Menu Close

第16章 セキュリティー脅威の軽減

セキュリティー脆弱性は任意の認証サーバーに存在します。詳細は、Internet Engineering Task Force (IETF) OAuth 2.0 Threat Model および OAuth 2.0 Security Best Current Practice を参照してください。

16.1. ホスト

Red Hat Single Sign-On は、トークン発行者フィールドやパスワードリセットメールの URL など、複数の方法でパブリックホスト名を使用します。

デフォルトでは、ホスト名は要求ヘッダーから派生します。ホスト名が有効であることを確認する検証は存在しません。無効なホストヘッダーを回避するために、Red Hat Single Sign-On でロードバランサーやプロキシーを使用しない場合には、使用可能なホスト名を設定してください。

ホスト名の Service Provider Interface (SPI) は、要求のホスト名を設定する方法を提供します。この組み込みプロバイダーを使用してフロントエンド要求の固定 URL を設定し、リクエスト URI に基づいてバックエンドリクエストを許可できます。組みっ込プロバイダーに必要な機能がない場合は、プロバイダーをカスタマイズ開発できます。