13.3. セッションおよびトークンのタイムアウト
Red Hat Single Sign-On により、セッション、クッキー、およびトークンのタイムアウトを細かく制御できます。これは、左側のメニュー項目 Realm Settings
の Tokens
タブですべて行われます。
Tokens タブ
各ページのアイテムを追って説明します。
設定 | 説明 |
---|---|
デフォルトの署名アルゴリズム | このレルムにトークンを割り当てるために使用されるデフォルトのアルゴリズム。 |
トークンの更新の取り消し | 更新トークンフローを実行する OIDC クライアントの場合、このフラグにより、その更新トークンが取り消され、クライアントが使用する要求で別のトークンを発行します。その結果、各更新トークンは 1 度だけ使用されます。 |
SSO Session Idle | また、OIDC クライアントも含まれます。ユーザーがこのタイムアウトよりもアクティブではない場合には、ユーザーセッションは無効になります。アイドルタイムアウトは、認証を要求するクライアントまたは更新トークンリクエストによりリセットされます。セッションの無効化が有効になる前に、アイドルタイムアウトに常に追加される小さな期間があります。以下の注記を参照してください。 |
SSO セッション最大 | ユーザーセッションが期限切れになり、無効化される最長時間。このオプションは、ユーザーアクティビティーに関係なく、ユーザーセッションがアクティブなままになる最大時間を制御します。 |
SSO Session Idle Remember Me | 標準の SSO Session Idle の設定と同じですが、Remember Me を有効にしてログインする場合です。ログインプロセス中に Remember Me が選択されている場合、セッションアイドル状態のタイムアウトを長く指定できるようになります。これは任意の設定であり、0 を大きな値に設定しない場合は、SSO Session Idle の設定と同じアイドルタイムアウトを使用します。 |
SSO Session Max Remember Me | 標準の SSO Session Max と同じですが、Remember Me を有効にしてログインする場合です。これにより、ログインプロセス中に Remember Me が選択された場合に、有効期間の長いセッションを指定できます。これは任意の設定であり、0 より大きい値に設定しない場合は、SSO セッション Max 設定と同じセッションライフスパンを使用します。 |
オフラインセッションのアイドリング | オフラインアクセスの場合は、オフライントークンが取り消される前にセッションがアイドル状態のままになる時間になります。セッションの無効化が有効になる前に、アイドルタイムアウトに常に追加される小さな期間があります。以下の注記を参照してください。 |
オフラインセッションの最大制限 | オフラインアクセスの場合は、このフラグがオンの場合、ユーザーアクティビティーに関係なく、オフライントークンがアクティブな状態を維持できる最大時間を制御するように Offline Session Max が有効になります。 |
オフラインセッションの最大 | offline accessの場合、対応するオフライントークンが無効になるまでの最大時間になります。このオプションは、ユーザーアクティビティーに関係なく、オフライントークンがアクティブな状態を維持する最大時間を制御します。 |
アクセストークンの寿命 | OIDC アクセストークンが作成されると、この値は期限切れに影響します。 |
インプリシットフロー (Implicit Flow) のアクセストークンのライフサイクル | Implicit Flow では更新トークンが提供されません。このため、Implicit Flow で作成されたアクセストークンには個別のタイムアウトが生じます。 |
クライアントログインのタイムアウト | これは、クライアントが OIDC で Authorization Code Flow を完了するために必要な最大時間です。 |
ログインのタイムアウト | ログインにかかる合計時間。認証がこの時間よりも長い場合は、ユーザーが認証プロセスを開始する必要があります。 |
ログインアクションのタイムアウト | 認証プロセスの 1 つのページでユーザーが費やすことができる最大時間。 |
ユーザーによる開始に関するアクションライフスパン | ユーザーが送信可能なアクションの最大最大時間 (例: パスワードメール) は有効期限が切れます。この値は、ユーザーが簡単に自己作成したアクションに反応するため、短いことが推奨されます。 |
デフォルトの管理者開始アクションのライフサイクル | 管理者がユーザーに送信可能な最大時間は有効期限が切れます。この値は、現在オフラインユーザーに管理者の送信メールができるように長く設定することを推奨します。デフォルトのタイムアウトは、トークンを発行する前にすぐに上書きできます。 |
ユーザーによる開始処理のオーバーライド | 操作 (たとえば、パスワード、ユーザーアクション、アイデンティティープロバイダーの E-mail 検証など) ごとに独立したタイムアウトを取得する可能性を許可します。このフィールドは任意です。何も指定しないと、デフォルトは User-Initiated Action Lifespan で設定された値に設定されます。 |
アイドルタイムアウトでは、セッションが期限切れから保たれない期間が 2 分ほどあります。たとえば、タイムアウトを 30 分に設定している場合、セッションの有効期限が切れる前に 32 分実際に実行されます。これは、クラスターと複数のデータセンター環境の一部のコーナーシナリオで必要になります。トークンが有効期限前に非常に短い時間で 1 つのクラスターノードで更新され、その他のクラスターノードはセッションの期限切れと誤って見なすため、そのセッションは期限切れと誤って見なわれていないためです。