8.6.2. Red Hat SSO デプロイメントの設定
この例の service.sso.yaml
ファイルには、事前設定された Red Hat SSO サーバーをデプロイするすべての OpenShift 設定項目が含まれます。SSO サーバーの設定は、このサンプルのために簡略化されており、ユーザーとセキュリティー設定が事前に設定された、すぐに使用できる設定を提供します。service.sso.yaml
ファイルには非常に長い行が含まれ、gedit などの一部のテキストエディターでは、このファイルの読み取りに問題がある場合があります。
実稼働環境では、この SSO 設定を使用することは推奨されません。具体的には、セキュリティー設定の例に追加された単純化は、実稼働環境での使用に影響を及ぼします。
表8.5 SSO サンプルの簡素化
変更点 | 理由 | 推奨事項 |
---|---|---|
デフォルト設定には、yaml 設定ファイルに公開鍵と秘密鍵 の両方が含まれます。 | これを行ったのは、エンドユーザーが Red Hat SSO モジュールをデプロイして、内部や Red Hat SSO の設定方法を知らなくても使用可能な状態にすることができるためです。 | 実稼働環境では、秘密鍵をソース制御に保存しないでください。サーバー管理者が追加する必要があります。 |
設定済みの クライアントがコールバック URL を受け入れます。 | 各ランタイムにカスタム設定を使用しないように、OAuth2 仕様で必要なコールバックの検証を回避します。 | アプリケーション固有のコールバック URL には、有効なドメイン名を指定する必要があります。 |
クライアントには SSL/TLS が必要ありません。また、セキュアなアプリケーションは HTTPS 上で公開されません。 | この例は、ランタイムごとに証明書を生成する必要がないことで単純化されます。 | 実稼働環境では、セキュアなアプリケーションは単純な HTTP ではなく HTTPS を使用する必要があります。 |
トークンのタイムアウトがデフォルトの 1 分から 10 分に増えました。 | コマンドラインの例を使用した場合のユーザーエクスペリエンスを向上します。 | セキュリティーの観点から、攻撃者はアクセストークンが拡張されていると推測する必要があるウィンドウ。潜在的な攻撃者が現在のトークンを推測するのがより困難になるため、このウィンドウを短くすることが推奨されます。 |