Red Hat Summit第7章 Red Hat build of Keycloak SAML Galleon 機能パックの詳細な設定
`keycloak-saml.xml` 設定ファイルの要素に関する詳細なリスト。
この章には、Red Hat build of Keycloak SAML Galleon 機能パックで使用される keycloak-saml.xml 設定ファイルの要素の詳細なリストが記載されています。
7.1. SP 要素
SP 要素属性の説明は次のとおりです。
<SP entityID="sp"
sslPolicy="ssl"
nameIDPolicyFormat="format"
forceAuthentication="true"
isPassive="false"
keepDOMAssertion="true"
autodetectBearerOnly="false">
...
</SP>
<SP entityID="sp"
sslPolicy="ssl"
nameIDPolicyFormat="format"
forceAuthentication="true"
isPassive="false"
keepDOMAssertion="true"
autodetectBearerOnly="false">
...
</SP>- entityID
- これは、このクライアントの ID です。IdP では、クライアントが通信しているユーザーを判別するためにこの値が必要です。この設定は 必須 です。
- sslPolicy
-
これは、アダプターが強制する SSL ポリシーです。有効な値は
ALL、EXTERNAL、およびNONEです。ALLの場合、すべてのリクエストは HTTPS 経由で受信する必要があります。EXTERNALの場合、非プライベート IP アドレスのみが HTTPS 経由で有線を通過する必要があります。NONEの場合、HTTPS 経由のリクエストはありません。この設定は 任意 です。デフォルト値はEXTERNALです。 - nameIDPolicyFormat
-
SAML クライアントは、特定の NameID Subject 形式を要求できます。特定の形式が必要な場合は、この値を入力します。標準の SAML 形式の識別子である
urn:oasis:names:tc:SAML:2.0:nameid-format:transientある必要があります。この設定は 任意 です。デフォルトでは、特別な形式は要求されません。 - forceAuthentication
-
SAML クライアントは、ユーザーが IdP にすでにログインしていても、再認証することをリクエストできます。有効にするには、これを
trueに設定します。この設定は 任意 です。デフォルト値はfalseです。 - isPassive
-
SAML クライアントは、IdP にログインしていない場合でも、ユーザーの認証が要求されないように要求できます。必要に応じてこれを
trueに設定します。forceAuthenticationは逆の設定なので、一緒に使用しないでください。この設定は 任意 です。デフォルト値はfalseです。 - turnOffChangeSessionIdOnLogin
-
セッション ID は、一部のプラットフォームで正常にログインしてセキュリティー攻撃ベクトルをプラグインするためにデフォルトで変更されます。これを無効にするには、これを
trueに変更します。オフにしないことが推奨されます。デフォルト値はfalseです。 - autodetectBearerOnly
-
アプリケーションが Web アプリケーションと Web サービス (例: SOAP または REST) の両方に対応する場合は、true に設定する必要があります。これにより、Web アプリケーションの未認証ユーザーを Red Hat build of Keycloak ログインページにリダイレクトできますが、SOAP または REST クライアントのような未認証のクライアントには、ログインページへのリダイレクトが理解できないため、HTTP
401ステータスコードを送信します。Red Hat build of Keycloak は、X-Requested-With、SOAPAction、Acceptなどの一般的なヘッダーに基づいて SOAP または REST クライアントを自動検出します。デフォルト値は false です。 - logoutPage
-
これにより、ログアウト後に表示するページが設定されます。ページが
http://web.example.com/logout.htmlなどの完全な URL の場合、ユーザーは HTTP302ステータスコードを使用してログアウト後にそのページにリダイレクトされます。スキーム部分のないリンク (例:/logout.jsp) が指定されると、web.xml のsecurity-constraint宣言に従って保護領域に存在するかどうかに関係なく、ログアウトの後にページが表示され、ページがデプロイメントコンテキストルートとの関連で解決されます。 - keepDOMAssertion
-
この属性は true に設定して、要求に関連付けられた
SamlPrincipal内の元の形式でアダプターストアにアサーションの DOM 表現を設定します。アサーションドキュメントは、プリンシパル内のgetAssertionDocumentメソッドを使用して取得できます。これは、署名済みアサーションの再生時に特に便利です。返されるドキュメントは、Red Hat build of Keycloak サーバーによって受信された SAML 応答を解析して生成されたものです。この設定は 任意 で、デフォルト値は false です (ドキュメントはプリンシパルに保存されません)。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}