> For the complete documentation index, see [llms.txt](https://manual.dxable.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://manual.dxable.com/1password/ssh-agent-forwarding-with-1password.md).
# 1PasswordによるSSHエージェントフォワーディング
### **1PasswordによるSSHエージェントフォワーディング**
[SSHエージェントフォワーディングを使うと、クラウド開発環境](https://developer.1password.com/docs/ssh/agent/forwarding/#cde)や[リモートワークステーション](https://developer.1password.com/docs/ssh/agent/forwarding/#remote-workstation)からGitコマンドを実行したりコミットに署名したりするなど、ローカルマシンであるかのようにリモート環境内でSSHリクエストを行うことができます。
リモートホストに秘密鍵をSaveする代わりに、SSHエージェントフォワーディングを使用してリクエストをローカルの1PasswordSSHエージェントに転送できます。次に、秘密鍵がローカルの1Passwordプロセスを離れることなく、生体認証でリクエストを承認できます。
###
### 必要条件
* [Mac](https://support.1password.com/get-the-apps/?mac)または[Linux](https://support.1password.com/get-the-apps/?linux)用の1Passwordをインストールしてサインインしてください。
* [1PasswordでSSH鍵をインポートまたは生Createしてください。](https://developer.1password.com/docs/ssh/manage-keys/)
* [1Password SSHエージェントを設定し](https://developer.1password.com/docs/ssh/get-started/#step-3-turn-on-the-1password-ssh-agent)、ローカルマシン上で実行されていることを確認してください。
💡Windowsをお使いの場合
SSHエージェントフォワーディングはWindowsではサポートされていませんが、[1Password WSL統合を設定して](https://developer.1password.com/docs/ssh/integrations/wsl)、WindowsホストからWSLインスタンスでSSHリクエストを認証できます。
###
### SSHエージェントフォワーディング
リモートホストのエージェントフォワーディングを有効にすると、リモート環境内で行う全SSHリクエストが1PasswordSSHエージェントソケットを介してローカルの1Passwordプロセスに転送されます。
1Passwordで設定したオプション(フィンガープリントなど)を使ってSSHリクエストをローカルで承認できます。その後、リモートサーバーに秘密鍵を提供しなくても、承認がリモートホストに転送されます。
⚠️注意
SSHエージェントフォワーディングは信頼できるホストでのみ使うようにしてください。こちらで[SSHエージェントフォワーディングをより安全に使う方法について学習してください。](https://developer.1password.com/docs/ssh/agent/forwarding/#security)
###
### SSHエージェントフォワーディングを準備する
OpenSSHでは、SSHエージェントフォワーディングはデフォルトでオフになっています。[単一のセッション](https://developer.1password.com/docs/ssh/agent/forwarding/#for-a-single-session)または[特定のホスト](https://developer.1password.com/docs/ssh/agent/forwarding/#for-a-specific-host)に対してオンにすることを選択できます。
#### シングルセッション用に準備する
シングルセッションのみエージェントフォワーディングをオンにするには、次のsshコマンドで-Aフラグを使用します。
ssh -A
エージェントフォワーディングをオンにしてリモートホストに接続すると、リモートホストの環境変数SSH\_AUTH\_SOCKが自動的に設定されます。このソケット経由で送信されたデータは、ローカルの1Passwordソケットに転送されます。
:\~$ echo $SSH\_AUTH\_SOCK\
結果の例:\
/tmp/ssh-XXXXNpdlnL/agent.151
エージェントフォワーディングが機能しているかどうかを確認するには、次のコマンドを実行して、1Passwordからリモートホストに転送されたSSH鍵のリストを表示させます。
:\~$ ssh-add -l\
