サーバー管理ガイド
多様性を受け入れるオープンソースの強化
1. Red Hat Single Sign-On の機能および概念
Expand section "1. Red Hat Single Sign-On の機能および概念" Collapse section "1. Red Hat Single Sign-On の機能および概念"
2. 最初の管理者の作成
Expand section "2. 最初の管理者の作成" Collapse section "2. 最初の管理者の作成"
1. 2.1. ローカルホストでのアカウントの作成
2. 2.2. リモートでアカウントの作成
3. レルムの設定
Expand section "3. レルムの設定" Collapse section "3. レルムの設定"
1. 3.1. 管理コンソールの使用
2. 3.2. マスターレルム
3. 3.3. レルムの作成
4. 3.4. レルムでの SSL の設定
5. 3.5. サーバーキャッシュの消去
6. 3.6. レルムへのメールの設定
7. 3.7. テーマと国際化の設定
  Expand section "3.7. テーマと国際化の設定" Collapse section "3.7. テーマと国際化の設定"
  1. 3.7.1. 国際化の有効化
  2. 3.7.2. ユーザーロケールの選択
8. 3.8. ログインオプションの制御
  Expand section "3.8. ログインオプションの制御" Collapse section "3.8. ログインオプションの制御"
  1. 3.8.1. forgot password 有効化
  2. 3.8.2. Remember Me の有効化
9. 3.9. レルムキーの設定
  Expand section "3.9. レルムキーの設定" Collapse section "3.9. レルムキーの設定"
4. 外部ストレージの使用
Expand section "4. 外部ストレージの使用" Collapse section "4. 外部ストレージの使用"
1. 4.1. プロバイダーの追加
2. 4.2. プロバイダーの失敗の処理
3. 4.3. LDAP (Lightweight Directory Access Protocol) および Active Directory
  Expand section "4.3. LDAP (Lightweight Directory Access Protocol) および Active Directory" Collapse section "4.3. LDAP (Lightweight Directory Access Protocol) および Active Directory"
4. 4.4. SSSD および FreeIPA Identity Management の統合
  Expand section "4.4. SSSD および FreeIPA Identity Management の統合" Collapse section "4.4. SSSD および FreeIPA Identity Management の統合"
5. 4.5. フェデレーションされた SSSD ストアの設定
6. 4.6. カスタムプロバイダー
5. ユーザーの管理
Expand section "5. ユーザーの管理" Collapse section "5. ユーザーの管理"
1. 5.1. ユーザーの検索
2. 5.2. ユーザーの作成
3. 5.3. ユーザーの削除
4. 5.4. ユーザーによるアカウントの削除の有効化
  Expand section "5.4. ユーザーによるアカウントの削除の有効化" Collapse section "5.4. ユーザーによるアカウントの削除の有効化"
5. 5.5. ユーザー属性の設定
6. 5.6. ユーザー認証情報
  Expand section "5.6. ユーザー認証情報" Collapse section "5.6. ユーザー認証情報"
  1. 5.6.1. ユーザーのパスワードの設定
  2. 5.6.2. OTP の作成
7. 5.7. 必須アクション
  Expand section "5.7. 必須アクション" Collapse section "5.7. 必須アクション"
8. 5.8. ユーザーの切り替え
9. 5.9. ユーザー登録
  Expand section "5.9. ユーザー登録" Collapse section "5.9. ユーザー登録"
  1. 5.9.1. ユーザー登録の有効化
  2. 5.9.2. 新規ユーザーとしての登録
10. 5.10. reCAPTCHA の有効化
11. 5.11. Red Hat Single Sign-On により収集された個人データ
12. 5.12. ユーザープロファイル
  Expand section "5.12. ユーザープロファイル" Collapse section "5.12. ユーザープロファイル"
  1. 5.12.1. ユーザープロファイルの有効化
  2. 5.12.2. ユーザープロファイルの管理
  3. 5.12.3. 属性の管理
    
    Expand section "5.12.3. 属性の管理" Collapse section "5.12.3. 属性の管理"
    
