19.8. 不正アクセスおよびトークンの更新

アクセストークンを軽減し、stolen からトークンを更新する方法がいくつかあります。最も重要なことは、Red Hat Single Sign-On とクライアントおよびアプリケーション間の SSL/HTTPS 通信を適用することです。Red Hat Single Sign-On では SSL が有効化されていないため、管理者は明らかになる可能性もあります。

リークしたアクセストークンを軽減するもう 1 つのことは、寿命を短くすることです。これは、タイムアウトページ 内で指定できます。クライアントおよびアプリケーションのアクセストークンの短い寿命 (分) は、アクセストークンを更新した後にアクセストークンを更新します。管理者がリークを検出すると、すべてのサービスセッションをログアウトして、これらの更新トークンを無効にするか、取り消しポリシーを設定できます。更新トークンは常にクライアントにプライベートのままとなり、送信されることは非常に重要ではありません。

また、漏洩したアクセストークンに対して軽減し、トークンを更新するために、これらのトークンをホルダートークンの holder-of-key トークンとして発行します。詳細は、「OAuth 2.0 相互 TLS クライアント証明書バインドアクセストークン」を参照してください。

アクセストークンまたは更新トークンが漏洩された場合、まず管理コンソールに移動し、すべてのアプリケーションに not-before 失効ポリシーをプッシュする必要があります。これにより、その日付の前に発行されたすべてのトークンが無効になります。新しい not-before ポリシーをプッシュすると、アプリケーションが Red Hat Single Sign-On から新しい公開鍵を強制的にダウンロードするようにするため、レルム署名鍵の危険にさらされたと考えると、この状況にも役立ちます。詳細は、キーの章を参照してください。

また、これらのエンティティーの 1 つが完全に不正アクセスされている場合は、特定のアプリケーション、クライアント、ユーザーを無効にすることもできます。