19.5. SSL/HTTPS 要件

Red Hat Single Sign-On 認証サーバーと、セキュリティーが保護されたクライアントとの間の通信に SSL/HTTPS を使用しないと、攻撃の対象となる可能性が非常に脆弱になります。OAuth 2.0/OpenID Connect はセキュリティーにアクセストークンを使用します。SSL/HTTPS を使用しないと、攻撃者がネットワークを傍受してアクセストークンを取得することが可能です。アクセストークンを取得した後に、トークンに与えられたパーミッションの任意の操作を実行できます。

Red Hat Single Sign-On には、SSL/HTTPS 用に 3 つのモードがあります。SSL は設定が難しくなります。そのため、追加設定なしで Red Hat Single Sign-On では、localhost、192.168.x.x などのプライベート IP アドレスに対する HTTPS 以外の通信を許可します。実稼働環境では、オンボード全体で SSL が有効かつ必須になっている必要があります。

アダプター/クライアント側で、Red Hat Single Sign-On では SSL トラストマネージャーをオフにできます。トラストマネージャーは、クライアントが通信している ID を保証します。これは、DNS ドメイン名をサーバーの証明書に対して確認します。実稼働環境では、各クライアントアダプターがトラストストアを使用するように設定されていることを確認してください。そうしない場合は、中間攻撃で DNS の man に対して脆弱です。