    5.12.3.1. パーミッションの管理
    
    5.12.3.2. 検証の管理
    
    Expand section "5.12.3.2. 検証の管理" Collapse section "5.12.3.2. 検証の管理"
    
    5.12.3.2.1. アノテーションの管理
  4. 5.12.4. 属性グループの管理
  5. 5.12.5. JSON 設定の使用
    
    Expand section "5.12.5. JSON 設定の使用" Collapse section "5.12.5. JSON 設定の使用"
    
    5.12.5.1. 必須プロパティー
    
    5.12.5.2. パーミッションプロパティー
    
    5.12.5.3. annotations プロパティー
  6. 5.12.6. 動的フォームの使用
    
    Expand section "5.12.6. 動的フォームの使用" Collapse section "5.12.6. 動的フォームの使用"
    
    5.12.6.1. 順序の属性
    
    5.12.6.2. 属性のグループ化
  7. 5.12.7. ユーザープロファイルのコンプライアンスの強制
  8. 5.12.8. ユーザープロファイルへの移行
6. ユーザーセッションの管理
Expand section "6. ユーザーセッションの管理" Collapse section "6. ユーザーセッションの管理"
1. 6.1. セッションの管理
  Expand section "6.1. セッションの管理" Collapse section "6.1. セッションの管理"
2. 6.2. 失効ポリシー
3. 6.3. セッションおよびトークンのタイムアウト
4. 6.4. オフラインアクセス
5. 6.5. 一時的なセッション
7. ロールおよびグループを使用したパーミッションおよびアクセスの割り当て
Expand section "7. ロールおよびグループを使用したパーミッションおよびアクセスの割り当て" Collapse section "7. ロールおよびグループを使用したパーミッションおよびアクセスの割り当て"
1. 7.1. レルムロールの作成
2. 7.2. クライアントロール
3. 7.3. ロールの複合ロールへの変換
4. 7.4. ロールマッピングの割り当て
5. 7.5. デフォルトロールの使用
6. 7.6. ロールマッピングのマッピング
7. 7.7. グループ
  Expand section "7.7. グループ" Collapse section "7.7. グループ"
  1. 7.7.1. ロールと比べているグループ
  2. 7.7.2. デフォルトグループの使用
8. 認証の設定
Expand section "8. 認証の設定" Collapse section "8. 認証の設定"
1. 8.1. パスワードポリシー
  Expand section "8.1. パスワードポリシー" Collapse section "8.1. パスワードポリシー"
  1. 8.1.1. パスワードポリシータイプ
    
    Expand section "8.1.1. パスワードポリシータイプ" Collapse section "8.1.1. パスワードポリシータイプ"
    
    8.1.1.1. ハッシュアルゴリズム
    
    8.1.1.2. ハッシュの反復
    
    8.1.1.3. 数字
    
    8.1.1.4. 小文字
    
    8.1.1.5. 大文字
    
    8.1.1.6. 特殊文字
    
    8.1.1.7. ユーザー名なし
    
    8.1.1.8. メールなし
    
    8.1.1.9. 正規表現
    
    8.1.1.10. パスワードが失効する
    
    8.1.1.11. 最近使用されていない
    
    8.1.1.12. パスワードのブラックリスト
2. 8.2. ワンタイムパスワード (OTP) ポリシー
  Expand section "8.2. ワンタイムパスワード (OTP) ポリシー" Collapse section "8.2. ワンタイムパスワード (OTP) ポリシー"
  1. 8.2.1. 時間ベースまたはカウンターベースのワンタイムパスワード
  2. 8.2.2. TOTP 設定オプション
    
    Expand section "8.2.2. TOTP 設定オプション" Collapse section "8.2.2. TOTP 設定オプション"
    
    8.2.2.1. OTP ハッシュアルゴリズム
    
    8.2.2.2. 数字の数
    
    8.2.2.3. 事前画面に移動
    
    8.2.2.4. OTP トークン期間
  3. 8.2.3. HOTP 設定オプション
    
    Expand section "8.2.3. HOTP 設定オプション" Collapse section "8.2.3. HOTP 設定オプション"
    
