントをサイレント登録します。「Advanced Server Accessクライアントをサイレント登録する」を参照してください。 |
|
sft help |
コマンドのリストまたは1つのコマンドのヘルプを表示します。 | |
sft list-accounts |
このクライアントが使用するように構成されているアカウントのリストを表示します。 |
|
sft list-teams 注:
|
このクライアントが使用するように構成されているチームのリストを表示します。 |
|
sft list-projects |
チームで利用可能なプロジェクトのリストを表示します。 |
|
sft list-servers |
現在のチームで利用可能なサーバーのリストを表示します。 |
|
sft list-servers-rjson |
現在のチームで利用可能なサーバーのリストをRJSON形式で表示します。この出力をファイルに保存して、Royal TSXで動的フォルダーの作成に利用できます。「Royal TSXをAdvanced Server Access と使用する」を参照してください。 |
|
sft login |
クライアントの現在のチームからログアウトした場合、セッションを作成し、チームのIDプロバイダーを認証します。 アクティブで認可されたクライアントセッションにより、Advanced Server Accessクライアントは、必要に応じてバックグラウンドで資格情報を要求できるようになります。 |
|
sft logout |
現在のセッションからログアウトします。 |
|
sft proxycommand |
OpenSSH ProxyCommandと共に使用して、 ssh、scp、rsync、ftpなどでsftを透過的に使用できるようにします。 |
|
sft rdp |
引数として渡されたターゲットにRDPを介して接続します。 |
|
sft register-url-handler |
(Windowsのみ)ユーザーがサーバー(My Servers)(Connect)ページの接続(Connect)(My Servers)ボタンをクリックすると、ScaleFTアプリケーションが開きます。 コマンドを実行すると、次のフォルダが作成されます。
このエントリがWindowsレジストリに存在しない場合、接続ボタンを使ってScaleFTアプリケーションを起動することはできません。 詳細については、「ASA/OPA WebページでSFTを起動する方法」を参照してください。 |
|
sft resolve |
指定されたホスト名またはインスタンス詳細に一致する単一サーバーを解決します。 |
|
sft session-logs verify |
指定のセッションログの整合性を、Advanced Server Accessに登録されたAdvanced Server Accessゲートウェイ署名キーに照らし合わせて検証します。有効な署名がないログファイルは、不正確であるか、攻撃者によって破損されている可能性があります。 |
--stdin:セッションログファイルからではなく、stdinからのセッションデータを返します。 |
sft session-logs export |
セッションログを特定の書式でエクスポートします。デフォルトでは、ログはJSON形式でエクスポートされます。エクスポートプロセスでは、セッションログの検証も行われます。有効な署名がないログファイルは、不正確であるか、攻撃者によって破損されている可能性があります。 |
|
sft ssh |
引数として渡されたターゲットにセキュアシェルを介して接続します。 一般に、Advanced Server Accessは、 |
|
sft ssh-config |
~/.ssh/configファイルでの使用に適したOpenSSH構成ブロックを出力します。これにより、ローカルsshバイナリがAdvanced Server Access認証を使用できるようになります。このSSH構成は、アクティブで承認されたセッションがクライアントに現在ある場合に使用されます。 |
|
sft support collect |
Oktaサポート用にローカルの診断情報を収集します。 | |
sft support submit |
Oktaサポート用に診断情報を送信します。 | |
sft unenroll |
Advanced Server Accessプラットフォームのクライアントインベントリーから現在のアクティブクライアントを削除します。 |
|
sft use |
登録済みのチームを、現在のセッションで使用する現在のデフォルトとして設定します。 |
|
セレクター
-l, --selector:フィルタリングするセレクター(ラベルクエリ)。
セレクターをオプションの引数として受け取るコマンドは、任意のセレクタークエリに基づいて結果をフィルタリングできます。
セレクター構文はKubernetesラベルクエリに基づいています。「ラベルおよびセレクター」をご覧ください。
例:
sft list-servers -l os_type=windows,project_name=Demo
この例では、セレクターを使用して、アクセスできるサーバーのリストをフィルタリングします。このコマンドは、デモプロジェクトに登録されているWindowsサーバーを返します。
クライアントを構成する
sft configコマンドを使用すると、構成オプションを表示または設定できます。
Advanced Server Accessクライアントのインストール時には構成ファイルは存在しません。最初の構成オプションを設定したときに構成ファイルが作成されます。
構成値を明示的に設定するまでは、デフォルトの設定値が使用されます。Advanced Server Accessクライアント用に用意されているデフォルト値は、一般的な状況で最大限のセキュリティと最大限の使いやすさを実現することを意図しています。rdp.screensizeの設定などの個人的な好みを除いては、いずれのクライアント構成も全く設定し直す必要はありません。
