14.8. 非 FIPS 環境からの移行
以前に Red Hat build of Keycloak を非 FIPS 環境で使用していた場合は、そのデータを含めて FIPS 環境に移行できます。ただし、前のセクションで述べたように、次のような制限と考慮事項が存在します。
- キーストアに依存するすべての Red Hat build of Keycloak 機能が、サポートされているキーストアタイプのみを使用していることを確認してください。これは、strict モードと non-strict モードのどちらが使用されているかによりことなります。
-
Kerberos 認証が機能しない可能性があります。認証フローで
Kerberosオーセンティケーターを使用している場合、FIPS 環境に以降すると、そのオーセンティケーターは自動的にDISABLEDに切り替わります。FIPS 環境に切り替える前に、レルムからKerberosユーザーストレージプロバイダーを削除し、LDAP プロバイダーのKerberos関連機能を無効にすることが推奨されます。
FIPS strict モードに切り替える前に、前述の要件に加えて、次の点を必ず再確認してください。
- キー (レルムキーやクライアントキーなど) に依存するすべての Red Hat build of Keycloak 機能が、2048 ビット以上の RSA Red Hat build of Keycloak を使用していることを確認します。
-
Signed JWT with Client Secretに依存するクライアントが、長さが 14 文字以上のシークレット (理想的には生成されたシークレット) を使用していることを確認します。 -
前述したパスワードの長さの制限。ユーザーのパスワードがこれよりも短い場合は、前述したように、最大パディング長が 14 に設定された PBKDF2 プロバイダーを使用してサーバーを起動します。この方法を避ける場合は、たとえば全ユーザーに、新しい環境での初回認証時に (
Forgot passwordリンクを使用するなどして) パスワードをリセットするように依頼できます。