    8.2.3.1. OTP ハッシュアルゴリズム
    
    8.2.3.2. 数字の数
    
    8.2.3.3. 事前画面に移動
    
    8.2.3.4. 初期カウンター
3. 8.3. 認証フロー
  Expand section "8.3. 認証フロー" Collapse section "8.3. 認証フロー"
  1. 8.3.1. 組み込みフロー
    
    Expand section "8.3.1. 組み込みフロー" Collapse section "8.3.1. 組み込みフロー"
    
    8.3.1.1. 認証タイプ
    
    8.3.1.2. 要件
    
    Expand section "8.3.1.2. 要件" Collapse section "8.3.1.2. 要件"
    
    8.3.1.2.1. 必須
    
    8.3.1.2.2. 代替方法
    
    8.3.1.2.3. 無効
    
    8.3.1.2.4. 条件
  2. 8.3.2. フローの作成
  3. 8.3.3. パスワードなしのブラウザーログインフローの作成
4. 8.4. Kerberos
  Expand section "8.4. Kerberos" Collapse section "8.4. Kerberos"
  1. 8.4.1. Kerberos サーバーの設定
  2. 8.4.2. Red Hat Single Sign-On サーバーの設定および設定
    
    Expand section "8.4.2. Red Hat Single Sign-On サーバーの設定および設定" Collapse section "8.4.2. Red Hat Single Sign-On サーバーの設定および設定"
    
    8.4.2.1. SPNEGO 処理の有効化
    
    8.4.2.2. Kerberos ユーザーストレージフェデレーションプロバイダーの設定
  3. 8.4.3. クライアントマシンの設定および設定
  4. 8.4.4. 認証情報の委譲
  5. 8.4.5. レルム間の信頼
  6. 8.4.6. トラブルシューティング
5. 8.5. X.509 クライアント証明書ユーザー認証
  Expand section "8.5. X.509 クライアント証明書ユーザー認証" Collapse section "8.5. X.509 クライアント証明書ユーザー認証"
  1. 8.5.1. 機能
    
    Expand section "8.5.1. 機能" Collapse section "8.5.1. 機能"
    
    8.5.1.1. 正規表現
    
    Expand section "8.5.1.1. 正規表現" Collapse section "8.5.1.1. 正規表現"
    
    8.5.1.1.1. 既存のユーザーへの証明書 ID のマッピング
    
    8.5.1.1.2. 拡張証明書の検証
  2. 8.5.2. X.509 クライアント証明書ユーザー認証の有効化
    
    Expand section "8.5.2. X.509 クライアント証明書ユーザー認証の有効化" Collapse section "8.5.2. X.509 クライアント証明書ユーザー認証の有効化"
    
    8.5.2.1. JBoss EAP での相互 SSL の有効化
    
    8.5.2.2. HTTPS リスナーの有効化
  3. 8.5.3. ブラウザーフローへの X.509 クライアント証明書認証の追加
  4. 8.5.4. X.509 クライアント証明書認証の設定
  5. 8.5.5. X.509 クライアント証明書認証の Direct Grant Flow への追加
  6. 8.5.6. クライアント証明書ルックアップ
    
    Expand section "8.5.6. クライアント証明書ルックアップ" Collapse section "8.5.6. クライアント証明書ルックアップ"
    
    8.5.6.1. HAProxy 証明書ルックアッププロバイダー
    
    8.5.6.2. Apache 証明書ルックアッププロバイダー
    
    8.5.6.3. NGINX 証明書ルックアッププロバイダー
    
    8.5.6.4. 他のリバースプロキシーの実装
  7. 8.5.7. トラブルシューティング
6. 8.6. W3C Web Authentication (WebAuthn)
  Expand section "8.6. W3C Web Authentication (WebAuthn)" Collapse section "8.6. W3C Web Authentication (WebAuthn)"
  1. 8.6.1. 設定
    
