5.2. シナリオ例

この例では、サーバーは TLS Termination プロキシーの背後で実行されており、https://mykeycloak から公開されています。

bin/kc.[sh|bat] start --hostname=mykeycloak --http-enabled=true --proxy-headers=forwarded|xforwarded

この例では、サーバーはプロキシーなしで実行されており、HTTPS を使用して URL で公開されています。

bin/kc.[sh|bat] start --hostname-url=https://mykeycloak

セキュリティーと可用性の観点から、サーバーの前で TLS Termination プロキシーを使用することが強く推奨されます。詳細は、リバースプロキシーの使用 を参照してください。

この例では、サーバーが使用するのと同じ URL を使用してバックエンドエンドポイントが公開されているため、クライアントは要求の送信元に関係なく常に同じ URL を取得します。

bin/kc.[sh|bat] start --hostname=mykeycloak --hostname-strict-backchannel=true

この例では、デフォルトポート以外のポートを使用してサーバーにアクセスできます。

bin/kc.[sh|bat] start --hostname-url=https://mykeycloak:8989

この例では、サーバーはプロキシーの背後で実行されており、サーバーとプロキシーの両方が独自の証明書を使用しているため、Red Hat build of Keycloak とプロキシー間の通信は暗号化されます。リバースプロキシーは Forwarded ヘッダーを使用し、X-Forwarded-* ヘッダーを設定しません。プロキシー設定オプション (およびホスト名設定オプション) は、サーバーが実際にリッスンしているポートを変更するものではないことに留意する必要があります (JavaScript および CSS リンク、OIDC well-known エンドポイント、リダイレクト URI など、静的リソースのポートのみが変更されます)。したがって、HTTP 設定オプションを使用して、別のポート (例: 8543) を内部でリッスンするように Red Hat build of Keycloak サーバーを変更する必要があります。プロキシーはポート 8443 (ブラウザー経由でコンソールにアクセスしている際に表示されるポート) をリッスンします。サンプルのホスト名 my-keycloak.org がサーバーに使用され、同様に管理コンソールには admin.my-keycloak.org サブドメイン経由でアクセスできます。

bin/kc.[sh|bat] start --proxy-headers=forwarded --https-port=8543 --hostname-url=https://my-keycloak.org:8443 --hostname-admin-url=https://admin.my-keycloak.org:8443