結果の例:\
256 SHA256:2zmxMpLy5MeIx18pBUkumptKkKinlghygOvV6URe8QI SSH Key from 1Password (ED25519)
\
SSH鍵がリストに表示されたら、リモートサーバー内からSSHリクエストを実行してみてください。
:\~$ ssh -T
ローカルマシン上の1Passwordアプリで、リクエストを承認するように求められます。
#### 特定のホスト用に準備する
セッションごとに-Aフラグを使う必要がないように、特定のホストに対してSSHエージェントフォワーディングを常に設定したい場合は、そのホストを含めるように\~/.ssh/configファイルを編集します。
例(Host example.com)\
ForwardAgent yes
### SSHエージェントフォワーディングのセキュリティー
### **セキュリティーに関する考慮事項**
エージェントフォワーディングセッションでローカルターミナルやIDEやその他のSSHクライアントにSSH鍵の使用を許可すると、同じキーを使用してリモート環境内で行われる全ての新しい接続も許可されます。他のユーザーが同じOSユーザーとしてリモート環境にアクセスした場合、セッション中はSSH鍵を使用してリモートホストからの接続を認証できます。
ただし、リモート環境で利用可能なその他のSSH鍵は、使う前にユーザーの承認が必要です。エージェント内の全ての鍵をリモート環境で追加の承認なしに使える標準のOpenSSHエージェントとは異なり、1PasswordSSHエージェントでは、各SSH鍵を使う前にユーザーの承認が必要です。リモート環境からこれらの鍵のいずれかを使おうとすると、認証が必要な1Password承認プロンプトが表示されるため、エージェントフォワーディングはOpenSSHエージェントよりも1Passwordの方が安全です。
#### **エージェントフォワーディングをより安全に利用するには**
以下のことをお勧めします。
* エージェントフォワーディングは、必要な場合かつ安全であると信頼できる環境でのみ使用してください。
* [コマンドごと](https://developer.1password.com/docs/ssh/agent/forwarding/#for-a-single-session)にエージェントフォワーディングを設定するか、[特定のホストでのみ](https://developer.1password.com/docs/ssh/agent/forwarding/#for-a-specific-host)エージェントフォワーディングを許可するように\~/.ssh/configファイルを準備してください。デフォルトでは、全ホストに対してSSHエージェントフォワーディングをオンにしたりしないでください。
\~/.ssh/config(悪い例 👎)\
Host \*\
ForwardAgent yes
エージェントフォワーディングのために、常にForwardAgent yesディレクティブのスコープを特定のホストまたはドメインに絞ることをお勧めします。例えば、 [Gitpod](https://www.gitpod.io/)のエージェントフォワーディングをオンにするには、以下のようにしてください。
\~/.ssh/config (良い例👍)\
Host \*.gitpod.io\
ForwardAgent yes
###
### **ユースケース:クラウド開発環境**
ローカルの統合開発環境(IDE)を使ってクラウド開発環境(CDE)に接続し、リモートGitコミットをプル、プッシュ、署名する場合は、ローカルの1PasswordSSHエージェントを介してこれらのコマンドを認証できます。
例えば、クラウドベースの開発環境への認証に使うIDEデスクトップアプリがローカルワークステーションにあるとします。リモートGitリポジトリーにアクセスするには、CDEワークスペースを使い、Gitリクエストを認証してコミットに署名する必要があります。SSHエージェントフォワーディングを使うと、ローカルワークステーションで実行されている1PasswordSSHエージェントを介して、IDEデスクトップアプリでCDEワークスペースからのSSHおよびGitコマンドを認証できます。
####
#### **SSHエージェントフォワーディング**
クラウド開発環境からのGitリクエストを承認できるようにSSHエージェントフォワーディングを設定するには、[SSH設定ファイルを編集してCDEホストを追加します](https://developer.1password.com/docs/ssh/agent/forwarding/#for-a-specific-host)。IDEのリモート開発統合では、これを自動的に認識するはずです。
エージェントフォワーディングが正しく設定されているかどうかを確認するには、IDEでリモートシェルを開き、次のコマンドを実行します。
$ ssh-add -l
結果の例:\
256 SHA256:2zmxMpLy5MeIx18pBUkumptKkKinlghygOvV6URe8QI SSH Key from 1Password (ED25519)
エージェントがSSHリクエストに使えるSSH鍵のリストが表示されます。