    Expand section "8.6.1. 設定" Collapse section "8.6.1. 設定"
    
    8.6.1.1. WebAuthn オーセンティケーター登録の有効化
    
    8.6.1.2. WebAuthn 認証のブラウザーフローへの追加
  2. 8.6.2. WebAuthn オーセンティケーターを使用した認証
  3. 8.6.3. 管理者として WebAuthn の管理
    
    Expand section "8.6.3. 管理者として WebAuthn の管理" Collapse section "8.6.3. 管理者として WebAuthn の管理"
    
    8.6.3.1. 認証情報の管理
    
    8.6.3.2. ポリシーの管理
  4. 8.6.4. 証明ステートメントの検証
  5. 8.6.5. ユーザーとして WebAuthn 認証情報の管理
    
    Expand section "8.6.5. ユーザーとして WebAuthn 認証情報の管理" Collapse section "8.6.5. ユーザーとして WebAuthn 認証情報の管理"
    
    8.6.5.1. WebAuthn オーセンティケーターの登録
    
    8.6.5.2. 新規ユーザー
    
    8.6.5.3. 既存ユーザー
  6. 8.6.6. パスワードなしの WebAuthn と 2 つのファクターの組み合わせ
    
    Expand section "8.6.6. パスワードなしの WebAuthn と 2 つのファクターの組み合わせ" Collapse section "8.6.6. パスワードなしの WebAuthn と 2 つのファクターの組み合わせ"
    
    8.6.6.1. 設定
  7. 8.6.7. 利用可能な条件
  8. 8.6.8. 条件付きフローでのアクセスの明示的な拒否/許可
9. アイデンティティープロバイダーの統合
Expand section "9. アイデンティティープロバイダーの統合" Collapse section "9. アイデンティティープロバイダーの統合"
1. 9.1. ブローカーの概要
2. 9.2. デフォルトのアイデンティティープロバイダー
3. 9.3. 一般的な設定
4. 9.4. ソーシャルアイデンティティープロバイダー
  Expand section "9.4. ソーシャルアイデンティティープロバイダー" Collapse section "9.4. ソーシャルアイデンティティープロバイダー"
5. 9.5. OpenID Connect v1.0 アイデンティティープロバイダー
6. 9.6. SAML v2.0 アイデンティティープロバイダー
  Expand section "9.6. SAML v2.0 アイデンティティープロバイダー" Collapse section "9.6. SAML v2.0 アイデンティティープロバイダー"
7. 9.7. クライアント提案されたアイデンティティープロバイダー
8. 9.8. クレームとアサーションのマッピング
9. 9.9. 利用可能なユーザーセッションデータ
10. 9.10. First Login Flow
  Expand section "9.10. First Login Flow" Collapse section "9.10. First Login Flow"
11. 9.11. 外部 IDP トークンの取得
12. 9.12. アイデンティティーブローカーのログアウト
10. SSO プロトコル
Expand section "10. SSO プロトコル" Collapse section "10. SSO プロトコル"
1. 10.1. OpenID Connect
  Expand section "10.1. OpenID Connect" Collapse section "10.1. OpenID Connect"
  1. 10.1.1. OIDC 認証フロー
    
    Expand section "10.1.1. OIDC 認証フロー" Collapse section "10.1.1. OIDC 認証フロー"
    
    10.1.1.1. 認可コードフロー
    
    10.1.1.2. インプリシットフロー
    
    10.1.1.3. リソースオーナーパスワードクレデンシャルの付与 (直接アクセスグラント)
    
    10.1.1.4. クライアント認証情報の付与
    
    10.1.1.5. デバイス承認の付与
    
    10.1.1.6. クライアントが開始したバックチャネル認証の付与
    
    Expand section "10.1.1.6. クライアントが開始したバックチャネル認証の付与" Collapse section "10.1.1.6. クライアントが開始したバックチャネル認証の付与"
    
