8.11. 認証セッション
Web ブラウザーで初めてログインページを開くと、Red Hat build of Keycloak は、認証セッションと呼ばれるオブジェクトを作成し、そこに要求に関する有用な情報を保存します。同じブラウザーの別のタブから新しいログインページが開かれるたびに、Red Hat build of Keycloak は、認証セッション内に保存される認証サブセッションと呼ばれる新しいレコードを作成します。認証要求は、管理 CLI などの任意のタイプのクライアントから取得できます。この場合、認証サブセッションが 1 つ含まれる、新しい認証セッションが作成されます。認証セッションは、ブラウザーフローを使用する以外の方法でも作成できます。
認証セッションは通常、デフォルトで 30 分後に有効期限が切れます。正確な時間は、レルムの 設定時に管理コンソールの Sessions タブの Login timeout スイッチで指定します。
8.11.1. 他のブラウザータブの認証
前のセクションで説明したように、単一のブラウザーの複数のタブから、Red Hat build of Keycloak サーバーへの認証を試行するユーザーが必要になる場合があります。ただし、そのユーザーが 1 つのブラウザータブで認証されると、他のブラウザータブによって認証が自動的に再起動されます。この認証は、Red Hat build of Keycloak のログインページで利用可能な小規模な JavaScript が原因で発生します。最初のブラウザータブでユーザーが正常に認証されたため、再起動は通常、他のブラウザータブでユーザーを認証し、クライアントにリダイレクトします。OIDC パラメーター prompt=login や、現在認証された要素よりも強力な認証要素を要求する ステップアップ認証を使用する場合など、ユーザーが他のブラウザータブで自動的に認証 されない場合、まれな例外が存在します。
まれに、最初のブラウザータブで認証後に、認証セッションがすでに有効期限が切れているため、他のブラウザータブが認証を再起動できない場合があります。この場合、特定のブラウザータブは、プロトコル固有の方法で期限切れの認証セッションに関するエラーをクライアントにリダイレクトします。詳細は、アプリケーションのセキュリティー保護セクション の OIDC ドキュメント の対応するセクションを参照 してください。クライアントアプリケーションがこのようなエラーを受信すると、OIDC/SAML 認証リクエストを Red Hat ビルドの Keycloak に即座に再送信できます。これは、前述の既存の SSO セッションが原因で通常、ユーザーを自動的に認証するためです。その結果、すべてのブラウザータブでエンドユーザーが自動的に認証されます。アプリケーションのセキュリティー 保護セクションの Keycloak JavaScript アダプター と、Red Hat build of Keycloak Identity プロバイダー のサポートにより、このエラーを自動的に処理し、このような場合に Red Hat build of Keycloak サーバーへの認証を再試行します。
