11.4. レルムキー
Red Hat Single Sign-On によって使用される認証プロトコルには、暗号化署名が必要になり、暗号化時があります。Red Hat Single Sign-On では、非対称鍵のペア (秘密鍵と公開鍵) を使用してこれを実現します。
Red Hat Single Sign-On には、同時にアクティブなキーペアが 1 つ含まれますが、複数のパッシブキーを持つこともできます。アクティブなキーペアは新規署名の作成に使用されますが、パッシブキーペアを使用して以前の署名を検証することができます。これにより、ダウンタイムやユーザーの中断なしにキーを定期的にローテーションできます。
レルムがキーペアが作成されると、自己署名証明書が自動的に生成されます。
レルムにアクティブな鍵を表示するには、管理コンソールでレルムを選択し、Realm settings と Keys をクリックします。これでレルムのアクティブなキーが表示されます。
パッシブキーまたは無効なキーを表示するには、Passive または Disabled を選択します。キーペアにはステータスが Active になりますが、現在レルムにアクティブなキーペアとして選択されません。署名に使用される選択したアクティブなペアは、優先度別にソートされた最初のキープロバイダーに基づいて選択され、アクティブなキーペアを提供できます。
11.4.1. 鍵のローテーション
鍵を定期的にローテーションすることが推奨されます。これを実行するには、既存のアクティブなキーよりも優先度が高い新しいキーを作成して開始する必要があります。または、同じ優先順位で新しいキーを作成し、以前のキーパッシブを作成します。
新しい鍵が利用可能になると、新しいトークンと cookie はすべて新しいキーで署名されます。ユーザーがアプリケーションに対して認証されると、SSO クッキーは新しい署名で更新されます。OpenID Connect トークンを更新すると、新しいキーで新たなトークンが署名されます。つまり、時間が経過するとすべての Cookie とトークンが新しいキーを使用し、古いキーを削除できる間に続きます。
古いキーを削除するまでの待機時間は、セキュリティー間のトレードオフであり、すべての cookie とトークンが更新されるようにします。通常は、数週間後に古いキーをドロップすることができます。追加された新しい鍵の間にアクティブでアクティブで、以前のキーが削除されるユーザーは再認証する必要があります。
これはオフライントークンにも適用されます。これらのアプリケーションが古いキーが削除される前にトークンを更新する必要のあることを確認するには、アプリケーションを更新します。
ガイドラインとして、3 〜 6 か月ごとに新しいキーを作成し、新規キーの作成後に古いキー 1-2 か月を削除することが推奨されます。