    10.1.1.6.1. CIBA ポリシー
    
    10.1.1.6.2. プロバイダー設定
    
    10.1.1.6.3. Authentication Channel Provider
    
    10.1.1.6.4. User Resolver Provider
  2. 10.1.2. OIDC ログアウト
    
    Expand section "10.1.2. OIDC ログアウト" Collapse section "10.1.2. OIDC ログアウト"
    
    10.1.2.1. セッション管理
    
    10.1.2.2. フロントチャンネルログアウト
    
    10.1.2.3. バックチャネルログアウト
  3. 10.1.3. Red Hat Single Sign-On サーバー OIDC URI エンドポイント
2. 10.2. SAML
  Expand section "10.2. SAML" Collapse section "10.2. SAML"
  1. 10.2.1. SAML バインディング
    
    Expand section "10.2.1. SAML バインディング" Collapse section "10.2.1. SAML バインディング"
    
    10.2.1.1. リダイレクトバインディング
    
    10.2.1.2. POST バインディング
    
    10.2.1.3. ECP
  2. 10.2.2. Red Hat Single Sign-On Server SAML URI エンドポイント
3. 10.3. OpenID Connect と SAML の比較
4. 10.4. Docker Registry v2 認証
  Expand section "10.4. Docker Registry v2 認証" Collapse section "10.4. Docker Registry v2 認証"
  1. 10.4.1. Docker 認証フロー
  2. 10.4.2. Red Hat Single Sign-On Docker Registry v2 Authentication Server URI Endpoints
11. 管理コンソールへのアクセス制御
Expand section "11. 管理コンソールへのアクセス制御" Collapse section "11. 管理コンソールへのアクセス制御"
1. 11.1. マスターレルムアクセス制御
  Expand section "11.1. マスターレルムアクセス制御" Collapse section "11.1. マスターレルムアクセス制御"
  1. 11.1.1. グローバルロール
  2. 11.1.2. レルム固有のロール
2. 11.2. 専用レルム管理コンソール
3. 11.3. 詳細にわたる管理者権限
  Expand section "11.3. 詳細にわたる管理者権限" Collapse section "11.3. 詳細にわたる管理者権限"
  1. 11.3.1. 特定のクライアントの管理
    
    Expand section "11.3.1. 特定のクライアントの管理" Collapse section "11.3.1. 特定のクライアントの管理"
    
    11.3.1.1. パーミッションのセットアップ
    
    11.3.1.2. テスト
  2. 11.3.2. ユーザーロールのマッピングの制限
    
    Expand section "11.3.2. ユーザーロールのマッピングの制限" Collapse section "11.3.2. ユーザーロールのマッピングの制限"
    
    11.3.2.1. テスト
    
    11.3.2.2. クライアントごとの map-roles ショートカット
  3. 11.3.3. パーミッションの完全リスト
    
    Expand section "11.3.3. パーミッションの完全リスト" Collapse section "11.3.3. パーミッションの完全リスト"
    
    11.3.3.1. ロール
    
    11.3.3.2. クライアント
    
    11.3.3.3. ユーザー
    
    11.3.3.4. グループ
12. OpenID Connect および SAML クライアントの管理
Expand section "12. OpenID Connect および SAML クライアントの管理" Collapse section "12. OpenID Connect および SAML クライアントの管理"
1. 12.1. OIDC クライアント
  Expand section "12.1. OIDC クライアント" Collapse section "12.1. OIDC クライアント"
  1. 12.1.1. OpenID Connect クライアントの作成
  2. 12.1.2. 基本設定
  3. 12.1.3. 詳細設定
  4. 12.1.4. 機密なクライアント認証情報
  5. 12.1.5. サービスアカウントの使用
  6. 12.1.6. オーディエンスのサポート
    
    Expand section "12.1.6. オーディエンスのサポート" Collapse section "12.1.6. オーディエンスのサポート"
    