Advanced Server Accessクライアントの構成はセクションにグループ化されています。現在、これらのセクションには、rdp、ssh、ssh_agent、service_auth、updateが含まれます。
構成を表示する
-
sft config:現在の構成を表示します。 -
sft config [section.key]:section.keyで示される特定の構成の現在の値を表示します。
構成値を設定する
構成値は次のコマンド構文を使って設定できます。sft config [section.key] [value]
RDP構成オプション
|
キー |
説明 |
例 |
|---|---|---|
| rdp.screensize | 1024x768など、好みのRDPウィンドウサイズを示す文字列値に設定します。 |
|
| rdp.fullscreen | RDPセッションを全画面モードで開きたい場合は、これをtrueに設定します。 trueに設定した場合、 rdp.screensizeの値は無視されます。 |
|
| rdp.client | (macOSのみ)これを希望のRDPクライアント(Royal TSXの場合はroyaltsx、MacFreeRDPの場合はmacfreerdp)に設定します。このオプションが設定されていない場合、Advanced Server Accessは最初にRoyal TSXの使用を試み、Royal TSXを使用できない場合にMacFreeRDPを使用します。 |
|
SSH構成オプション
|
キー |
説明 |
例 |
|---|---|---|
| ssh.save_privatekey_passwords | trueに設定すると、Advanced Server Accessクライアントはユーザーが入力したパスフレーズをワークステーションのローカル暗号化ストアに保存します。 |
|
| ssh.port_forward_method | これをnetcatに設定すると、Advanced Server Accessは、デフォルトのネイティブSSHポート転送を使用する代わりに、ポート転送の手段としてnetcat (nc)をリモートで実行します。 |
|
|
ssh.insecure_forward_agent 注:
この機能はWindowsクライアントと互換性がありません。 |
SSHコマンドの実行時にForwardAgentを設定する場合、これを このオプションを設定しなかった場合、または値をnoneに設定した場合、Advanced Server AccessはSSHエージェントを転送しなくなります。 |
|
|
prefer_bundled_ssh |
|
|
SSHエージェントの構成オプション
|
キー |
説明 |
例 |
|---|---|---|
| ssh_agent.enable | trueに設定すると、Advanced Server Accessクライアントは認証時にSSHエージェントを使用します。 |
|
| ssh_agent.keys | このオプションは、SSHエージェントにロードするSSH秘密鍵の1つまたは複数のパスのJSON配列に設定します。--appendフラグを使用して、このリストに値を追加します。 ヒント: Windows PowerShellでJSONリテラルを書き込む場合、内部引用符をエスケープします。例えば: |
|
ネットワーク構成オプション
|
キー |
説明 |
例 |
|---|---|---|
| network.forward_proxy | このオプションを構成すると、Advanced Server Accessクライアントは指定されたHTTPまたはHTTPS URLをHTTPトンネルとして使用します。 | sft config network.forward_proxy https://your-proxy.example.com:3141 |
|
network.tls_use_bundled_cas |
注:
このオプションはデフォルトでtrueに設定されます。falseに設定すると、特定のオペレーティングシステムではCAリストに問題が発生する可能性があり、バンドルCA証明書リストを使った場合よりパフォーマンスが大幅に低下する可能性があるため、このオプションをfalseに設定しないことを強くお勧めします。 |
|
その他の構成オプション
|
キー |
説明 |
例 |
|---|---|---|
| service_auth.enable |
注:
このオプションは、サービスユーザーを使用するLinuxクライアントでのみ設定する必要があります。これをWindowsで設定すると、 |
|
| update.release_channel | Advanced Server Accessクライアントは、デフォルトではstable用更新チャンネルですが、test用更新チャンネルを使用するようにこのオプションを設定することで、より頻繁なリリースの受信を選択することもできます。 |
|
| client.timeout_seconds |
クライアントがサーバーからの応答を待機する最長時間を定義します(この時間に達すると要求を再送信します)。
|
sft config client.timeout_seconds 60 sft config client.timeout_seconds -1 |
環境変数
|
変数 |
説明 |
例 |
|---|---|---|
| SFT_DEBUG | 設定した場合、コマンドの実行時に内部ログとタイミングメッセージはstderrに出力されます。 |
SFT_DEBUG=1 sft list-servers |
| SFT_ALLOW_INSECURE_USERNAMES | 標準以外の文字が含まれるユーザー名による接続を許可します。 | SFT_ALLOW_INSECURE_USERNAMES=1 sft ssh ... |
|
SFT_ALLOW_INSECURE_SHA1_SSH |
SHA1証明書を使ってプロジェクト内のサーバーに接続する際の警告プロンプトを無効にします。このプロンプトを排除するには、ssh-ed25519アルゴリズムを使用するようにプロジェクトを変更することを検討してください。 |
|
関連項目