####
#### **Git認証にSSHを使う**
CDEがGitでの認証にHTTPSを使うように設定されていて、代わりにSSHを使う場合は、次のコマンドを実行してCDEのリモートGitの設定を変更します。
$ git config --global url."ssh://git@".insteadOf "https\://"
あるいは、クラウド開発を初期化するスクリプト(cloud-init)またはドットファイルにコマンドを追加することもできます。
次回CDEからGitリクエストを行うと、1Passwordはリクエストを承認するように要求します。
例:
$ git fetch
\
今後SSH認証のみを使う場合は、リポジトリーへのHTTPS書き込みアクセスを取り消すことをお勧めします。
#### **Gitコミット署名を準備する**
ローカル.gitconfigファイルはクラウド開発環境に自動的に転送されないため、リモートGitコミット署名を設定するには、CDEのGit設定を変更する必要があります。
* コミット署名にSSHを使うようにGitを設定します。
git config --global gpg.format ssh
* コミットに常に署名するようにGitに指示します。
git config --global commit.gpgsign true
* コミットに署名するために使うSSH鍵を設定します。
git config --global user.signingkey \
####
#### **認証モデル**
クラウド開発環境で認証が必要なSSHまたはGitリクエストを実行すると、1PasswordはCDEに接続されているIDEのSSH鍵の使用を承認するように求めます。リクエストを承認すると、IDE全体がそのキーの使用を承認されます。同じOSユーザーでクラウド開発環境で実行されている全てのプロセスも承認されるため、[セキュリティー上の考慮事項](https://developer.1password.com/docs/ssh/agent/forwarding/#security)として留意する必要があります。
### **使用例:リモートワークステーション**
SSH経由で接続するリモートワークステーションがあり、そのワークステーションからSSHおよびGitリクエストを実行する場合は、ローカルホストで実行される1Passwordエージェントを通じてそれらのリクエストを認証できます。
例えば、自宅に全てのGitリポジトリーを含むデスクトップワークステーションがあるとします。外出先でCreate業したい場合は、ラップトップを使用してSSH経由でリモートワークステーションに接続し、GitリポジトリーでCreate業します。SSHエージェントフォワーディングを使うと、ローカルラップトップで実行されている1PasswordSSHエージェントを介して、リモートワークステーションからのSSHおよびGitコマンドを認証できます。
####
#### **SSHエージェントフォワーディング**
リモートワークステーションからのSSHおよびGitリクエストを承認できるようにSSHエージェントフォワーディングを設定するには、ローカルホスト上の[SSH設定ファイルを編集して](https://developer.1password.com/docs/ssh/agent/forwarding/#for-a-specific-host)、リモートワークステーションでのエージェントフォワーディングを許可します。
エージェントフォワーディングが正しく設定されているかどうかを確認するには、リモートワークステーションに接続し、次のコマンドを実行します。
$ ssh-add -l
結果の例:
256 SHA256:2zmxMpLy5MeIx18pBUkumptKkKinlghygOvV6URe8QI SSH Key from 1Password (ED25519)
エージェントがSSHリクエストに使えるSSH鍵のリストが表示されます。
####
#### **リモートワークステーション上でIdentityAgentの設定を変更する**
リモートワークステーションにも1PasswordSSHエージェントがインストールされている場合は、GitとSSHが、リモートワークステーションにインストールされている1Passwordアプリのエージェントソケットではなく、ローカルホストから転送されたソケットを使うようにしてください。
IdentityAgentは環境変数SSH\_AUTH\_SOCKよりも優先されるため、SSHシェルを使用していない場合にのみ設定が適用されるように、リモートワークステーションの\~/.ssh/configIdentityAgentファイルを例えば次のように変更することをお勧めします。
Match host \* exec "test -z $SSH\_TTY"
IdentityAgent "\~/Library/Group Containers/2BUA8C4S2C.com.1password/t/agent.sock"
\
その後、リモートワークステーションのSSHシェルから実行される全てのGitまたはSSHコマンドは、SSH\_AUTH\_SOCK認証に転送されたものを使用し、1PasswordはローカルホストからのSSHリクエストを承認するように要求します。