    12.1.6.1. 設定
    
    12.1.6.2. 対象の自動追加
    
    12.1.6.3. ハードコードされたオーディエンス
2. 12.2. SAML クライアントの作成
  Expand section "12.2. SAML クライアントの作成" Collapse section "12.2. SAML クライアントの作成"
  1. 12.2.1. IDP でのログイン
  2. 12.2.2. エンティティー記述子を使用したクライアントの作成
3. 12.3. クライアントリンク
4. 12.4. OIDC トークンおよび SAML アサーションマッピング
  Expand section "12.4. OIDC トークンおよび SAML アサーションマッピング" Collapse section "12.4. OIDC トークンおよび SAML アサーションマッピング"
5. 12.5. クライアントアダプター設定の生成
6. 12.6. クライアントスコープ
  Expand section "12.6. クライアントスコープ" Collapse section "12.6. クライアントスコープ"
  1. 12.6.1. プロトコル
  2. 12.6.2. 関連設定
  3. 12.6.3. クライアントとリンククライアントスコープ
    
    Expand section "12.6.3. クライアントとリンククライアントスコープ" Collapse section "12.6.3. クライアントとリンククライアントスコープ"
    
    12.6.3.1. 例
  4. 12.6.4. クライアントスコープの評価
  5. 12.6.5. クライアントスコープのパーミッション
  6. 12.6.6. レルムのデフォルトクライアントスコープ
  7. 12.6.7. 記述されたスコープ
7. 12.7. クライアントポリシー
  Expand section "12.7. クライアントポリシー" Collapse section "12.7. クライアントポリシー"
  1. 12.7.1. ユースケース
  2. 12.7.2. プロトコル
  3. 12.7.3. アーキテクチャー
    
    Expand section "12.7.3. アーキテクチャー" Collapse section "12.7.3. アーキテクチャー"
    
    12.7.3.1. 状態
    
    12.7.3.2. エグゼキューター (Executor)
    
    12.7.3.3. プロファイル
    
    12.7.3.4. ポリシー
  4. 12.7.4. 設定
  5. 12.7.5. 後方互換性
13. Vault を使用したシークレットの取得
Expand section "13. Vault を使用したシークレットの取得" Collapse section "13. Vault を使用したシークレットの取得"
1. 13.1. Kubernetes/OpenShift ファイルのプレーンテキスト Vault プロバイダー
2. 13.2. Elytron クレデンシャルストア Vault プロバイダー
3. 13.3. キーリゾルバー
4. 13.4. 設定サンプル
  Expand section "13.4. 設定サンプル" Collapse section "13.4. 設定サンプル"
  1. 13.4.1. マスクを使用しないクレデンシャルストアおよび vault の設定
  2. 13.4.2. クレデンシャルストアおよび Vault でパスワードのマスキング
14. イベントを追跡する監査の設定
Expand section "14. イベントを追跡する監査の設定" Collapse section "14. イベントを追跡する監査の設定"
1. 14.1. ログインイベント
  Expand section "14.1. ログインイベント" Collapse section "14.1. ログインイベント"
  1. 14.1.1. イベントタイプ
  2. 14.1.2. イベントリスナー
    
    Expand section "14.1.2. イベントリスナー" Collapse section "14.1.2. イベントリスナー"
    
