Menu Close

6.3. セッションおよびトークンのタイムアウト

Red Hat Single Sign-On には、Realm Settings メニューの Tokens タブを使用してセッション、クッキー、およびトークンのタイムアウトを制御できます。

tokens タブ

tokens tab

設定説明

デフォルトの署名アルゴリズム

レルムにトークンを割り当てるために使用されるデフォルトのアルゴリズム。

トークンの更新の取り消し

ON にすると、Red Hat Single Sign-On はトークンの更新をキャンセルし、クライアントが使用する必要のある別のトークンを発行します。このアクションは、更新トークンフローを実行する OIDC クライアントに適用されます。

SSO Session Idle

この設定は OIDC クライアントのみを対象としています。ユーザーがこのタイムアウトよりも非アクティブである場合は、ユーザーセッションが無効になります。このタイムアウト値は、クライアントが認証を要求するか、更新トークン要求を送信するときにリセットされます。Red Hat Single Sign-On は、セッションの無効化が有効になる前に、アイドルタイムアウトに期間を追加します。詳細は、後述する 注記 を参照してください。

SSO セッション最大

ユーザーセッションが期限切れになるまでの最大時間。

SSO Session Idle Remember Me

この設定は標準の SSO セッション ID 設定に似ていますが、Remember Me が有効になっているログインに固有の設定です。ユーザーは、ログイン時に Remember Me をクリックすると、セッションのアイドルタイムアウトが長く指定できます。この設定は任意の設定であり、その値がゼロより大きい場合、SSO Session Idle 設定と同じアイドルタイムアウトを使用します。

SSO Session Max Remember Me

この設定は標準の SSO セッション Max と似ていますが、Remember Me ログインに 固有です。ユーザーは、ログイン時に Remember Me をクリックするとセッションが長く指定できます。この設定は任意の設定であり、その値がゼロより大きい場合、SSO Session Max 設定と同じセッションライフスパンを使用します。

オフラインセッションのアイドリング

この設定は オフラインアクセス用です。Red Hat Single Sign-On がオフライントークンを取り消す前にセッションがアイドル状態のままになる時間。Red Hat Single Sign-On は、セッションの無効化が有効になる前に、アイドルタイムアウトに期間を追加します。詳細は、後述する 注記 を参照してください。

オフラインセッションの最大制限

この設定は オフラインアクセス用です。このフラグが ON の場合、ユーザーアクティビティーに関係なく、オフラインセッション Max がアクティブな状態のままの最大時間を制御できます。Client Offline Session Idle および Client Offline Session Max が有効化されています。

オフラインセッションの最大

この設定はオフラインアクセス用で、Red Hat Single Sign-On が対応するオフライントークンを取り消すまでの最大時間です。このオプションは、ユーザーアクティビティーに関係なく、オフライントークンがアクティブな状態のままになる最大期間を制御します。

Client Offline Session Idle

この設定は オフラインアクセス用です。ユーザーがこのタイムアウトよりも非アクティブである場合、オフラインのトークンがアイドル状態のタイムアウトを上げます。この設定は、オフラインセッションアイドルよりもオフライントークンのアイドルタイムアウトを短く指定します。ユーザーは、個別のクライアントに対してこの設定を上書きできます。この設定は任意の設定であり、ゼロに設定すると Offline Session Idle 設定で同じアイドルタイムアウトを使用します。

Client Offline Session Max

この設定は オフラインアクセス用です。オフライントークンの有効期限が切れるまでの最大時間。この設定は、オフラインセッションタイムアウトよりも短いトークンのタイムアウトを指定しますが、ユーザーは個別のクライアントに対して上書きできます。この設定は任意の設定であり、ゼロに設定すると Offline Session Max 設定で同じアイドルタイムアウトを使用します。

クライアントセッション ID

ユーザーがこのタイムアウトよりも非アクティブである場合、更新トークンはアイドル状態のタイムアウトを上げます。この設定は、セッションアイドルタイムアウトよりも、更新トークンのアイドルタイムアウトを短くし、ユーザーは個別のクライアントに対して上書きできます。この設定は任意の設定であり、ゼロに設定すると SSO セッション ID 設定で同じアイドルタイムアウトを使用します。

クライアントセッション数

更新トークンの有効期限が切れるまでの最大時間。この設定は、セッションタイムアウトよりも更新トークンのタイムアウトを短くし、ユーザーは個別のクライアントに対して上書きできます。この設定は任意の設定であり、ゼロに設定すると SSO セッション Max 設定で同じアイドルタイムアウトを使用します。

アクセストークンの寿命

Red Hat Single Sign-On が OIDC アクセストークンを作成すると、この値はトークンの有効期間を制御します。

インプリシットフロー (Implicit Flow) のアクセストークンのライフサイクル

インプリシットフローでは、Red Hat Single Sign-On は更新トークンを提供しません。Implicit Flow によって作成されるアクセストークンに別のタイムアウトが存在します。

クライアントログインのタイムアウト

クライアントが OIDC で Authorization Code Flow を終了するまでの最大時間。

ログインのタイムアウト

ロギングにかかる合計時間。認証にかかる時間よりも長い場合は、ユーザーは認証プロセスを再度開始する必要があります。

ログインアクションのタイムアウト

Maximum time ユーザーは、認証プロセス中に 1 つのページで費やすことができます。

ユーザーによる開始に関するアクションライフスパン

ユーザーのアクションパーミッションの有効期限が切れるまでの最大時間。ユーザーが通常、自己作成のアクションに迅速に対応するので、この値を短くしてください。

デフォルトの管理者開始アクションのライフサイクル

管理者によってユーザーに送信されるアクションパーミッションの最大時間。この値を長く維持して、管理者がオフラインユーザーに電子メールを送信できるようにします。管理者は、トークンを発行する前にデフォルトのタイムアウトを上書きできます。

ユーザーによる開始処理のオーバーライド

各操作ごとに独立したタイムアウトを指定します (たとえば、パスワード、ユーザーアクション、アイデンティティープロバイダーの E-mail Verification など)。デフォルト値は、User-Initiated Action Lifespan で設定される値に設定されます。

注記

アイドルタイムアウトの場合は、セッションがアクティブである期間が 2 分のウィンドウになります。たとえば、タイムアウトが 30 分に設定されている場合、セッションの有効期限が切れるまでに 32 分になります。

このアクションは、クラスター間および複数のデータセンター環境で必要です。この場合、トークンは有効期限前に 1 つのクラスターノードで短期間に更新され、他のクラスターノードは更新されたノードから正常な更新についてのメッセージを受信していないため、セッションが期限切れと誤って考慮されます。