この変更は、ワークステーションにリモートでアクセスするのではなく、ローカルで使う場合の1PasswordSSHエージェントの実行方法には影響しません。IdentityAgentワークステーションで実行されているSSHエージェントを使うために、設定は通常通り適用されます。
####
#### **Gitコミット署名を準備する**
ローカル.gitconfigファイルはリモートワークステーションに自動的に転送されないため、デフォルトではリモートGit設定が使われます。
ローカルホストで使用しているのと同じSSH鍵を使って、リモートワークステーションで[1PasswordによるGitコミット署名](https://developer.1password.com/docs/ssh/git-commit-signing)を設定している場合は、設定を変更する必要はありません。
op-ssh-sign署名プログラムは、SSH\_AUTH\_SOCKとSSH\_TTYの両方の環境変数が設定されていることを検出すると、リモートワークステーションの1Passwordソケットではなく、ローカルホストから転送されたソケットを使うように自動的に適応します。
####
#### **認証モデル**
リモートシェルまたはリモートで接続されたIDEから認証が必要なSSHまたはGitリクエストを実行すると、1Passwordは、リモートワークステーションへの接続に使うターミナルまたはIDEのSSH鍵の使用を承認するように求めます。
リクエストを承認すると、アプリ全体がこのキーの使用を許可されます。同じOSユーザーの下でリモートワークステーション上で実行されている全てのプロセスも許可されるため、[セキュリティー上の考慮事項](https://developer.1password.com/docs/ssh/agent/forwarding/#security)として留意する必要があります。
### **トラブルシューティング**
1Password SSH Agentでエージェントフォワーディングを使う際に問題が発生する場合は、確認すべき点がいくつかあります。
#### **SSH\_AUTH\_SOCK環境変数が設定されているかどうかを確認する**
「echo $SSH\_AUTH\_SOCK」をターミナルで実行して、サーバー上でこの環境変数が設定されていることを確認します。
:\~$ echo $SSH\_AUTH\_SOCK
結果の例:
/tmp/ssh-XXXXNpdlnL/agent.151
変数が設定されていない場合、SSHエージェントフォワーディングは機能しません。[1Password SSHエージェントがオンになっていること](https://developer.1password.com/docs/ssh/get-started#step-3-turn-on-the-1password-ssh-agent)、および[認証にエージェントを使うようにSSHクライアントが設定されて](https://developer.1password.com/docs/ssh/get-started#step-4-configure-your-ssh-or-git-client)いることを確認してください。
#### **SSHエージェントが正しいSSHキーにアクセスできるかを確認する**
ターミナルで「ssh-add -l」を実行すると、1Passwordからリモートホストに転送されたSSH鍵のリストが表示されます。
:\~$ ssh-add -l
結果の例:
256 SHA256:2zmxMpLy5MeIx18pBUkumptKkKinlghygOvV6URe8QI SSH Key from 1Password (ED25519)
\
SSH鍵がリストに表示されない場合は、そのキーが[1PasswordSSHエージェントで使えるかどうか](https://developer.1password.com/docs/ssh/agent/#eligible-keys)、また[SSHエージェントが使うように設定されている保管庫にSaveされている](https://developer.1password.com/docs/ssh/agent/#configuration)かどうかを確認してください。
#### **サーバー上でエージェントフォワーディングが許可されているかどうかを確認する**
リモートサーバーでエージェントフォワーディングを使うには、サーバーの[sshd\_config](https://man.openbsd.org/sshd_config)
[ファイル](https://man.openbsd.org/sshd_config)でAllowAgentForwardingオプションをYesに設定する必要があります。
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://manual.dxable.com/1password/ssh-agent-forwarding-with-1password.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.