4.3. OAuth クライアントのトークンの非アクティブタイムアウトの設定

OAuth クライアントを、設定されるアクティブでない期間の経過後に OAuth トークンの期限が切れるように設定できます。デフォルトで、トークンの非アクティブタイムアウトは設定されません。

注記

トークンの非アクティブタイムアウトが内部 OAuth サーバー設定でも設定されている場合、OAuth クライアントで設定されるタイムアウトはその値をオーバーライドします。

前提条件

  • cluster-admin ロールを持つユーザーとしてクラスターにアクセスできる。
  • アイデンティティープロバイダー (IDP) を設定している。

手順

  • OAuthClient クライアント設定を更新して、トークンの非アクティブタイムアウトを設定します。

    1. OAuthClient オブジェクトを編集します。

      $ oc edit oauthclient <oauth_client> 1
      1
      <oauth_client> を設定する OAuth クライアントに置き換えます (例: console)。

      accessTokenInactivityTimeoutSeconds フィールドを追加し、タイムアウト値を設定します。

      apiVersion: oauth.openshift.io/v1
      grantMethod: auto
      kind: OAuthClient
      metadata:
      ...
      accessTokenInactivityTimeoutSeconds: 600 1
      1
      許可される最小のタイムアウト値 (秒単位) は 300 です。
    2. 変更を適用するためにファイルを保存します。

検証

  1. IDP のアイデンティティーでクラスターにログインします。設定したばかりの OAuth クライアントを使用するようにしてください。
  2. アクションを実行し、これが正常に実行されたことを確認します。
  3. アイデンティティーを使用せずに、設定されたタイムアウトよりも長く待機します。この手順の例では、600 秒よりも長い時間待機します。
  4. 同じアイデンティティーのセッションからアクションの実行を試みます。

    非アクティブの状態が設定されたタイムアウトよりも長く続くとトークンの有効期限が切れるために、この試行は失敗します。