Menu Close

第8章 認証の設定

本章では、複数の認証トピックについて説明します。以下のトピックを以下に示します。

  • 厳密なパスワードおよびワンタイムパスワード (OTP) ポリシーを強制します。
  • 異なる認証情報タイプの管理
  • Kerberos でログインします。
  • 組み込み認証情報タイプを無効にして有効化します。

8.1. パスワードポリシー

Red Hat Single Sign-On がレルムを作成すると、パスワードポリシーとレルムは関連付けられません。長さ、セキュリティー、または複雑性に制限のない簡単なパスワードを設定できます。実稼働環境では、シンプルなパスワードは受け入れられません。Red Hat Single Sign-On には、管理コンソールで利用可能なパスワードポリシーセットがあります。

手順

  1. メニューで Authentication をクリックします。
  2. Password Policy タブをクリックします。
  3. Add policy ドロップダウンボックスで、追加するポリシーを選択します。
  4. 選択した ポリシー値 の値を入力します。
  5. Save をクリックします。

    パスワードポリシー Password Policy

ポリシーを保存した後、Red Hat Single Sign-On は新しいユーザーにポリシーを適用し、既存のユーザーに Update Password アクションを設定し、次回ログイン時にパスワードを変更します。以下に例を示します。

パスワードポリシーに失敗しました。

Failed Password Policy

8.1.1. パスワードポリシータイプ

8.1.1.1. ハッシュアルゴリズム

パスワードはクリアテキストで保存されません。ストレージまたは検証の前に、標準のハッシュアルゴリズムを使用する Red Hat Single Sign-On ハッシュパスワードである PBKDF2、PBKDF2-SHA256、および PBKDF-SHA512 ハッシュアルゴリズムをサポートする Red Hat Single Sign-On ハッシュパスワード。

8.1.1.2. ハッシュの反復

ストレージまたは検証の前に Red Hat Single Sign-On ハッシュパスワードの数を指定します。デフォルト値は 27,500 です。

Red Hat Single Sign-On ハッシュパスワード。パスワードデータベースへのアクセスを持つアクターが、リバースエンジニアリングを通じてパスワードを読み取ることができないようにします。

注記

ハッシュの反復値が高いと、CPU のべき乗を増やす必要があるため、パフォーマンスに影響する可能性があります。

8.1.1.3. 数字

パスワード文字列に必要な数字の数。

8.1.1.4. 小文字

パスワード文字列に必要な小文字の数。

8.1.1.5. 大文字

パスワード文字列に必要な大文字の数。

8.1.1.6. 特殊文字

パスワード文字列で必要な特殊文字の数。

8.1.1.7. ユーザー名なし

パスワードはユーザー名と同じにすることはできません。

8.1.1.8. メールなし

パスワードは、ユーザーのメールアドレスと同じにすることはできません。

8.1.1.9. 正規表現

パスワードは、定義済みの正規表現パターンを 1 つ以上一致させる必要があります。

8.1.1.10. パスワードが失効する

パスワードが有効な日数。有効期限が切れた日数が経過したら、パスワードを変更する必要があります。

8.1.1.11. 最近使用されていない

ユーザーがパスワードを使用できない。Red Hat Single Sign-On は、使用したパスワードの履歴を保存します。保存される古いパスワードの数は Red Hat Single Sign-On で設定可能です。

8.1.1.12. パスワードのブラックリスト

パスワードをブラックリストファイルに含めることはできません。

  • ブラックリストファイルは、Unix 行で終わる UTF-8 プレーンテキストファイルです。すべての行は、ブラックリストに指定されたパスワードを表します。
  • Red Hat Single Sign-On は、大文字と小文字を区別しない方法でパスワードを比較します。ブラックリストのすべてのパスワードは小文字でなければなりません。
  • blacklist ファイルの値は、ブラックリストファイルの名前でなければなりません。
  • ブラックリストファイルは、デフォルトで ${jboss.server.data.dir}/password-blacklists/ に対して解決します。以下を使用して、このパスをカスタマイズします。

    • keycloak.password.blacklists.path プロパティー。
    • passwordBlacklist ポリシー SPI 設定の blacklistsPath プロパティー。