2.7. OAuth 2.1 のサポート
Red Hat build of Keycloak を使用すると、管理者はクライアントが以下の仕様に準拠していることを簡単に確認できます。
このコンプライアンスは、Red Hat build of Keycloak サーバーが、これらの仕様に記載されている認可サーバーの要件を検証することを意味します。Red Hat build of Keycloak アダプターには OAuth 2.1 に対する特別なサポートがないため、クライアント (アプリケーション) 側で必要な検証は、引き続き手動で行うか、その他のサードパーティーソリューションを介して実行する必要がある場合があります。
2.7.1. OAuth 2.1 クライアントプロファイル
クライアントが OAuth 2.1 に準拠していることを確認するには、サーバー管理ガイド の説明に従って、レルムでクライアントポリシーを設定し、OAuth 2.1 サポート用のグローバルクライアントプロファイルにリンクします。このプロファイルは、各レルムで自動的に使用可能になります。機密クライアントには oauth-2-1-for-confidential-client
プロファイル、パブリッククライアントには oauth-2-1-for-public-client
プロファイルを使用できます。
OAuth 2.1 仕様はまだドラフト段階であり、将来変更される可能性があります。したがって、Red Hat build of Keycloak の組み込み OAuth 2.1 クライアントも変更される可能性があります。
パブリッククライアントに OAuth 2.1 プロファイルを使用する場合、サーバー管理ガイド で説明されているように、DPoP プレビュー機能を使用することを推奨します。DPoP は、アクセストークンとリフレッシュトークンをクライアントのキーペアのパブリック部分とバインドするためです。このバインディングは、攻撃者が盗まれたトークンを使用するのを防ぎます。