3.8. ログインオプションの制御

Forgot password を有効にすると、パスワードを取得するか、OTP ジェネレーターを失う場合に、ログイン認証情報をリセットできます。

メールで送信されるテキストは設定可能です。詳細は、サーバー開発者ガイド を参照してください。

ユーザーがメールリンクをクリックすると、Red Hat build of Keycloak によりパスワードを更新するように求められます。また、OTP ジェネレーターを設定している場合、Red Hat build of Keycloak により OTP ジェネレーターを再設定するように求められます。セキュリティー上の理由から、このフローでは、認証情報のリセット後にフェデレーションユーザーに再度ログインを強制し、同じ認証セッション (同じブラウザー) が使用されている場合は内部データベースユーザーのログイン状態を維持します。組織のセキュリティー要件に応じて、デフォルトの動作を変更できます。

この動作を変更するには、以下の手順を実施します。

ブラウザーを閉じたログインユーザーはセッションを破棄し、そのユーザーは再度ログインする必要があります。ユーザーがログイン時に Remember Me チェックボックスをクリックした場合に、そのユーザーのログインセッションを開いたままにするように Red Hat build of Keycloak を設定できます。このアクションは、ログインクッキーをセッションのみのクッキーから永続クッキーに変換します。

レルムの一般設定では、どの Authentication Context Class Reference (ACR) 値がどの Level of Authentication (LoA) にマッピングされるかを定義できます。ACR は任意の値にすることができますが、LoA は数値にする必要があります。acr クレームは、OIDC 要求で送信される claims または acr_values パラメーターで要求でき、アクセストークンと ID トークンにも含まれます。マッピングされた番号は、認証フロー条件で使用されます。

特定のクライアントがレルムとは異なる値を使用する必要がある場合は、マッピングをクライアントレベルで指定することもできます。ただし、レルムマッピングを行うのがベストプラクティスです。

詳細は、Step-up Authentication と 公式の OIDC 仕様 を参照してください。

このワークフローでは、ユーザーは UPDATE_EMAIL アクションを使用して独自のメールアドレスを変更する必要があります。

アクションは、単一のメール入力フォームに関連付けられます。レルムの電子メール検証が無効な場合は、この動作により、検証なしに電子メールを更新できます。レルムで電子メールの検証が有効になっている場合は、アカウントメールを変更せずにアクションが新しいメールアドレスにメール更新アクショントークンを送信します。トリガーされるアクショントークンのみがメールの更新を完了します。

アプリケーションは UPDATE_EMAIL を AIA (Application Initiated Action) として利用することで、ユーザーをメール更新フォームに送信できます。