検索
サポートコンソール開発者トライアルの開始お問い合わせ

8.4. ユーザーセッションの制限

download PDF

ユーザーが持つことができるセッション数の制限を設定できます。セッションは、レルムごとまたはクライアントごとに制限できます。

フローにセッション制限を追加するには、次の手順を実行します。

  1. フローの Add step をクリックします。
  2. 項目 リストから User session count limiter を選択します。
  3. Add をクリックします。
  4. ユーザーセッションカウントリミッター 認証タイプの 必須 をクリックして、要件を必須に設定します。
  5. User Session Count Limiter⚙️ (歯車アイコン) をクリックします。
  6. この設定のエイリアスを入力します。
  7. このレルムでユーザーが持つことができるセッションの最大数を入力します。たとえば、値が 2 の場合、各ユーザーがこのレルムで保持できる最大数は 2 SSO セッションです。値が 0 の場合、このチェックは無効になります。
  8. クライアントにユーザーが持つことができるセッションの最大数を入力します。たとえば、値が 2 の場合、このレルムでは各クライアントの SSO セッションが最大 2 つになります。したがって、ユーザーがクライアント foo に対して認証しようとしているが、そのユーザーがすでにクライアント foo に対して 2 つの SSO セッションで認証されている場合、設定された動作に基づいて認証が拒否されるか、既存のセッションが強制終了されます。0 の値を使用すると、このチェックは無効になります。セッション制限とクライアントセッション制限の両方が有効になっている場合は、クライアントセッション制限を常にセッション制限より低くすることが合理的です。クライアントごとの制限は、このユーザーのすべての SSO セッションの制限を超えることはできません。

  9. 制限に達するとユーザーがセッションを作成しようとすると必要な動作を選択します。利用可能な動作は次のとおりです。

    • Deny new session - 新しいセッションが要求されてセッション制限に達すると、新しいセッションを作成できなくなります。
    • Terminate oldest session - 新しいセッションが要求され、セッション制限に達すると、最も古いセッションが削除され、新しいセッションが作成されます。
  10. 必要に応じて、制限に達すると表示されるカスタムエラーメッセージを追加します。

ユーザーセッション制限は、バインドされた Browser FlowDirect Grant FlowReset Credentials、および Post Broker Login Flow に追加される必要があることに注意してください。オーセンティケータは、認証中にユーザーがすでに認識されている時点 (通常は認証フローの最後) に追加する必要があり、通常は必須です。ALTERNATIVE と REQUIRED を同じレベルで実行することはできないことに注意してください。

Direct grant flowReset credentials または Post broker login flow などのオーセンティケーターのほとんどでは、認証フローの最後に REQUIRED として authenticator を追加することを推奨します。Reset credentials フローの例を次に示します。

Authentication User Session Limits Reset Credentials Flow

Browser フローの場合は、トップレベルフローにセッション制限オーセンティケーターを追加しないことを検討してください。この推奨事項は、SSO Cookie に基づいてユーザーを自動的に再認証する Cookie 認証システムによるものです。これは最上位レベルにあり、ユーザーセッションがすでに存在するため、SSO 再認証中にセッション制限をチェックしないことを推奨します。そのため、代わりに、次の authenticate-user-with-session-limit の例のように、別の ALTERNATIVE サブフローを Cookie と同じレベルに追加することを検討してください。次に、次の real-authentication-subflow`example, as a nested subflow of `authenticate-user-with-session-limit の REQUIRED サブフローを追加し、同じレベルで User Session Limit も追加できます。real-authentication-subflow 内では、デフォルトのブラウザーフローと同様の方法でリアルオーセンティケーターを追加できます。次のフロー例では、ユーザーがアイデンティティプロバイダーまたはパスワードと OTP を使用して認証できるようにします。

Authentication User Session Limits Browser Flow

Post Broker login flow に関しては、アイデンティティプロバイダーによる認証後にトリガーする他の認証システムがない限り、認証フローの唯一の認証システムとして User Session Limits を追加できます。ただし、このフローがアイデンティティプロバイダーで Post Broker Flow として設定されていることを確認してください。この要件は、ID プロバイダーによる認証もセッション制限に参加するために必要です。

注記

現在、管理者は異なる設定間で整合性を維持します。したがって、すべてのフローで同じ User Session Limits の設定を使用するようにしてください。

注記

ユーザーセッション制限機能は CIBA では使用できません。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.