16.10. 액세스 손상 및 새로 고침 토큰

Red Hat Single Sign-On에는 악의적인 행위자가 액세스 토큰을 도용하고 토큰 새로 고침을 방지하기 위한 몇 가지 조치가 포함되어 있습니다. 중요한 조치는 Red Hat Single Sign-On과 해당 클라이언트 및 애플리케이션 간에 SSL/HTTPS 통신을 적용하는 것입니다. Red Hat Single Sign-On은 기본적으로 SSL을 활성화하지 않습니다.

누출된 액세스 토큰으로 인한 손상을 완화하는 또 다른 조치는 토큰의 수명을 줄이는 것입니다. 시간 초과 페이지 내에서 토큰 수명을 지정할 수 있습니다. 액세스 토큰의 짧은 라이프 사이클을 통해 클라이언트 및 애플리케이션이 짧은 시간 후에 액세스 토큰을 새로 고칠 수 있습니다. 관리자가 누수를 감지하면 관리자는 모든 사용자 세션을 로그아웃하여 이러한 새로 고침 토큰을 무효화하거나 취소 정책을 설정할 수 있습니다.

새로 고침 토큰은 항상 클라이언트에 비공개로 유지되며 전송되지 않도록 합니다.

이러한 토큰을 키 소유자 토큰으로 발행하여 누출된 액세스 토큰 및 새로 고침 토큰으로 인한 손상을 완화할 수 있습니다. 자세한 내용은 OAuth 2.0 상호 TLS 클라이언트 인증서 Bound 액세스 토큰 을 참조하십시오.

액세스 토큰 또는 새로 고침 토큰이 손상된 경우 관리 콘솔에 액세스하여 해당 없음 정책을 모든 애플리케이션에 푸시합니다. 더 이상 사용되지 않는 정책을 푸시하면 해당 시간 이전에 발행된 토큰이 유효하지 않게 됩니다. 새로운 알 수 없는 정책을 푸시하면 애플리케이션이 Red Hat Single Sign-On에서 새 공개 키를 다운로드하고 손상된 영역 서명 키의 손상을 완화해야 합니다. 자세한 내용은 키 장 을 참조하십시오.

손상된 경우 특정 애플리케이션, 클라이언트 또는 사용자를 비활성화할 수 있습니다.