14.7. クライアント認証

これは、OAuth2 仕様で説明されている従来の方法です。クライアントにはシークレットがあり、そのシークレットはクライアントと Red Hat build of Keycloak サーバーの両方に知られている必要があります。Red Hat build of Keycloak 管理コンソールで特定のクライアントのシークレットを生成し、このシークレットをアプリケーション側の keycloak.json ファイルに貼り付けることができます。

"credentials": {
    "secret": "19666a4f-32dd-4049-b082-684c74115f28"
}

これは RFC7523 の仕様に基づいています。これは、以下のように動作します。

この方法をセットアップするには、keycloak.json ファイルに次のようなコードを記述する必要があります。

"credentials": {
  "jwt": {
    "client-keystore-file": "classpath:keystore-client.jks",
    "client-keystore-type": "JKS",
    "client-keystore-password": "storepass",
    "client-key-password": "keypass",
    "client-key-alias": "clientkey",
    "token-expiration": 10
  }
}

この設定では、認可クライアントを使用するアプリケーションのクラスパスでキーストアファイル keystore-client.jks が使用可能である必要があります。接頭辞 classpath: を使用しない場合は、クライアントアプリケーションが実行しているファイルシステム上の任意のファイルを指定できます。

これは、秘密鍵と証明書の代わりにクライアントシークレットを使用することを除いて、署名された JWT を使用したクライアント認証と同じです。

クライアントにはシークレットがあり、これは認可クライアントを使用するアプリケーションと Red Hat build of Keycloak サーバーの両方に知られている必要があります。管理コンソールの Credentials タブでクライアントの認証方法として Signed JWT with Client Secret を選択し、このシークレットをアプリケーション側の keycloak.json ファイルに貼り付けます。

"credentials": {
  "secret-jwt": {
    "secret": "19666a4f-32dd-4049-b082-684c74115f28",
    "algorithm": "HS512"
  }
}

"algorithm" フィールドは、クライアントシークレットを使用して署名済み JWT のアルゴリズムを指定します。次のいずれかの値である必要があります: HS256、HS384、および HS512。詳細は、JSON Web Algorithms (JWA) を参照してください。

この "algorithm" フィールドはオプションです。keycloak.json ファイルに "algorithm" フィールドが存在しない場合は、HS256 が自動的に適用されます。

独自のクライアント認証方法を追加することもできます。クライアント側プロバイダーとサーバー側プロバイダーの両方を実装する必要があります。詳細は、サーバー開発者ガイド の 認証 SPI セクションを参照してください。