第7章 ホスト名の設定 (v2)
7.1. ホスト名オプションの設定の重要性
デフォルトでは、Red Hat build of Keycloak では hostname オプションの設定が必須であり、URL は動的に解決されません。これはセキュリティー対策です。
Red Hat build of Keycloak は、OIDC Discovery エンドポイントを通じて、またはメール内のパスワードリセットリンクの一部として、独自の URL を自由に公開します。ホスト名がホスト名ヘッダーから動的に解釈されると、潜在的な攻撃者にメール内の URL を操作し、ユーザーを攻撃者の偽のドメインにリダイレクトし、アクショントークンやパスワードなどの機密データを盗む機会を与える可能性があります。
hostname オプションを明示的に設定することで、不正な発行者によってトークンが発行される状況を回避します。次のコマンドを使用して、明示的なホスト名でサーバーを起動できます。
bin/kc.[sh|bat] start --hostname my.keycloak.org
注記
この例では、Red Hat build of Keycloak インスタンスを実稼働モードで起動します。通信を保護するには、公開証明書と秘密鍵が必要です。詳細は、実稼働環境用の Red Hat build of Keycloak の設定 を参照してください。
