13.2. Elytron クレデンシャルストア Vault プロバイダー

Red Hat Single Sign-On は、Elytron クレデンシャルストアに保存されたシークレットの読み取りもサポートします。elytron-cs-keystore ボールトプロバイダーは、クレデンシャルストアのキーストアベースの実装からシークレットを取得できます。これは、Elytron が提供するデフォルトの実装でもあります。

キーストアはこのクレデンシャルストアを返します。JCEKS はデフォルトの形式ですが、PKCS12 などの他の形式を使用できます。ユーザーは、WildFly/JBoss EAP の elytron サブシステムを使用するか、elytron-tool.sh スクリプトを使用してストアコンテンツを作成して管理できます。

このプロバイダーを使用するには、keycloak-server サブシステムで elytron-cs-keystore を宣言し、Elytron によって作成されたキーストアの場所とマスターシークレットを設定する必要があります。プロバイダーの最小限の設定例:

<spi name="vault">
    <default-provider>elytron-cs-keystore</default-provider>
    <provider name="elytron-cs-keystore" enabled="true">
        <properties>
            <property name="location" value="${jboss.home.dir}/standalone/configuration/vault/credential-store.jceks" />
            <property name="secret" value="secretpw1!"/>
        </properties>
    </provider>
</spi>

基礎となるキーストアの形式が JCEKS とは異なる場合は、keyStoreType を使用してこの形式を指定する必要があります。

<spi name="vault">
    <default-provider>elytron-cs-keystore</default-provider>
    <provider name="elytron-cs-keystore" enabled="true">
        <properties>
            <property name="location" value="${jboss.home.dir}/standalone/configuration/vault/credential-store.p12" />
            <property name="secret" value="secretpw1!"/>
            <property name="keyStoreType" value="PKCS12"/>
        </properties>
    </provider>
</spi>

シークレットの場合に、elytron-cs-keystore プロバイダーは elytron-tool.sh スクリプトを使用してクリアテキスト値およびマスクされた値をサポートします。

<spi name="vault">
   ...
            <property name="secret" value="MASK-3u2HNQaMogJJ8VP7J6gRIl;12345678;321"/>
   ...
</spi>

elytron クレデンシャルストアの作成および管理およびキーストアシークレットのマスクの詳細は、Elytron のドキュメントを参照してください。