13.2. Elytron クレデンシャルストア Vault プロバイダー
Red Hat Single Sign-On は、Elytron クレデンシャルストアに保存されたシークレットの読み取りもサポートします。elytron-cs-keystore
ボールトプロバイダーは、クレデンシャルストアのキーストアベースの実装からシークレットを取得できます。これは、Elytron が提供するデフォルトの実装でもあります。
キーストアはこのクレデンシャルストアを返します。JCEKS
はデフォルトの形式ですが、PKCS12
などの他の形式を使用できます。ユーザーは、WildFly/JBoss EAP の elytron
サブシステムを使用するか、elytron-tool.sh
スクリプトを使用してストアコンテンツを作成して管理できます。
このプロバイダーを使用するには、keycloak-server
サブシステムで elytron-cs-keystore
を宣言し、Elytron によって作成されたキーストアの場所とマスターシークレットを設定する必要があります。プロバイダーの最小限の設定例:
<spi name="vault"> <default-provider>elytron-cs-keystore</default-provider> <provider name="elytron-cs-keystore" enabled="true"> <properties> <property name="location" value="${jboss.home.dir}/standalone/configuration/vault/credential-store.jceks" /> <property name="secret" value="secretpw1!"/> </properties> </provider> </spi>
基礎となるキーストアの形式が JCEKS
とは異なる場合は、keyStoreType
を使用してこの形式を指定する必要があります。
<spi name="vault"> <default-provider>elytron-cs-keystore</default-provider> <provider name="elytron-cs-keystore" enabled="true"> <properties> <property name="location" value="${jboss.home.dir}/standalone/configuration/vault/credential-store.p12" /> <property name="secret" value="secretpw1!"/> <property name="keyStoreType" value="PKCS12"/> </properties> </provider> </spi>
シークレットの場合に、elytron-cs-keystore
プロバイダーは elytron-tool.sh
スクリプトを使用してクリアテキスト値およびマスクされた値をサポートします。
<spi name="vault"> ... <property name="secret" value="MASK-3u2HNQaMogJJ8VP7J6gRIl;12345678;321"/> ... </spi>
elytron クレデンシャルストアの作成および管理およびキーストアシークレットのマスクの詳細は、Elytron のドキュメントを参照してください。
Red Hat Single Sign-On は elytron-cs-keystore
vault プロバイダーを WildFly 拡張として実装し、Red Hat Single Sign-On サーバーが WildFly/JBoss EAP でのみ実行される場合に利用できます。