    14.1.2.1. Logging Event Listener (ロギングインベントリ砂ー)
    
    14.1.2.2. Email Event Listener (メールイベントリスナー)
2. 14.2. 管理イベント
15. データベースのインポートおよびエクスポート
Expand section "15. データベースのインポートおよびエクスポート" Collapse section "15. データベースのインポートおよびエクスポート"
1. 15.1. 管理コンソールのエクスポート/インポート
16. セキュリティー脅威の軽減
Expand section "16. セキュリティー脅威の軽減" Collapse section "16. セキュリティー脅威の軽減"
1. 16.1. ホスト
2. 16.2. 管理エンドポイントおよび管理コンソール
  Expand section "16.2. 管理エンドポイントおよび管理コンソール" Collapse section "16.2. 管理エンドポイントおよび管理コンソール"
  1. 16.2.1. IP の制限
  2. 16.2.2. ポート制限
3. 16.3. 総当たり攻撃
  Expand section "16.3. 総当たり攻撃" Collapse section "16.3. 総当たり攻撃"
  1. 16.3.1. パスワードポリシー
4. 16.4. 読み取り専用ユーザー属性
5. 16.5. クリックジャッキング
6. 16.6. SSL/HTTPS 要件
7. 16.7. CSRF 攻撃
8. 16.8. 特定のリダイレクト URI
9. 16.9. FAPI コンプライアンス
10. 16.10. 不正アクセスおよびトークンの更新
11. 16.11. 侵害された認証コード
12. 16.12. オープンリダイレクター
13. 16.13. パスワードデータベースの漏洩
14. 16.14. 制限の範囲
15. 16.15. トークンオーディエンスの制限
16. 16.16. 認証セッションの制限
17. 16.17. SQL インジェクション攻撃
17. アカウントコンソール
Expand section "17. アカウントコンソール" Collapse section "17. アカウントコンソール"
1. 17.1. アカウントコンソールへのアクセス
2. 17.2. サインイン方法の設定
  Expand section "17.2. サインイン方法の設定" Collapse section "17.2. サインイン方法の設定"
3. 17.3. デバイスのアクティビティーの表示
4. 17.4. アイデンティティープロバイダーアカウントの追加
5. 17.5. 他のアプリケーションへのアクセス
18. 管理 CLI
Expand section "18. 管理 CLI" Collapse section "18. 管理 CLI"

3.9. レルムキーの設定

Red Hat Single Sign-On によって使用される認証プロトコルには、暗号化署名が必要になり、暗号化時があります。Red Hat Single Sign-On では、非対称鍵のペア (秘密鍵と公開鍵) を使用してこれを実現します。

Red Hat Single Sign-On には、同時にアクティブなキーペアが 1 つ含まれますが、複数のパッシブキーを持つこともできます。アクティブなキーペアは新規署名の作成に使用されますが、パッシブキーペアを使用して以前の署名を検証することができます。これにより、ダウンタイムやユーザーの中断なしにキーを定期的にローテーションできます。

レルムがキーペアが作成されると、自己署名証明書が自動的に生成されます。

手順

管理コンソールでレルムを選択します。
Realm settings をクリックします。
Keys をクリックします。
Passive 鍵を表示するには、Passive をクリックします。
Disabled をクリックして無効なキーを表示します。

キーペアにはステータスが Active になりますが、現在レルムにアクティブなキーペアとして選択されません。署名に使用される選択したアクティブなペアは、優先度別にソートされた最初のキープロバイダーに基づいて選択され、アクティブなキーペアを提供できます。

3.9.1. 鍵のローテーション

鍵を定期的にローテーションすることが推奨されます。これには、最初に、既存のアクティブなキーよりも優先度が高い新しいキーを作成します。または、同じ優先順位で新しいキーを作成し、以前のキーパッシブを作成します。

新しい鍵が利用可能になると、新しいトークンと cookie はすべて新しいキーで署名されます。ユーザーがアプリケーションに対して認証されると、SSO クッキーは新しい署名で更新されます。OpenID Connect トークンを更新すると、新しいキーで新たなトークンが署名されます。つまり、時間が経過するとすべての Cookie とトークンが新しいキーを使用し、古いキーを削除できる間に続きます。

古いキーを削除する頻度は、セキュリティー間のトレードオフであり、すべてのクッキーとトークンが更新されるようにすることです。新しいキーの作成後に、3 カ月から 6 カ月までのすべてのキーを作成し、古いキーを 2 カ月に削除することを検討してください。新しいキーが追加され、古いキーが削除されるまでの期間にユーザーが非アクティブである場合、そのユーザーは再認証する必要があります。

鍵をローテーションすると、オフライントークンにも適用されます。これらのアプリケーションが古いキーが削除される前にトークンを更新する必要のあることを確認するには、アプリケーションを更新します。

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

3.9. レルムキーの設定

3.9.1. 鍵のローテーション